Blog - Management

Usar puntuación: / 2
MaloBueno 

Las compañías se esmeran en cuidar sus redes informáticas invirtiendo en la instalación de uno o varios firewalls; Intruder Detector Systems (IDS) y todo tipo de dispositivos para impedir el mal uso de sus redes, tratar de evitar cualquier ataque desde el exterior y prevenirse de cualquier amenaza en general. No cabe duda de que esto es muy importante y debe hacerse, pero ¿son suficientes estas medidas para proteger las verdaderas “joyas de la corona” de una empresa? En otras palabras, ¿están protegidos los datos que se almacenan en la empresa?

Los administradores de redes y servidores tienden a concentrarse en el hardware (buscan tener lo último, de mayor capacidad y lo más rápido) y en el software de base (tratan de instalar las últimas versiones, las actualizaciones disponibles en forma online y estando informados de las últimas noticias sobre vulnerabilidades). Con esto básicamente protegen sus redes y servidores de ataques provenientes desde el exterior de la empresa e intentan asegurar la operatividad de la red.

Por otro lado, mientras esto ocurre es común que se otorguen, por ejemplo, accesos a analistas funcionales sin considerar la más mínima segregación de funciones. A su vez se les permite acceder a opciones incompatibles del sistema por el sólo hecho de que son los encargados de resolver problemas cuando estos ocurren. También se asignan amplios accesos a usuarios finales porque simplemente alguien lo solicitó; o, lo que es aún peor, los administradores pueden acceder libremente a toda la base de datos, simplemente porque está implícito que un administrador debe tener acceso libre a los datos de la compañía.
 
En estos casos la compañía termina por confiar en la buena voluntad de quienes poseen estos accesos y en que no van a realizar ninguna modificación fraudulenta de los datos.

Evidentemente puede no haber dudas sobre la buena voluntad de esta gente, pero hay que entender que el control se basa en eso: la existencia de la buena voluntad de quienes poseen esos accesos a los datos debido a que, en general, no se observan controles que prevengan y minimicen el riesgo de modificaciones indebidas a los datos de la empresa.

Este riesgo muchas veces es ignorado en las empresas que, en algunos casos, incluso están convencidas de que no lo pueden evitar porque implicaría un mayor gasto. Aquí se produce una paradoja porque en general se realizan importantes inversiones en dispositivos y en software de seguridad apuntando a prevenir ataques desde el exterior y no se evalúan de la misma forma los riesgos que tiene el asignar amplios accesos al sistema.  

Podría minimizarse este riesgo aplicando algunas medidas simples y de bajo costo, por ejemplo:

• Entender que nadie debería necesitar para sus funciones habituales un usuario con acceso libre. Éstos deben estar definidos y sus claves guardadas bajo sobre para ser utilizadas en casos de emergencias. Pasada la emergencia se debería auditar lo realizado con este usuario para determinar si es correcto lo que se hizo. 
• A pesar de que se trabaje con un esquema de propietarios de datos, se deberían respetar las opciones de acceso definidas en el sistema y no deberían solicitarse opciones adicionales. Si fuera necesario deben cambiarse, pero no se pueden superponer opciones de acceso. 
• Los usuarios funcionales necesitan tener un acceso amplio a los datos porque son los que asisten a los usuarios finales cuando éstos tienen problemas. Lo expuesto puede resolverse con un acceso amplio de consulta, no deberían necesitar la posibilidad de modificar datos para realizar sus tareas.

En definitiva, hay que poner mucho empeño en la asignación de facilidades de acceso para los usuarios. Se debe entender que, en seguridad informática, todo es importante y que las verdaderas “joyas de la corona” de una empresa son sus datos. Por lo tanto, es necesario implementar medidas de protección acordes con la importancia de los mismos.

Por Miguel Delle Donne, Director de Information Risk Management, KPMG Argentina.