De todos es sabido que muchos de los problemas o incidentes de seguridad tienen su origen en la propia organización. Por lo general, ya sea de forma accidental o malintencionada, el usuario acostumbra a estar implicado. Por ello, es lógico que se dediquen muchos recursos a campañas de concienciación, sensibilización, formación, etc. con objeto de "educar" a los usuarios en el uso de los sistemas de información y haciendo especial hincapié en aquellos aspectos relativos a la seguridad.
Lo anteriormente expuesto es lo más sensato aunque también debo decir que no va nada mal que existan "ovejas negras" en nuestro rebaño. Al igual que el cuerpo humano tiene que estar "infectado" previamente (vacuna) para combatir un virus y desarrollar las defensas adecuadas, en el caso que nos ocupa podríamos decir que se trata de una situación similar por no decir idéntica. Si pensásemos en un escenario utópico y las campañas antes mencionadas tuvieran un éxito absoluto podríamos asegurar que internamente nunca más tendremos problemas. No obstante, esto nos llevaría a una falsa seguridad puesto que no tendríamos la certeza de si disponemos o no de un entorno seguro.
Además, tarde o temprano, siempre que haya un usuario involucrado (comportamiento totalmente impredecible e imaginación sin límites) existe un riesgo directamente proporcional al espíritu investigador y afán de superación del susodicho. Por tanto, particularmente creo que es bueno que convivan usuarios “avanzados” que intenten saltarse las reglas, de esta forma podremos evaluar de forma empírica la robustez de nuestra seguridad.
Obviamente, detrás de este planteamiento deben haber mecanismos o herramientas de monitorización de amplio espectro con objeto de identificar que los usuarios no experimenten más de la cuenta. A lo largo de mi experiencia he podido comprobar como se desarrolla la “inteligencia” del usuario con objeto de saltarse las barreras que se le ponen delante. Os aseguro que en ningún momento se nos hubiera pasado por la cabeza contemplar según que métodos se han aplicado para vulnerar las reglas de uso.
Como caso destacable tuvimos a un ejemplar varios días “vigilado” para comprobar hasta donde era capaz de llegar. En concreto, su objetivo era navegar por Internet sin estar autorizado. Para ello, además de descargarse e instalar “utilidades” de captura de contraseñas también llego a instalarse el famoso Tor para navegar de forma anónima. Lástima que la jugada le saliera mal porque la verdad es que poquito a poquito iba avanzando en su empeño.
En resumen, tampoco es tan grave que hayan usuarios “rebeldes” ya que, viendo la parte positiva, nos ayudan a mejorar la seguridad de nuestros sistemas. Otra forma de verlo es que disponemos de un servicio de testeo permanente, no viciado y sin coste añadido. Evidentemente, siempre debe haber un límite y un control exhaustivo con objeto de que los experimentos no nos exploten en las manos.
CITA DEL DÍA: "Sentirse seguro es un error, sentirse inseguro es una virtud"
CITA DEL DÍA: "Sentirse seguro es un error, sentirse inseguro es una virtud"
Entradas
No hay comentarios:
Publicar un comentario