muchos ataques informáticos no se pueden prevenir simplemente protegiendo el perímetro. Cuando el enemigo no es un hacker, sino, alguien de adentro.

Esta historia pone de manifiesto que muchos ataques informáticos no se pueden prevenir simplemente protegiendo el perímetro. Cuando el enemigo no es un hacker adolescente ni un ladrón diestro en la informática, sino, alguien de dentro (un empleado descontento, un trabajador resentido que acaban de despedir) Con frecuencia la gente de dentro puede suponer una amenaza mayor que los atacantes que aparecen en los periódicos. Mientras que la mayoría de los controles de seguridad tienen como objetivo la protección del perímetro contra atacantes externos, es la gente de la propia organización la que puede acceder al equipo físico y electrónico, el cableado, las salas de telecomunicaciones, las estaciones de trabajo y los enchufes de las redes. Además, también saben quién maneja la información confidencial en la organización y en qué sistemas informáticos se almacena, además de saber cómo sortear las comprobaciones implementadas para reducir los robos y los fraudes Entre los controles de seguridad más relevantes que pueden ser efectivos para prevenir y detectar los abusos de personal interno, se
encuentran los siguientes:
Responsabilidad. Hay dos prácticas comunes que suscitan preocupación en este campo. Por un lado, el uso de las llamadas cuentas basadas en privilegios, es decir, compartidas por múltiples usuarios; y, por otro, la práctica de compartir información de cuentas o contraseñas para permitir el acceso cuando un empleado no está en la oficina o no está disponible. Ambas prácticas crean un entorno en el que es perfectamente posible negar la responsabilidad ante un problema serio. Sencillamente, no se debe fomentar que se comparta la información de cuentas de usuario o, mejor todavía, debe prohibirse por completo. Esta medida incluye el no permitir a un trabajador que utilice la estación de trabajo de otro cuando para ello sea necesario iniciar una
sesión.
Entornos abundantes en objetivos para ataques. En la mayoría de negocios, un atacante que pueda encontrar la forma de entrar en las áreas de trabajo del centro puede fácilmente encontrar la forma de acceder a los sistemas. Pocos trabajadores cierran los ordenadores cuando salen del área de trabajo o utilizan contraseñas para el salvapantallas o para el inicio. Una persona malintencionada sólo necesita unos segundos para instalar furtivamente software de vigilancia en una estación de trabajo que no esté protegida. En un banco, el personal de caja siempre cierra el cajón del dinero antes de salir. Es una pena que sea tan poco frecuente encontrar este hábito en otros tipos de organizaciones. Piense en la posibilidad de implementar una norma que exija el
uso de contraseñas para los salvapantallas u otros programas para cerrar electrónicamente la máquina. Asegúrese de que el departamento de informática obliga al cumplimiento de esta norma mediante la gestión de la configuración.
Administración de las contraseñas. Tengo una amiga que ha entrado a trabajar recientemente en una de las 50 mejores empresas, según la revista Fortune, y resulta que utiliza un patrón predecible para asignar contraseñas de acceso desde fuera a la intranet basada en la Web. Consiste en el nombre del usuario seguido de un número aleatorio de tres dígitos. Esta contraseña se crea al contratar a la persona y el usuario ya no puede cambiarla jamás. De este modo, cualquier empleado puede escribir un sencillo script para averiguar una contraseña en no más de 1000 intentos, es cuestión de segundos.
Las contraseñas de los empleados, independientemente de que las cree la compañía o las elijan los usuarios, no deben seguir un patrón que sea fácil de predecir.
