miércoles, 16 de julio de 2008

Un día de furia de un administrador de sistemas

Hace tan solo unas semanas, en el post Un día de furia reflexionaba sobre un vídeo donde se veía a un empleado furioso destrozar una oficina (aunque realmente se trataba de una campaña de publicidad basada en el marketing viral).

Como siempre, la realidad supera la ficción y hoy me chivan vía comentarios una noticia relacionada con el tema. Publica "El País" que La red informática de San Francisco, bloqueada por un administrador cabreado. Este incidente no dejaría de ser un primer capitulo de un supuesto Caos total como el planteado en la Jungla de Cristal 4.

La hipótesis de un administrador deshonesto ya la plantee en el anterior post donde comenté que en el código de buenas prácticas de seguridad de la información (ISO 27002) se introduce un control en relación a la verificación y cotejo de los currículos de los candidatos a entrar en la empresa (A. 8.1.2). Hoy vamos a ampliar la información con otros controles basados en el seguimiento y vigilancia que debe hacerse sobre el personal responsable de los sistemas de información que, en el incidente que hoy se relata, serían los que habrían fallado:

  • 10.10.2 Uso de sistemas de monitorización: "Se deberían establecer procedimientos para la monitorización del uso de los sistemas de información y se deberían revisar regularmente los resultados de las actividades de monitorización."

  • 10.10 4 Registros del administrador y operador: "Se deberían registrar las actividades del administrador del sistema y el operador del sistema."

  • 10.10.3 Protección del registro de información: "Se debieran proteger los medios de registro y la información del registro para evitar la alteración y el acceso no autorizado."


Cuando realizando un diagnóstico diferencial ISO 27002 (que normalmente se hace con el Departamento de Informática en un alto porcentaje) planteas estos controles, la entrevista se tensa. Al valorar el funcionamiento interno del área o el grado de formalización de las tareas, se asume que en general la gestión se realiza como se puede dependiendo del buen hacer del personal técnico disponible y de la carga de trabajo a la que se ven sometidos.
Sin embargo, cuando se plantean estos controles donde se deja abierta la posibilidad de que los problemas sean de la honradez del propio personal al que estás entrevistando, la cosa ya no hace tanta gracia.

En general, el departamento de informática suele ser como la policía de los sistemas de información. Saben lo que pasa y toman medidas para resolver las incidencias o problemas detectados. Por tanto, cuando el personal se siente el bueno de la película no hay problema. Ahora, cuando barajando posibles riesgos, planteas que la amenaza sea precisamente esa acumulación de poder que tienen los perfiles más privilegiados en la administración de sistemas y cuestionas si basta con fiarse de la supuesta honradez del personal o es necesario tener "evidencias", entonces al policía ya no le gusta tanto tener que rendir cuentas. Y es que en general, nos gusta imponer las medidas y restricciones para los demás, pero nos cuesta asumir nuestros propios controles. Creo que es sano que el área que hace de policía demuestre con el ejemplo que son ellos los primeros en acatar las normas y políticas. Sin embargo, en la realidad se ve frecuentemente que los mismos que limitan y restringen al usuario para que no se extralimite, se dejan manga ancha en sus actividades porque ellos "si se fian de ellos" y supuestamente son conscientes de las amenazas.
Eso esta muy bien, hasta que ocurre como en la noticia, que quien vela por evitar los riesgos se transforma en uno y no existen controles compensatorios que mitiguen esta situación.

3 comentarios:

Anónimo dijo...

Normal que no les haga gracia el sistema de monitorización, porque aparte de ver si eres "honrado", también se ven tus equivocaciones, y recordando que el que toca se equivoca, a la larga SIEMPRE van a tener motivos para despedirte.

Si no quieres ver esas caras raras, empieza por pagar un generoso plus por manejar información y material sensible, y luego pon la monitorización que te plazca.

Javier Cao Avellaneda dijo...

Yo, personalmente soy partidario siempre de una política de transparencia. ("Quien nada tiene que esconder nada teme").
No debería pasar nada porque se detecten errores. Somos humanos y eso forma parte de nuestra naturaleza. Lo que no debe ocurrir es que éstos sean continuos o se repitan. Quizás estos fallos son una evidencia precisamente de la escasa formación y pueden servir para justificar que se reciban más cursos.

Respecto al sueldo, estoy de acuerdo. El personal técnico asume una alta responsabilidad que no es ni valorada ni remunerada pero eso esperemos que cambie con el tiempo. Cada vez somos una pieza más importante dentro de la maquinaria empresarial. Yo siempre digo que el área de informática es el sistema circulatorio. La empresa podrá tener cerebro, pero si no tiene corazón, también se muere.

Anónimo dijo...

Como casi siempre, el ISO se queda en lo mínimo y como siempre poco real.

Una solución más interensate es mantener dos encargados o dos equipos que conozcan bien el funcionamiento y administración TI de la empresa. Así es menos probable que se sigan el juego cuando alguno de los dos quiere jugar mal; aunque siempre se pueden coaludir, pero reducir la probabilidad es mejor. Aún mejor sería ir averiguando si esas dos personas empiezan a generar "compadrazgos", para tomar medidas como mover a alguno a otro departamento.

 
;