Incidente por fallo humano ¡más vale prevenir que curar!

Con frecuencia vemos que los incidentes de seguridad se deben a lo que se conoce como «fallo humano». Además la mayoría de los delitos informáticos en entornos corporativos son provocados por empleados o ex empleados. Estos aspectos de la seguridad se pueden tratar con una buena gestión que incluya:

• aplicar criterios en la selección de nuevos empleados
• dotar a los empleados de la formación necesaria
• decidir a qué recursos van a tener acceso
• conocer qué hacer cuando dejan la empresa

A la hora de contratar nuevo personal, en particular si van a tener acceso a sistemas o datos sensibles para el negocio todas las precauciones son pocas. Además de cerciorarnos de su capacidad para el puesto no está de más revisar sus referencias e investigar en lo posible su pasado. Los contratos, preferentemente por escrito, incluirán el conocimiento y cumplimiento de las políticas de seguridad de la empresa. Es importante comprobar que comprenden las clausulas sobre protección de datos y propiedad intelectual.

Por tanto, la Política de Seguridad, o cómo va a proteger la empresa sus activos de información, ha de estar por escrito y ser conocida por todos los empleados desde el director hasta el becario. En este documento se han de fijar los activos y los responsables así como los criterios y procedimientos que han de seguir los empleados en su día a día y las sanciones a las que eventualmente pueden exponerse por su incumplimiento. La política puede incluir: documentos de uso aceptable de los equipos y aplicaciones, planes de formación, explicaciones de cómo funcionan los mecanismos de seguridad y cómo hacen que los usuarios cumplan con las medidas impuestas, y los procedimientos para medir la seguridad y corregir en caso de que no se estén alcanzando los niveles esperados.

Lo anterior indica que el empresario ha de facilitar la formación y supervisión necesarias para que el empleado pueda desarrollar su trabajo cumpliendo las medidas de seguridad. Además de indicarles cómo han de ser las contraseñas o si han de cerrar sus sesiones terminar su jornada, habrá que supervisar que realizan los backups a tiempo o recordarles de vez en cuando que han ser más diligentes con sus contraseñas.

Una regla básica de seguridad, la conocida como de «mínimos privilegios», indica que cada usuario acceda sólo a aquello que necesita para su trabajo. Esto implica limitar el acceso a los equipos y a la información, tanto físicamente como lógicamente, a quien realmente los necesite. Los armarios de comunicaciones y de servidores estarán en salas de acceso restringido. Los visitantes sólo accederán a las instalaciones si están acompañados. Los empleados deberán ser responsables de bloquear sus terminales y los perfiles de usuario definirán a qué datos y aplicaciones tiene acceso cada uno.

Y, al final, cuando un empleado deja la empresa todo ha de volver a su sitio:

• devolverá las llaves si las tuviera, tarjetas de acceso, tokens, etc. o se cambiarán las claves de acceso a los espacios a los que ya no deba acceder
• se borrarán o desactivarán sus cuentas de acceso y contraseñas
• se guardarán los ficheros generados por el ahora exempleado para permitir su consulta en el futuro o como prueba en caso necesario

Todas estas medidas van a permitir al empresario tener bajo control la seguridad de la información en su empresa. Sin embargo, según el Estudio sobre seguridad de la información y continuidad de negocio en las empresas españolas (INTECO, 2012) aproximadamente la mitad de las empresas no aplican medidas a nivel organizativo o estratégico. ¿A qué esperamos?