Uno de los factores críticos a la hora de gestionar la seguridad de la información en las organizaciones, es el factor humano.
Aún así, es frecuente observar cómo, por norma general, los esfuerzos de seguridad técnica suelen ser muy considerados, pero sin embargo, la seguridad del factor humano a veces es menospreciada o en el peor de los casos, pasada por alto. En éstos casos, hablamos del enemigo que está dentro, bien sea por la intencionalidad de sus actos, bien sea por negligencia en el tratamiento de los activos de la información.
Si nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO 17799:2000, hay varios puntos de control que tienen que ver con el factor humano. Además de la seguridad física y del entorno, el punto de control principal viene reflejado claramente en lo que se suele denominar seguridad ligada al personal. La idea de controlar al personal no está relacionada con la restricción de la libertad y la comodidad de los empleados en las organizaciones: se trata de imponer puntos de control en el factor humano que opera con la información, de modo que se eviten fugas de información, errores en el manejo de datos, brechas en la confidencialidad y que la protección de aspectos importantes, como los secretos industriales y el «know-how» de los negocios, sea una realidad no sujeta a posibles fisuras causadas por el espionaje industrial o la competencia desleal.
En las labores de consultoría de seguridad es frecuente que se realicen muchos trabajos para definir radiográficamente la situación de una empresa determinada en cuanto a la robustez de su infraestructura técnica. Los análisis generales, las auditorías perimetrales, los test de intrusión, la analítica forense y otros tipos de pruebas son muy útiles para saber si las puertas de entrada aguantarán los golpes de los arietes, o si la cerradura será suficientemente segura para que ninguna ganzúa pueda abrirla. Es el enfoque tradicional de seguridad ante los ataques de fuerza bruta y ante los intentos de intrusión sigilosos y técnicamente depurados, metodologías de ataque que aunque pueden actuar por separado, normalmente, suelen ir de la mano.
Llegados a este punto, sería conveniente plantearnos un paso más allá de la seguridad tradicional basada en las pruebas técnicas. Según lo que se plantea, abordar las cuestiones de seguridad relativas al personal parece una medida muy interesante, ya que a fin de cuentas, el hardware y el software está operado, supervisado y administrado por usuarios. En otra ocasión, desde Hispasec Sistemas, hemos hablado de la gestión del riesgo. Hoy complementaremos esa información con las nociones elementales de la seguridad ligada al personal.
La seguridad ligada al personal debe ser meticulosamente planificada. El tratamiento de las medidas de control, aplicadas a seres humanos, requiere tacto y requiere tener en cuenta que cada empleado tiene sus propias determinaciones y condiciones laborales. Aún así, es posible planificar la seguridad del personal como un conjunto de medidas de control general, que hagan que éstas sean efectivas independientemente del sujeto afecto, y sin que éstas medidas supongan un menoscabo de los derechos y el confort de los trabajadores.
Las principales medidas de control que se suelen recomendar son las
siguientes:
* Reducción del riesgo del factor humano, debido a errores, pérdidas, robos y usos indebidos de la información. Los acuerdos de confidencialidad, la selección rigurosa del personal y la inclusión de la seguridad dentro de las responsabilidades contractuales son buenas prácticas aconsejables en este punto.
* Concienciación del personal en cuanto a política de seguridad y medidas que deben contemplar para evitar riesgos. La única manera de propagar la esencia de la gestión de la seguridad es que el personal conozca los riesgos y sus consecuencias, con lo que la empresa debe invertir en la formación sobre los principios básicos de gestión segura de la información.
* Minimización de las consecuencias de los incidentes provocados por el factor humano, tomando el error como fuente de aprendizaje para la prevención de futuros problemas. El error es una importante fuente de retroalimentación que puede permitir que en futuras repeticiones de una problemática hayamos aprendido a minimizar los impactos. Es imperativo ajustar y dar a conocer los medios de difusión de los incidentes una vez ocurran, de modo que todos los integrantes de la cadena de responsabilidad sepan qué han de hacer y a quién deben informar en todo momento. Cuando exista intencionalidad en el personal infractor, temerario o negligente, es evidente que la empresa debe recurrir a procesos disciplinarios y represalias legales.
* Estudio del personal crítico, es decir, del personal que debe cubrir las tareas críticas de la organización cuya importancia es vital para la empresa. Los procesos críticos son más importantes que los procesos de apoyo, luego el personal que debe atenderlos es más importante para la empresa, independientemente que todos los empleados son de importancia vital para las organizaciones. De esto se deduce claramente que un error o mala intención de un asalariado crítico normalmente será más dañino que un error de un empleado adscrito a un proceso no crítico.
