Categoría: Seguridad de la Información
En el tiempo que llevo en este campo he podido constatar que hay un escenario tipo que tiene ciertas "particularidades" en cuanto a seguridad de la información. Este escenario es el formado por varios departamentos de diferente índole trabajando en una misma ubicación con ninguna o mínimas medidas de separación física interdepartamental y uso de impresoras compartidas.
En estas situaciones hay ciertas particularidades que cobran una importancia vital y que en ocasiones son descuidadas por aquello de que; lo que entra en el terreno de la cotidianidad pasa al lado de la confianza y deja de ser visto como un riesgo.
Uno de estos factores es el etiquetado de la información. En estos entornos, el etiquetado de la información puede pasar de ser un factor diferenciador, con respecto a qué medidas de seguridad se deben aplicar para salvaguardar su confidencialidad, a ser una golosina para quien puede ver tal etiquetado en el documento que está trabajando su compañero. "Un documento confidencial... ¿Qué contendrá?". Para prevenir esto, puede ser buena idea introducir un procedimiento de etiquetado de la información no basado en etiquetas legibles. Si este procedimiento es el mismo para toda la organización no conseguiremos huir de la curiosidad del compañero, pero sí del invitado que entra en nuestras instalaciones.
Lo comentado en el párrafo anterior entronca con la dificultad de mantener el principio de acceso a la información necesaria. Cada persona debería tener acceso únicamente a la información necesaria para el desempeño de su trabajo pero en un entorno interdepartamental compartido esto requiere una disciplina extra y unas medidas de seguridad física compensatorias como por ejemplo, cajones con llave donde guardar la información de trabajo una vez se abandona el puesto de trabajo dando cumplimiento a la política de escritorio despejado.
Sin duda alguna, las impresoras compartidas no ayudan en absoluto porque, como no, resulta que tenemos un compañero que es bastante despistado y manda las cosas a más de una impresora o símplemente se olvida de recogerlas de la misma o, por qué no, la impresora es caprichosa y cuando lo mandas te da un error, pero claro, a los 3 días aparece tu documento en la impresora. Todo esto sin contar que si la impresora es compartida con otras áreas físicas de la empresa, los trabajadores de otra área se equivocan y mandan los documentos a la impresora del espacio compartido y voilá!! un dossier con decenas de datos personales que mandó el de Recursos Humanos.
En relación al tema anterior me gustaría hacer mención a las destructoras de papel y su ubicación. Idealmente, la destructora de papel debería estar en un lugar cercano a donde se genera la mayor parte de la documentación. Cerca de la impresora parece a priori un lugar adecuado dado que facilitaría la destrucción de información errónea, equívoca o simplemente no útil. Pero... ¿cómo debe la información ser destruida? (Esto me da para otro post como mínimo ;)).
Otra piedra de toque esencial en estos entornos es el protector de pantalla por contraseña. Al igual que con la política de escritorio despejado, el escritorio de nuestro ordenador debe quedar bloqueado a la más mínima ausencia. Esta labor es más sencilla si los PCs son ubicados bajo un dominio dado que estas directivas pueden ser establecidas en el servidor de dominio y transmitidas a los clientes que inicien sesión bajo tal dominio.
El escenario se complica si los puestos son fijos y los ordenadores son portátiles. O bien compras / solicitas un candado para tu portátil o el portátil y toda tu documentación que no desees sea conocida por nadie más (en caso de no disponer de cajones con llave), te acompañarán como si fueran tu sombra, a la hora del almuerzo, a la comida, y todos los días hasta casa.
En un entorno compartido es relativamente fácil simular que hablas por teléfono y grabar las contraseñas del compañero cuando las teclea en un ejercicio de picardía y evolución de lo que se conoce como
shoulder surfing.
En definitiva, con este post, no quiero dar una solución a un entorno compartido en el que se ubican diferentes departamentos tratando datos sensibles, entre otras cosas porque cada situación es única y los controles a aplicar deberán salir del
análisis de riesgos, exigencias legales y objetivos de negocio, sino hacer reflexionar a aquellos que disponen de un entorno de este tipo de sus posibles amenazas y vulnerabilidades.
En numerosas ocasiones, restricciones de negocio o económicas hacen imposible cambiar el entorno físico en el que se desarrolla la actividad de los trabajadores. En este caso, si se desea reducir el nivel de riesgo se aplicarán controles como los descritos con anterioridad y que a continuación resumo:
- Aplicar una política de escritorio despejado y concienciar sobre la importancia de su uso.
- Advertir de las responsabilidades en caso de facilitar la contraseña y poner sobreaviso al empleado de que su contraseña puede ser capturada con relativa facilidad.
- Comprar candados para los PC portátiles (valorar si también los fijos)
- Aplicar directivas de seguridad globales basadas en un controlador de dominio que obliguen al usuario a cambiar la contraseña cada cierto periodo de tiempo (implementación del procedimiento de establecimiento de contraseñas)
- Restringir mediante directivas de seguridad la longitud y caractéres alfabéticos que debe contener la contraseña de usuario.
- Disponer de cajones con llave en los cuales se guarde aquella información que sólo debe ser conocida por su poseedor.
- Disponer de destructoras de un nivel de seguridad adecuado y en una ubicación correcta.
- Utilizar un convenio de etiquetado de la información no legible.
Salu2!