Mortuux

Diario de un estudiante geek. Informática, tecnología, programación, redes, sistemas operativos, bases de datos…

Seguridad en la empresa.


Responsabilidad. Hay dos practicas comunes que suscitan preocupación en este campo. Por un lado, el uso de las llamadas cuentas basadas en privilegios, es decir, compartidas por múltiples usuarios y, por otro la práctica de compartir información de cuentas o contraseñas para permitir el acceso cuando un empleado no está en la oficina o no está disponible.Ambas prácticas crean un entorno en el que es perfectamente posible negar la responsabilidad ante un problema serio.Sencillamente, no se debe fomentar que se comparta la información de cuentas de usuario o, mejor todavía, debe prohibirse por completo. Esta medida incluye el no permitir a un trabajador que utilice el ordenador de otro cuando para ello sea necesario iniciar una sesión.

Entornos abundante en objetivos para ataques. En la mayoría de negocios, un atacante que pueda encontrar la forma de entrar en las áreas de trabajo del centro puede fácilmente encontrar la forma de acceder a los sistemas. Pocos trabajadores cierran los ordenadores cuando salen del área de trabajo o utilizan contraseñas para el salvapantallas o para el inicio. Una persona malintencionada sólo necesita unos segundos para instalar furtivamente software de vigilancia en un ordenador no protegido. En un banco, el personal de caja siempre cierra el cajón del dinero antes de salir. Es una pena que sea tan poco frecuente encontrar este hábito en otros tipos de organizaciones.Se debería implementar una norma que obligo al uso de éstas contraseñas.

Administración de las contraseñas. Si usted utiliza algún script generador de contraseñas, intente que no sea demasiado predecible, pues cualquier usuario podría escribir algún script para averiguar contraseñas.

Acceso físico. Un empleado que entienda del tema y esté familiarizado con la red de la compañía puede fácilmente utilizar su acceso físico para comprometer los sistemas cuando no tenga a nadie alrededor. Si los empleados protegieran correctamente sus escritorios, ordenadores, portátiles, pda y demás, utilizan contraseñas de la BIOS seguras y cerrando sesiones, el empleado malicioso necesitaría más tiempo para conseguir sus objetivos.

Cubículos “muertos” y otros puntos de acceso. Si se deja un cubículo vacío cuando un empleado deja la compañía o se traslada a un lugar diferente, alguien de la propia empresa podría conectarse a través de los enchufes activos de la red de ese cubículo para sondear la red al tiempo que protege su identidad. O peor, con frecuencia se deja el ordenador en el cubículo conectado a la red, preparado para que cualquiera lo pueda utilizar, incluido un empleado malicioso. Otros puntos de acceso de lugares como salas de conferencia también pueden ofrecer fácilmente acceso a quien esté dispuesto a causar daños.Piense en deshabilitar todos los enchufes de red que no se utilicen para evitar accesos anónimos o no autorizados.

Personal cesado. Todo empleado que haya sido despedido debe considerase como un riesgo potencial. Se debe vigilar por si accediera a información comercial privada, especialmente por si copiara o descarga grandes cantidades de datos. Con cualquier pendrive, en cuestión de minutos se pueden guardar grandes cantidades de información confidencial y salir por la puerta.Debería ser práctica habitual restringir el acceso de un empleado antes de notificarle el cese, el descenso o un traslado no deseado, Además, piense en vigilar su en su ordenador se producen actividades no autorizadas.

Impedir que se sorteen los procesos de seguridad. Cuando los empleados conocen procesos empresariales críticos dentro de la organización, están en buena posición para identificar las debilidades de las comprobaciones y los balances utilizados para detectar el fraude o el robo. Un trabajador deshonesto se encuentra en posición de robar o causar otros daños considerables basándose en ese conocimiento de cómo funciona el negocio. La gente de dentro suele tener acceso ilimitado a las oficinas, archivadores, sistemas de correo interno y conoce los procedimientos diarios de la empresa.Estudie la posibilidad de analizar los procesos confidenciales y críticos para identificar las debilidades que pueda haber y, de este modo, tomar medidas para contrarrestarlas.

Políticas para los visitantes. Establecer prácticas de seguridad para los visitantes externos, incluidos los trabajadores de otros edificios de la misma empresa. Un control de seguridad eficaz pasa por pedir a los visitantes que faciliten identificación oficial antes de permitirles el paso al centro e introducir la información en un registro de seguridad.

Inventario de software y auditoría. Mantener un inventario de todo el software autorizado instalado o permitido para cada sistema y auditar periódicamente estos sistemas para comprobar la conformidad.Este proceso de inventario no sólo garantiza el cumplimiento legal de las normativas de licencias de software, sino que puede utilizarse, también para identificar cualquier instalación de software no autorizado que pueda afectar negativamente a la seguridad, como algún keylogger.

Sistemas de auditoría para la integridad del software. Empleados o personal interno podrían sustituir aplicaciones o archivos del sistema operativo de vital importancia y utilizarlos para burlar los controles de seguridad. Por ejemplo podrían cambiar la forma de trabajo de un programa espía, para que no muestre icono en el tray. En algunas circunstancias, podría resultar conveniente realizar una auditoría de integridad y utilizar una aplicación de terceros que notifique al personal correspondiente los cambios que se puedan introducir en los archivos del sistema.

Exceso de privilegios. En entornos basados en Windows, muchos usuarios finales acceden a sus cuentas con derechos de administrador local en sus propias máquinas. Esta práctica, aunque sea más cómoda, hace enormemente fácil que un empleado disgustado instale un keylogger o un sniffer para monitorear la red. Los atacantes remotos también pueden enviar por correo programas maliciosos ocultos en archivos adjuntos, que después abra un usuario confiado.Se debe proporcionar siempre los mínimos privilegios posibles para que el usuario pueda realizar sus funciones.

Anuncios

Una respuesta a “Seguridad en la empresa.

  1. Pingback:Bitacoras.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: