Seguridad: Bonita alfombra, lástima lo de abajo.
Me imagino este escenario y más de un CIO se habrá encontrado con el mismo:
- "Luego de una revisión general de todos los aspectos de seguridad informática en la Compañía, Abel comenzó a planificar los pasos para mejorar en ese sentido. Lo primero que hizo fue contratar a una empresa consultora en Seguridad, con técnicos de primer nivel y una base muy fuerte en el tema.
Se trabajó en varios frentes: seguridad de la red, acceso físico, acceso remoto, ciclos de vida, etc.
Llegó el momento de implementar claves fuertes: se optó por 8 dígitos, aplicando tres de cuatro posibilidades (mayúsculas, minúsculas, números y signos). Se forzó el vencimiento de las actuales (previa comunicación, por supuesto) para que los usuarios apliquen la norma lo antes posible.
Ya con la mitad del camino recorrido, llegó Susana, una analista de sistemas que había trabajado recientemente en un proceso parecido en su trabajo anterior. Uno nunca se daría cuenta de cierta picardía que existía muy dentro en su personalidad, aparentemente introspectiva.
Un día, durante la hora de almuerzo, Susana lo invitó a Abel a recorrer la planta y las oficinas en búsqueda de brechas posibles de seguridad...
- No vamos a encontrar nada, pero te acompaño igual - comentó Abel, seguro de ver todas las máquinas bloqueadas con su correspondiente screensaver activado como política general y sin posibilidad de modificarla.
Tampoco vamos a encontrar claves simples -pensó- ya forzamos las políticas y a esta altura todas las claves antiguas deberían haber caducado.
Susana caminaba como entusiasmada, dos pasos delante de Abel, y apenas llegaron al primer escritorio, dio vuelta el teclado:
¡La clave estaba escrita debajo del mismo!: Ribolzi92! (por supuesto, respetaba las indicaciones de complejidad)
La cara de Abel no podía haberse puesto más colorada."
Era lógico, durante todo el trabajo se puso foco en lo técnico y se comunicaron las nuevas acciones sólo vía email.
Olvidarse de concientizar al usuario puede ser clave en cada proceso de implementaciones de prácticas de seguridad y puede poner en riesgo la totalidad del mismo.
Por eso, mi recomendación: Consíguete una buena consultora que no sólo trabaje la parte técnica, sino que tenga empleados capacitados en los planes de comunicación que deben acompañar y los canales efectivos para la misma.
_______________________________________________________________________________________________
Ahora sí, los tips del post:
- Estuve en San Pablo la semana pasada, con una de las comunidades japonesas fuera de Japón más importantes del mundo. Lo lógico, entonces, era comer sushi: fuimos a Shintori; no te vas a arrepentir probando un poco de todo.
- La mejor manera con la que arranco la mañana: darle una leída a la tira de Dilbert del día.
- ¿No vives en Argentina pero te apasiona el fútbol? Te invito a que visites el sitio del Museo de la Pasión Boquense, dedicado al equipo más ganador de copas internacionales (y el mayor club de Argentina)
Comments
Anonymous
January 01, 2003
En cuanto al primer comentario, adhiero parcialmente, creo que varios ya lo hicieron. En cuanto al segundo comentario: 100% de acuerdo! :-)Anonymous
March 12, 2007
Algún día los colegas se darán cuenta de que las soluciones no son sólo técnicas! A propósito, vamos Boca todavía ! ;-)