Acceso físico. Un empleado que entienda del tema y esté familiarizado con la red de la compañía puede fácilmente utilizar su
acceso físico para comprometer los sistemas cuando no tenga nadie alrededor. Durante un tiempo trabajé para la GTE de California, la compañía de telecomunicaciones. Tener acceso físico al edificio era como tener las llaves del reino, todo estaba abierto. Cualquiera podía ir a la estación de trabajo del cubículo o de la oficina de otro empleado y acceder a sistemas privados. Si los empleados protegieran correctamente sus escritorios, estaciones de trabajo, portátiles y PDA utilizando contraseñas de la BIOS seguras y cerrando las sesiones, el empleado malicioso necesitaría más tiempo para conseguir sus objetivos. Forme a sus empleados para que sepan enfrentarse con confianza
a personas cuando no estén seguros de su identidad, especialmente en áreas restringidas. Utilice controles de seguridad física como son las cámaras y/o los sistemas de acceso mediante placas de identificación para controlar la entrada, la vigilancia y el movimiento dentro del edificio.
Medite sobre la posibilidad de revisar periódicamente los registros de entradas y salidas físicas para identificar pautas inusuales de comportamiento, en especial, cuando ocurran incidentes.
Cubículos "muertos" y otros puntos de acceso. Si se deja un cubículo vacío cuando un empleado deja la compañía o se traslada a unlugar diferente, alguien de la propia empresa podría conectase a través de los enchufes activos de la red de ese cubículo para sondear la red al
tiempo que protege su identidad. O peor, con frecuencia se deja la estación de trabajo en el cubículo, conectada a la red, preparada para que cualquiera la pueda utilizar, incluido un empleado malicioso (o cualquier visitante no autorizado que descubra el cubículo abandonado).
Otros puntos de acceso de lugares como salas de conferencias también pueden ofrecer fácilmente acceso a quien esté dispuesto a causar daños. Piense en deshabilitar todos los enchufes de red que no se utilicen para evitar accesos anónimos o no autorizados. Asegúrese de que los
sistemas informáticos de los cubículos vacíos están protegidos contra accesos no autorizados.
Personal cesado. Todo empleado al que se haya entregado la carta de despido debe considerarse como un riesgo potencial. Se debe vigilar por si accediera a información comercial privada, especialmente por si copiara o descarga grandes cantidades de datos. Con cualquiera de
esas unidades flash USB minúsculas tan fáciles de conseguir ahora y que tienen capacidad de un gigabyte, o más, de datos, en cuestión de minutos se pueden guardar grandes cantidades de información confidencial y salir por la puerta. Debería ser práctica habitual restringir el acceso de un empleado antes de notificarle el cese, el descenso o un traslado no deseado. Además, piense en vigilar el uso que hace el empleado de su ordenador para saber si hay actividades no autorizadas o potencialmente dañinas.
Instalación de hardware no autorizado. Un empleado malicioso puede acceder fácilmente al cubículo de un compañero e instalar un componente de hardware o software registradores de tecleo {keystroke loggers) para capturar contraseñas y otra información privada. También aquí las unidades flash facilitan el robo de datos. Debemos reconocer que una norma de seguridad que prohiba la introducción de componentes de hardware sin previa autorización por escrito, aunque esté justificada en algunas circunstancias, es difícil de controlar. En algunas situaciones, el sentido común dicta que elaborar medidas de precaución para la seguridad es una pérdida de tiempo. En
una escuela militar, por ejemplo, uno no espera que entre los estudiantes haya muchos buscando la más mínima oportunidad para engañar o desafiar las reglas. En una escuela primaria, tampoco se espera que los niños de diez años tengan más conocimientos sobre seguridad informática
que el gurú de la tecnología que ocupa el cargo.

Moraleja: si está a cargo de la seguridad de la información en un
colegio, grupo de trabajo, empresa o cualquier otra identidad, debe contar
con que algunos adversarios malintencionados, incluidas personas de la
misma organización, están buscando una pequeña grieta en la pared, el
punto más débil de la cadena de seguridad para romper la red. No espere
que todo el mundo vaya a respetar las reglas. Tome medidas rentables
para evitar las potenciales intrusiones, pero no olvide seguir buscando
algo que haya podido pasar por alto. Hay quien cuenta con sus descuidos.
Tomado del Arte de la Intrusion escrito por el Ex Hacker Kevin Mitnick
www.globaldll.com