En el Post anterior les comentaba sobre la importancia de tener el apoyo de la dirección para que la empresa nos tome en serio y que es vital hacer reuniones periódicas para medir el funcionamiento y vigencia del plan de seguridad.

Bueno, ya teniendo el apoyo hay que poner los pies en la tierra y entender contra que nos vamos a pelear, por ejemplo:

• Acceso no autorizado a información sensible: ¿Quién tiene acceso a qué información? ¿Realmente cierto empleado tiene acceso SOLO a la información que NECESITA saber para hacer su chamba? ¿Qué pasa con ese empleado si cambia de puesto? ¿Se actualizan sus privilegios de acuerdo a sus nuevas funciones?
• Alteración de cifras: Alguien que SI TIENE AUTORIZACION para usar cierta información ¿Cómo sé que no la está alterando o abusando de ella?
• El “hombre-proceso”: ¿Se ha puesto a pensar que pasaría si perdiera a su administrador de bases de datos? ¿O a “Jaimito” de desarrollo que es el UNICO que sabe cómo funciona el ERP? Cierto es que es muy complicado tener 2 de todo, pero adoptando mejores prácticas (esa mugre documentación que nadie quiere hacer por ejemplo) podemos estar más tranquilos y no confiarnos de que “Jaimito” es eterno y que nunca le va a pasar nada.
• Procesos de despido de empleados: ¿Qué pasa cuándo corren a alguien? ¿Se vigila que no vaya a robar o alterar información? ¿Qué pasa si deja una “sorpresita” y después se “cae” el sistema por arte de magia?
• Falta de control sobre los administradores: ¿Se lleva un control de lo que están haciendo los administradores? En un ambiente mal diseñado y sin control es muy fácil para ellos hacer cosas indebidas, ya tienen acceso a todo. Es cierto, no siempre es sencillo controlarlos, pero con auditorías o segregación de funciones podemos bajar mucho ese riesgo.
• Falta de estrategia para recuperación de desastres: No tape al pozo hasta que se ahogue el chamaco, PREPARESE para eventos desfavorables ¿Qué pasa si se quema el datacenter? ¿Qué pasa si hay una manifestación y no puede entrar a sus instalaciones? ¿Cuánto tiempo puede durar sin conexión a Internet o sin teléfonos? ¿Hay respaldos? ¿Dónde están? ¿Tengo otro lugar donde pueda restablecer las funciones vitales del negocio? ¿Qué actividades urgen más que otras?
• Robo o extravío de dispositivos: Nos invaden los dispositivos móviles ¿Qué pasa si se roban una Laptop con información delicada? ¿Se encuentran protegidos todos esos aparatejos que andan “de arriba para abajo”?
• Intervención de llamadas telefónicas: ¿Existe la posibilidad de que un tercero escuche las llamadas?
• Ataques dirigidos: ¿Qué pasa si alguien quiere tirar mi sitio Web? ¿Tengo con qué defenderme?
• Espionaje: ¿Sería capaz la competencia (o cómo le quieran llamar) de contratar a alguien para que entre a mis sistemas y me robe información?
• Gente muy “ociosa” o que quiere “aprender”: Hay gente que un día no tiene nada que hacer y para nuestra mala suerte se le ocurre empezar a jugar al hacker con nuestros sistemas, y mucho peor si este fulano es un empleado de la compañía que ya está adentro y debido a una mala administración de nuestra red interna empieza a meterse a donde no debe.

Estos son sólo unos ejemplos de por dónde pueden pegarnos, en el siguiente Post comentaré algunos más y veremos recomendaciones para controlar esto.