Siguiente: El atacante interno
Subir: Administradores, usuarios y personal
Anterior: Actos delictivos
Índice General
La solución a problemas relacionados con el personal es con frecuencia mucho
más compleja que la de problemas de seguridad lógica o seguridad de la
red: mientras que un administrador puede aprovechar herramientas de seguridad,
capacidades del sistema operativo, o cifrado de datos para prevenir ciertos
ataques, es mucho más difícil para él concienciar a los usuarios de
unas mínimas medidas de prevención o convencer a un guardia de seguridad
de que sólo deje acceder a la sala de operaciones a un número restringido de
personas.
Generalmente los usuarios de máquinas Unix en entornos habituales son
personas
muy poco formadas en el manejo del sistema operativo, y mucho menos en lo que
a seguridad informática se refiere; se suele tratar de usuarios que
sólo utilizan la máquina para ejecutar aplicaciones muy concretas
(simulaciones, compiladores, gestión del correo electrónico, aplicaciones
científicas...relacionadas con su área de trabajo), y cuya única
preocupación es que sus datos estén listos cuando
los requieren, de la forma más fácil y rápida posible. Incluso el
administrador de ciertos sistemas es uno de estos usuarios, elegido dentro del
grupo (o mucho peor, son todos los usuarios). Evidentemente, resulta muy
difícil concienciar a estas personas de la necesidad de seguridad en el
entorno; posturas como `no importa que mi clave sea débil, sólo
utilizo la cuenta para imprimir con la láser' son por desgracia demasiado
frecuentes. El responsable de seguridad ha de concienciar a todas estas personas
de la necesidad de la seguridad para que el entorno de trabajo funcione como
se espera de él; la seguridad informática se ha de ver como una cadena que
se rompe si falla uno de sus eslabones: no importa que tengamos un sistema
de cifrado resistente a cualquier ataque o una autenticación fuerte de
cualquier entidad del sistema si un intruso es capaz de obtener un nombre de
usuario con su correspondiente contraseña simplemente llamando por teléfono
a una secretaria.
Además de concienciación de los usuarios y administradores en cuanto
a seguridad se refiere (esto sería el QUÉ), para conseguir un
sistema fiable es necesaria la formación de los mismos (el CÓMO). De la misma forma que a nadie se le ocurre conducir sin tener unos
conocimientos básicos sobre un automóvil, no debería ser tan habitual
que la gente utilice o administre Unix sin unos conocimientos previos del
sistema operativo. Evidentemente, a un químico que utiliza el sistema para
simular el comportamiento de determinada sustancia bajo ciertas condiciones no
se le puede exigir un curso intensivo o unos grandes conocimientos de mecanismos
de seguridad en Unix; pero sí que sería recomendable que conozca
unas ideas básicas (volviendo al ejemplo del automóvil, para conducir un
coche a nadie se le exige ser un as de la mecánica, pero sí unas
cualidades mínimas). Estas ideas básicas se pueden incluso resumir en una
hoja que se le entregue a cada usuario al darlos de alta en el sistema. Si
pasamos a hablar de administradores, sí que sería recomendable
exigirles un cierto nivel de conocimientos de seguridad, nivel que se puede
adquirir simplemente leyendo algún libro (especialmente recomendado
sería [GS96] o, para los que dispongan de menos tiempo,
[RCG96]).
Un grupo de personas más delicado si cabe es el conjunto formado por todos
aquellos que no son usuarios del sistema pero que en cierta forma pueden llegar
a comprometerlo. Por ejemplo, en este conjunto encontramos elementos tan
diversos como guardias de seguridad que controlen el acceso a las instalaciones
informáticas o personal de administración y servicios que no utilicen el
sistema pero que tengan acceso físico a él, como electricistas, bedeles
o personal de limpieza. Sin entrar en temas que seguramente no son aplicables
a los sistemas habituales, como el espionaje industrial o el terrorismo
de alta magnitud4.2, simplemente hemos de concienciar y enseñar a estos `usuarios'
unas medidas básicas a tomar para no poner en peligro nuestra seguridad;
estas medidas dependen por supuesto de la función de cada unas personas
realice.
Pero, >qué sucede cuando el personal de nuestra propia organización
produce ataques (y no accidentes) sobre nuestros sistemas? En este caso las
consecuencias pueden ser gravísimas, y por tanto las medidad de
protección y detección han de ser estrictas. Se ha de llevar a cabo un
control estricto de las actividades que se realizan en la organización, por
ejemplo mediante políticas que han de ser de obligado cumplimiento,
así como un control de acceso a todos los recursos de los que disponemos
(mediante mecanismos de autenticación de usuarios, alarmas, etc.). Además,
las sanciones en caso de incumplimiento de las normas han de ser efectivas y
ejemplares: si un usuario viola intencionadamente nuestra seguridad y no se
le sanciona adecuadamente, estamos invitando al resto de usuarios a que hagan
lo mismo. En el punto siguiente vamos a hablar con más profundidad de estos
atacantes, denominados internos.
Siguiente: El atacante interno
Subir: Administradores, usuarios y personal
Anterior: Actos delictivos
Índice General
2003-08-08