Existen otras medidas que pueden complementar a estas cuatro medidas generales. No son las únicas, ni tienen por que ser el referente a la hora de gestionar la seguridad del personal, pero en circunstancias normales, son cuatro conjuntos de factores que deberían ser vigilados
estrechamente.
Los consejos, a modo de resumen, que pueden emitirse son de diversa índole. Estos diez consejos, basados en la documentación de la consultora norteamericana Covelight Systems, pueden ser un buen resumen para la amenaza interna de carácter intencionada. Las recomendaciones para la amenaza no intencionada, son obvias: formación de los empleados y políticas de concienciación y aprendizaje.
1. Vigile las cajas que contienen las joyas, no las salidas del edificio. Es decir, céntrese en las medidas y objetivos a priori, y no en las medidas a posteriori. Éstas son secundarias.
2. Sea proactivo. Trate de anticiparse a los movimientos de los posibles infractores.
3. Trate la seguridad con independencia y objetividad.
4. Ordene a los empleados en función a los privilegios a los que pueden acceder. La relación entre riesgo y privilegios de los que se gozan es directamente proporcional.
5. Esté atento al comportamiento sospechoso de los usuarios. Suele ser el primer indicativo de que puede haber en curso un problema de seguridad.
6. No pase por alto lo obvio. La mayoría de las veces, la amenaza interna es relativamente fácil de visualizar. No busque amenazas intrincadas, trate primero de analizar lo evidente.
7. Apóyese en sistemas automatizados de vigilancia. Pueden complementar los resultados de la gestión.
8. Registre toda la actividad crítica, siempre y cuando la legislación y el respeto a los derechos de los trabajadores se lo permita.
9. Informe claramente a los empleados de cuáles son los riesgos y las consecuencias de los mismos. Asegúrese de que la política de seguridad y las condiciones de responsabilidad sean conocidas y practicadas por todos.
10. La seguridad de la información es un concepto amplio y con interrelaciones. Consulte a los responsables de todas las áreas implicadas y establezca los vínculos oportunos.
Poco a poco, las empresas van invirtiendo en una adecuada gestión de la seguridad, pero el camino para que el factor humano sea un factor controlado y seguro es largo y tortuoso. Quizás es buen momento para que usted comience la andadura, si todavía no lo ha hecho.
Fuente: Hispasec Sistemas
Interesante artículo. Me gustaría conocer sobre el tipo de análisis de riesgo aplicable a la gestión del personal y sus respectivos medios de ejecución
Antonio,
Los principales grupos de riesgo del factor humano son dos: el daño intencionado (sabotaje) y el no intencionado (error).
Dentro de ISO 17799:2005, el dominio de control sobre seguridad del factor humano, contempla los siguientes puntos de control:
8,1 Previa contratatación
8.1.1 Roles y responsabilidades
8.1.2 Screening
8.1.3 Términos y condiciones de la contratación
8,2 Durante la contratación
8.2.1 Responsabilidad de la dirección
8.2.2 Concienciación en materia de seguridad, educación y formación
8.2.3 Procesos disciplinarios
8,3 Rescisión o cambios de empleo
8.3.1 Responsabilidad en la rescisión
8.3.2 Retorno de activos
8.3.3 Cancelación de derechos de acceso
Para medir el riesgo, escoge cualquiera de esos controles y pregúntate qué ocurriría si algo no previsto o deseado sucediera, y con qué probabilidad puede ocurrir eso, pensando siempre en los impactos negativos que ocasionaría.
Por ejemplo, ¿qué probablidad de ocurrencia tiene el hecho de que un extrabajador acceda a los sistemas por no habérsele eliminado los derechos de acceso una vez rescindido su contrato? ¿Qué efectos tiene esto en la organización?
Así con todo :)
Hernando me gustaria saber si conoces de algunas politicas y/o procedimientos que se apliquen a cada uno de los puntos de control; antes, durante y despues de la contratacion.
John,
No tengo controles para el personal documentados, pero todos giran en torno a dos eventos cruciales:
a) Altas, es decir, incorporación de trabajadores en las empresas
b) Bajas, es decir, cuando un trabajador deja de prestar sus servicios a la empresa.
También es frecuente encontrar controles para modificaciones, es decir, cambios de puesto, perfiles funcionales, dependencias de trabajo, etc.
