Diariamente, en las labores de consultoría de seguridad nos encontramos casos donde información crítica era accedida por toda la organización o el programa de contabilidad únicamente tenía un único usuario y contraseña y era utilizado por cinco personas diferentes o el infalible “yo le dejo la contraseña a mi compañero por si necesita entrar a mi equipo durante mi ausencia”.
Si algunas de estas actuaciones existen en vuestra organización, existe un problema de trazabilidad (“accountability”) de las acciones de un usuario en los diferentes sistemas de información. ¿Por qué? Un ejemplo muy claro es el siguiente, si cinco personas acceden con el mismo usuario y contraseña a una aplicación critica como la de contabilidad y alguno hace asientos o modifica datos de los mismos. ¿De quién es responsabilidad? ¿Cómo identificar al responsable de las acciones?
¿Y cuáles son los pasos a realizar? De una manera generalista:
- Obtener un listado de los sistemas y los usuarios que acceden a éstos
- Realizar reuniones con los diferentes departamentos para identificar los accesos y los permisos a los distintos sistemas de información.
- Diseñar una tabla donde se relacionen permisos y roles de usuarios con departamentos y sistemas de información
- Elaboración de un procedimiento en colaboración con Recursos Humanos para la gestión de altas, bajas y modificación de permisos de los usuarios en los sistemas de información de la organización.
Además es necesario que todos estos pasos sean apoyados por la gerencia y vayan en consonancia con las necesidades del negocio.
Una vez implantado el nuevo sistema es recomendable una formación y concienciación en seguridad para los diferentes empleados haciendo hincapié en los siguientes temas:
- Utilización de dispositivos móviles y de almacenamiento
- Formación en creación de contraseñas robustas (buenas prácticas, complejidad vs funcionalidad)
- Riesgos en Internet
Javier Allende
Enviar comentarios