Siempre he pensado que el área TI (Tecnologías de Información), mejor conocida como “Sistemas”, está subvalorada; sin embargo, también pienso que algunos responsables de TI, deberían buscar, de manera más vehemente, que TI sea un área estratégica; dar soluciones que aporten a la compañía, y no sólo a las actividades cotidianas del día a día o “apagar incendios” o “bomberazos”. Desafortunadamente la gente percibe así a TI, pero haré a un lado mi trauma impresión y hablaré de algo que me inquieta particularmente desde que me pasé al lado oscuro de la fuerza área de Seguridad de la Información hace varios años.
¿Qué información confidencial podrían ver? La que se te ocurra: nómina, salarios, bonos, aumentos, próximos despidos, estrategias comerciales, datos personales de empleados o clientes; fórmulas, estados de salud, archivos, emails o fotos personales que los empleados tengan en sus equipos o directorios; y un sinfín de documentos provocando brechas de seguridad y fugas de información. Pero no sólo se podría limitar a ver, ya que un administrador podría modificar la información, copiarla, enviarla por email, llevársela en medios de almacenamiento, subirla a la nube, etc. y además, borrar el rastro. ¿Cuántas personas se van de un trabajo a otro y se llevan información que consideran de ellos, o que les podría servir en algún punto? Ahora imagínense que mucha gente de TI tiene todas las herramientas y conocimientos para “brincarse” las barreras y hacer lo mismo y más. Y esta situación me lleva a esta pregunta reflexiva del poeta romano Juvenal: «Quiscustodiet ipsos custodes?», o lo que es lo mismo: «¿Quién vigilará a los vigilantes?». Es analogía.
objetivo tiene revisarlos y muchas preguntas que hay que concretar primero para que la estrategia de monitoreo de logs, sea efectiva. Pero finalmente, revisar un log es un control detectivo, cuando en realidad queremos un control preventivo. Si nadie puede usar el puerto USB, un administrador tendría la facultad de otorgar dicho permiso para sí mismo. Si nadie puede navegar libremente en internet por filtros de contenido, un administrador podría quitarse dicha restricción.
Para continuar el texto, requiero hacer un cambio. Permítanme tantito.
- Desarrollar política de accesos y uso de cuentas privilegiadas
- Identificar todas las cuentas privilegiadas, genéricas, y que sirvan para procesos automáticos
- Tener cuentas personalizadas, únicas e identificables en lugar de genéricas, default y built-in como: root, SA, SYS, Sysadmin, admin, administrator, dbo, dba, etc., y no compartirlas
- NO usar las cuentas arriba mencionadas a menos que sea estrictamente necesario y por medio de un control definido; quizás como el break glass que contemple proceso de autorización
- Documentar el propósito y duración de cada solicitud de acceso privilegiado
- Tener cuentas para los administradores que sean identificables y diferentes a su cuenta de usuario regular (es decir, mi cuenta de usuario sería: ARAMIREZ, y la administradora: ARAMIREZ_ADMIN)
- Hay más, pero cada escenario es distinto por lo que habría que evaluar lo que se debe y puede hacer
Abogada y Maestra en Comercio Electrónico
Dedicada al estudio de la relación entre Tecnología y Derecho desde 1999.
Escribo y también doy clases y conferencias de este tema además de ser consultora y Directora en IT Lawyers SC.
Auditor Líder ISO 27001:2013
Related posts
Categorías
Suscríbete
Recibe nuestras noticias e información de forma diaria