Cualquiera que sea la inversión en seguridad que hagas en tu empresa, la partida más costosa será la destinada a los usuarios. Lo será por dos motivos:

  1. Se tendrá que invertir en todos los sistemas destinados a controlar y prevenir las acciones de los usuarios.
  2. Se deberá formar a los usuarios con los nuevos sistemas. Lo cual siempre es muy costoso y en este caso además habrá una resistencia más de las habituales en cualquier implantación, y es que los usuarios se sientan criminalizados por la puesta en marcha de dicha seguridad.

Pero todo esto no será nunca suficiente, ya que siempre se tendrá que controlar que no haya una puerta trasera o un eslabón débil dejado por uno de los usuarios. Es muy normal que los jefes de departamento quieran tener unos privilegios de uso que no tienen los demás usuarios (y muchas veces los exigen por cargo no porque los necesiten en absoluto); y aquí se abren dos escenarios vulnerables:

  1. Abrir una puerta trasera en la empresa sin saberlo. Si, por ejemplo, se ha vetado el acceso a páginas de contenido indebido y el jefe tiene acceso libre a todo internet para no encontrarse con limitaciones en páginas que no deberían estar en esa lista negra; el problema es cuando él instala un programa P2P en su PC con privilegios. Esta es la forma típica en que se abre una puerta trasera de virus, filtración de información, etc.
  2. Otra opción menos común, pero más frecuente de lo que me parece razonable, es que el jefe dé acceso al resto de usuarios a través de su PC. Si es urgente que fulanito acceda a internet o a los archivos X debe hacerlo con la supervisión del jefe, no puede ser que sea común ir al PC de “acceso restringido” de forma habitual por todos los usuarios. Para no tener nada de seguridad no era necesario molestar a los usuarios haciendo que se levanten. Entonces se ve a la seguridad como un engorro que no evita nada, porque no lo evita.

Para tener seguridad en una empresa hay ciertos puntos que son clave:

  • Debe haber un orden y una planificación en la seguridad que haga que siempre esté bajo control. Todo debe estar bien documentado y en cualquier momento se debe poder visualizar fácilmente cómo está exactamente la seguridad de toda la empresa, de un área o cuál es el eslabón más débil de la cadena.
  • Debe ser una seguridad adecuada al nivel que requiere el negocio. Debe ser entendida y aceptada por el la dirección, y debe ser siempre suficientemente transparente como para que no sea una traba que no deje trabajar cómodamente.
  • Recursos humanos debe ser una parte de la seguridad del negocio. Ellos deben informar de todos los cambios de cada trabajador para que estos se plasmen inmediatamente en sus nuevos permisos de seguridad. La dejadez en estos casos provoca una grave puerta trasera, muchos casos de impredecibles consecuencias. El cambio más importante que debe verse reflejado en la seguridad informática es el del despido de un trabajador.
  • Los Recursos Humanos también son cruciales cuando ya ha habido un problema de seguridad, porque casi siempre concierne a un trabajador o un grupo de ellos, y entonces deben informar, aplicar medidas disciplinarias y en las tareas de resolución del problema.

Una cosa está clara en la seguridad y es que siempre los usuarios somos los que podemos poner más riesgo o más prevención con nuestras acciones. Un caso particular es el hogar de cada persona, todos tenemos amigos que son capaces de tener siempre virus en su PC, son tan rápidos infectando su PC que parece que su versión del Sistema Operativo ya viniese con virus.

Fuente: Adhoc