Para cada situación, los controles son los que la lógica nos invita a tener en cuenta:
a) Para el alta, la clave está en que el trabajador se comprometa contractualmente a respetar la dotación que se le proporcione, que respete la confidencialidad, que no revele secretos, que cumpla los procedimientos y políticas, y que en general, actúe con sentido común.
b) Para las bajas, el control es casi único, y consiste en que se proceda a la baja adminstrativa, así como a la supresión de los accesos lógicos y físicos del trabajador. Es frecuente que se controle el estado y la devolución de efectos personales, como PDAs, portátiles, etc.
En el caso de modificaciones, el control principal es comprobar y aplicar un procedimiento de cambios, que consiga que el perfil nuevo se ajusta al nuevo cambio funcional, y que los accesos anteriores que dejen de ser necesarios, sean cancelados.
Si tienes la guía de preparación CISM, echa un ojo. Viene todo bastante explicado en ella :)
Saludos,
Hola expertos, aqui se mete una economista alemana en su discusión porque un estandar sea ISO u otro solo puede ser tan genialmente ser implemenado como el técncico permite según su evolución intelectual. Cualquier problema técnica debe basarse en una prevención de riesgos, quiero decir con mi espaniol de una alemana los técnicos debe saber exactamente y correctamente que problema puede ocurrir si ejecutan ciertas actividades y deben obiamente evitar lo. La cadena de causa y efecto debe ser recorrida hacia atrás y hacia adelante en el tiempo y en realidad en todas las dimensiones, que expone la gestión empresarial antes de la decisión de acciones técnicas. ( Se trata de una red de cadenas de causa y efecto,q ue es como una superbola se mueve en el tiempo y debe ser coordindo con todos los datos y tiempos necesarios sin dar acceso indevido a personas,en lugar y tiempo entre otros. Eso no solo incluye sino toma en cuenta el personal como factor principal de cualquier proceso.
Por ejemplo: Un personal debe determina los datos de entrada en el proceso de seguridad de un proceso especifico de una área de una determinada empresa en un determinado rubro. Ahora como puede determinar un técnico dichos datos sin esto está totalmente conciente de los procesos, sus interrelaciones, tiempos,tareas, registros y posibles riesgos, que incluye su labor en este trabajo especifico. Los clientes muchas veces ni siquiera tienen muy claro, que quieren o dejan la decisión a subordinados, que manipulan a su comodidad y beneficio los accesos a datos entreotros trabas. Los informaticos son los genios de hoy pero serán mejores si entendieron mejor los exigencias y sobre todo los trabas, que pueden causar sus trabajos. Para esto deberían hacer por los menos un curso en cada profesión para cual desarrollan o diseñan programas. En realidad el personal «programador» soporte técnico especialmente si se trata de la seguridad de datos debería tener dos profesiones a la vez y sobre todo algunas actitudesmuypositivas y creativas de mi punto de vista y experiencia.
Espero, que mis intenciones de ampliar su horizonte hacia la economía no causa aburrimiento.
Que tengan mucho exito.
Brigitte
Otro aspeto de seguridad de información-ISO 27001: 2005 – atencion SAP personal. ¿Que pasara si Prof. Dr. Dr. Dr. Hasso Plattner vende SAP a Google o a IBM con los datos de sus clientes? ¿Deberían estar de acuerdo los clientes de SAP con esta venta? Al final cuenta, que la seguridad de los datos de gestión empresarial ( no de la cocina) de sus clientes y del personal de SAP están en juego.
¿Es la tridimensional estratégia de Hasso Plattner adecuado al estandár internacional de seguridad de información ISO 27001-2005? ¿Será mejor una Estrátegia cuantica?
Alguien pensaba, que pasara cuando todos los informaciones de los clientes de IBM y de SAP están en una mano. Información es poder y ya falta no mas la manipulación de google, que borra todo, que no debemos saber. ¿Alguien de los jovenes piensa sobre este asunto una vez por los menos? Prevención es mejor que lamentar la perdida de libertad de información que es una consecuencia amarga pero lógica de la venta de SAP a IBM o a google y de acciones de compra y venta de medios de comunicación por caul causa se acumula cada vez mas el poder. Y aun peor los empresas son totalmente manipulables si todos los informaciones estan mundialmente en los manos de una élite muy poderosa y todo apunta cada dia hacia este futuro. Parace ciencia ficción pero es real. Si esto Hasso Plattner quiere mejor no me llamo mas Brigitte Plattner. Pues esta élite no es formado por angeles sino por guerrreros por genetica.
Ustedes los informaticos son que programan el futuro y son Ustedes, que dan el poder en los manos correctos o equivocados. Creatividad es genial pero debe basarse en conocimientos interrelacionadas y en super muchos. Confio en los jovenes inteligentes, que abren su mente y programan un mundo mejor para ellos.
Que sean muy felices
Brigitte