jueves, 23 de febrero de 2006

El eslabón más débil siempre el factor humano

Leo hoy por varias fuentes un curioso experimento que ha realizado una empresa de seguridad inglesa a la entrada de una Entidad financiera. La noticia original relata como han tratado de evaluar el conocimiento real de la política de seguridad.

Regalaban a la puerta de la entidad un CD que contenia un archivo anunciando una promoción por San Valentín. El CD contenía un programa que informaba sobre qué usuario había ejecutado el programa. Evidentemente la política corporativa de seguridad prohibe expresamente la instalación de cualquier software de terceros pero poca gente ha sido consciente. Esta sencilla prueba pone de manifiesto cómo la seguridad de la Organización puede verse comprometida facilmente si alguien diseña de manera adecuada un mecanismo que consiga instalar un troyano para luego saltarse la protección perimetral de la organización.

Como conclusión del experimenteo, es evidente que a los empleados no les preocupará la seguridad mientras no entiendan por qué es necesaria.

Los ordenadores, las redes son complejas, complicadas y confusas. A menos que explicitamente se enseñe por qué hay riesgos detrás de ciertas conductas, no se perciben los potenciales problemas. Igual que pasa con los anuncios de tráfico que hasta que no son impactantes no producen katársis. En cualquier caso, a eso hay que añadirle que el valor de la información es algo intangible y hace que la percepción del daño disminuya.

También es cuestionable la decisión del área de sistemas de permitir que todos los equipos tengan CD. ¿Es realmente necesario?. Desde luego, es organizativamente incómodo establecer ciertas restricciones pero si previamente se han demostrado o justificado los riesgos, las decisiones de seguridad se asumen mejor. Normalmente somos los informáticos los que más minimizamos el impacto real de un incidente pero si se cuantificará económicamente las cosas serían diferentes.
 
;