Hace unos días día leía una noticia sobre un ex-empleado que borró la información de su antigua compañía, al parecer furioso con su organización por hacer recibido un informe laboral desfavorable.
Más allá de los típicos comentarios que se puedan hacer al respecto, de los cuales tenemos una buena representación asociados al propio artículo, creo que es necesario prestar atención a algunos aspectos que creo que pueden ser significativos:
* La persona en cuestión parece que tenía problemas de relación inter-personal. Si el hecho ya estaba en conocimiento de RR.HH., como parece, vamos a la segunda derivada. ¿Se habían analizado las posibles consecuencias más allá de el propio hecho? ¿Existía una especial atención al comportamiento de esta persona desde otros puntos de vista, como podría ser el de seguridad de la información?
* Estamos ante una persona con importantes privilegios dentro de la organización, ya que se trata del director de servicios técnicos. Alguien que de hecho tenía que poder realizar las acciones que desarrolló si hubiera seguido formando parte de la organización. ¿Cuál era la estructura de control interno de la compañía? ¿Cómo se supervisaba o auditaba la actividad de las personas con mayores privilegios, que son precisamente las que tienen el mayor riesgo potencial asociado?
* Tras su dimisión se pudo conectar a los sistemas para llevar a cabo las acciones ilegales. ¿Por qué no funcionó el procedimiento de bajas? ¿No hubiera sido necesaria una especial atención dado el perfil del sujeto, de altos privlegios, y las condiciones de la baja, en forma de "dimisión airada"?
El hecho que quiero destacar es que, en este caso, no es que se produjera un fallo concreto en un elemento específico de la organización, sino que la pérdida de casi medio millón de dólares estuvo producida por la concurrencia de fallos de seguridad en distintos ámbitos (seguridad ligada al personal, monitorización, procedimiento de bajas, ...). Es un claro ejemplo no sólo de que los mayores riesgos de seguridad están dentro de casa, sino de que sin una estrategia que trate la seguridad de forma global es probable que aparezcan casos en los que una conjunción de factores de riesgo sean capaces de desencadenar graves pérdidas para la organización. ¿Hubiera sido posible evitar el incidente con un buen SGSI? Yo creo que sí...
skip to main |
skip to sidebar
Hispalive Un linuxero visitando al enemigo - La seguridad informática no es un concepto booleano, sino un concepto cuantitativo
Bolsa
Añade las cotizaciones a tu página web© Ecoprensa S.A.
Links
Datos personales
Archivo del blog
-
▼
2008
(105)
- ► septiembre (2)
-
▼
junio
(10)
- La ICANN, hackeada
- Microsoft contrata a más ingenieros para su divisi...
- Firefox gana un benchmark de memoria
- Empleado descontento
- The Pirate Bay usará conexiones SSL
- Bill Gates: un jubilado de lujo
- Identifican agujero de seguridad crítico en Firefox 3
- Check Point VPN-1 adaptado para iPhone
- La Guardia Civil olvida informes confidenciales de...
- Caso Elitedivx: proporcionar enlaces P2P no es delito
Etiquetas
- 3G-4G (3)
- ADSL (6)
- ccoo (1)
- Certificaciones (3)
- Ciclismo (1)
- coche (1)
- dns (1)
- EADS (1)
- Economia (5)
- FFTH (4)
- Firefox (4)
- google (17)
- Guardia Civil (1)
- hardware (24)
- iphone (3)
- IPv6 (1)
- LOPD (1)
- maquinas (4)
- Microsoft (23)
- mis equipos (1)
- mysql sun (2)
- p2p (7)
- S.O. (19)
- seguridad (22)
- software (1)
- TELECABLE (1)
- trabajo (1)
- ubuntu (2)
- UPnP (1)
- VeriSign (1)
- Visual Studio (1)
- vmware (1)
- wifi (1)
- Yoigo (3)