El enemigo puede estar dentro

Los ingenieros de seguridad de la información pasan mucho tiempo con el Sistema de Gestión de la Seguridad de la Información estableciendo procedimientos y definiendo contramedidas para mitigar los riesgos de posibles atacantes externos: firewalls, IPS, DMZ, … Siempre pensando que es un atacante externo el que quiere acceder a nuestros recursos y robar nuestra información ya sea un robo de espionaje industrial, un robo de credenciales a nuestros usuarios, el script kiddie o el clásico y cada vez menos frecuente, ataque del hacker de la vieja escuela que lo hace por el mero reto intelectual.

Ahora bien… ¿qué pasa con la gente que tenemos detrás de los controles que definen la seguridad perimetral? ¿Qué pasa con todos nuestros empleados? Los usuarios, el personal subcontratado…
Esta gente puede tener las puertas abiertas a todos nuestros activos y recursos.

Es por ello imprescindible realizar buenos procesos de vetting para asegurarnos de la identidad e idoneidad del personal que se va a incorporar a nuestra organización, en especial cuando se trata de puestos clave, con grandes accesos y/o responsabilidades.

Además del vetting y del background check habrá que definir las medidas técnicas, procedimentales y organizativas para asegurarnos de que nuestros empleados y usuarios tienen acceso en función de su necesidad de conocer o need to know.

Las medidas técnicas son más o menos sencillas de implementar y dependen muchas veces sólo del presupuesto… segmentar las redes con firewalls internos, instalar productos de antivirus y antispyware (el robo de credenciales e información corporativa puede realizarse y se realiza muchas veces desde el exterior utilizando al personal interno mediante un virus o un troyano), detectores de intrusión, IPS, y los nuevos DLP (Data Leak Protection)…

Más difícil son las medidas organizativas y de procedimiento porque ahí la dificultad radica en no enfrentar en exceso las necesidades del negocio con las restricciones de seguridad.
Los usuarios habitualmente se quejarán de las medidas de seguridad exponiendo que no les dejan trabajar y es habitual que se produzcan choques entre usabilidad y seguridad.

Esa es una de las dificultades del trabajo del ingeniero de seguridad, hacer que las medidas sean lo menos intrusivas posible y adecuadas a las necesidades del negocio.

Dejar un comentario?

1 Comentarios.

Deje un comentario

Trackbacks y Pingbacks:

A %d blogueros les gusta esto: