Caso de Estudio #07: Escritorio Limpio

Escrito por Oscar Andres Schmitz Viernes, 22 de Agosto de 2008 21:00

En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.

El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.

Objetivo del trabajo

Realizar un video que permita visualizar distintas vulnerabilidades a la seguridad, en particular referidos a los activos de información, ocasionadas por no tener en cuenta medidas básicas en la actividad cotidiana de una oficina.

Desarrollo del trabajo

Tomando como base la ejercitación en propuesta por el libro "Informática orientada a la Seguridad" pág. 154/155 (Activos de Información que deben ser resguardados bajo la Política de Escritorio Limpio), el equipo de trabajo consideró que teniendo en cuenta la importancia del tema sería conveniente desarrollarlo didácticamente en un video. Al respecto elaboró cuatro proyectos hasta arribar al guión y contenido definitvo.

En el desarrollo de las grabaciones y ediciones, se contó con el apoyo de Marcelo Martinez (Hijo de Gonzalo Martinez) que ha realizado estudios de cine en el CIC (Centro de Estudios de Investigaciones Cinematográficas) y que ha participado en distintos largometrajes y publicidades.

El corto se rodó en dependencias del Ministerio de Trabajo, Empleo y Seguridad Social, habiéndose solicitado la autorización correspondiente para utilizar una oficina como centro de escenario principal. Como contraprestación este corto se utilizará en Capacitación de Seguridad en el citado Ministerio.

Alcance del trabajo: Propósito

1) Visualizar detalles de inseguridad: Carpetas con identificación de temas confidenciales (Ej. listado de personal a dejar prescindible, estrategia de la empresa 2008/2010). CD's. DKT. Celular. Post-it con la clave en la PC. Papelero con muchos papeles. Impresiones recién realizadas en la impresora. Computadora prendida. Bebida próxima a los expedientes.

2) Determinar la situación que vive la empresa de lanzamiento de un nuevo producto.

3) Visualizar detalles de inseguridad.

4) Presentación de un compañero de trabajo que en forma reiterada no puede ser atendido.

5) Demostrar el mal uso de claves de seguridad y contraseñas.

6) Falta de resguardo de la información.

7) Demostrar como las debilidades puntualizadas son explotadas.

Alcance del trabajo: Desarrollo

1) Visualizar la situación de una persona bajo stress y falta de concientización sobre la seguridad de la información.

2) Comunicación telefóonica entre el personaje y su jefe donde se expresa que tiene lista la presentación y que dispone de tres copias a muy buen resguardo. Del dicho al hecho, un largo trecho.

3) Mientras habla por teléfono se presenta nuevamente su compañero solicitándole información a lo que el personaje le responde que está ocupado que regrese un unos minutos. El compañero se retira ofuscado.

4) El personaje al olvidar su clave de acceso al sistema le solicita a su soporte de seguridad la lectura de la misma. Luego la misma es transcripta y pegada en un Post-it en su PC.

5) Se presenta el mozo solicitándole al personaje el pago de consumiciones recibiendo la negativa al respecto.

Al final del video, los puntos indicados anterioremete tienen un final no tan alejado a la realidad, que puede ocurrir en cada una de nuestras oficinas si no tenemos el debido nivel de concientización y capacitación al respecto de la Seguridad de la Información.

< Prev		Próximo >

El autor Oscar Andres Schmitz es miembro desde el Jueves, 11 Octubre 2007.

Otros artículos del autor...

Comentarios

0 #2 matnic30 31-08-2008 07:26

En mi caso, la experiencia, dice lo contrario. Mas allá de las herramientas informáticas si el jefe es conciente hace que se cumpla la regla, no hace falta tener el escritorio totalmente sin papeles, con tener un mueble "cerca" bajo llave se puede guardar la información sensible.
Con respecto a la PC es algo parecido y si bien el video muestra un empleado que transmite la clave real hay métodos para evitarlo, por ejemplo bloqueo del puerto usb, quitar grabadoras, y controlar el trafico centralizado estas tareas en un sector de control, por eso reitero que desde mi punto de vista no es un problema de cuando papeles o herramientas se utilicen sino un supervisor encargado de mantener esta norma como cualquier otra de la empresa.

0 #1 miguelo 25-08-2008 12:21

La idea no es nueva, hace unos años los que estamos involucrados en el área de sistema, o afines, tenemos el ideal en mente de un escritorio sin papeles, esto pasado en limpio es no emplear ningún escrito, memorando, "notita", carta, recordatorio que use papel, cuaderno etc. Sin embargo llevar a la práctica esta idea es casi utópica si existe un sistema, inteligentemente pensado, y, además, los miembros involucrados no se predisponen a este cambio (crisis!). Como segundo punto importante sería tener las herramientas informáticas para esto.
El eje central de esto es la comunicación, un servidor de comunicaciones como Exchange 2007, donde los mensajes, textos, archivos son REALMENTE tratados como objetos, y uno, "deposita" un archivo .doc en el mailbox del destinatario (corporativamente hablando, entre servidores exchange desconozco si funciona, menos si se realiza entre servidores distintos a los de M$). Saludos. Miguel

Refrescar lista de comentarios
Suscripción de noticias RSS para comentarios de esta entrada.

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.

JComments