Sin importar lo que usted piense sobre el entorno en el cual se ejecutan sus sistemas, no puede asumir la seguridad como algo garantizado. Hasta los sistemas independientes que no est�n conectados a la Internet est�n a riesgo (obviamente los riesgos son diferentes de aquellos de un sistema con conexiones al mundo externo).
Por lo tanto, es extremadamente importante considerar las implicaciones de seguridad en todo lo que realice. La lista siguiente ilustra los diferentes tipos de problemas que deber�a considerar.
Cuando piense sobre seguridad, no cometa el error de asumir que los posibles intrusos solamente atacar�n sus sistemas desde afuera de su compa��a. Muchas veces el autor es alguien dentro de la compa��a. As� que la pr�xima vez que camine alrededor de la oficina, mire a la gente que lo rodea y h�gase la siguiente pregunta:
1.7.1. Los riesgos de Ingenier�a Social
Mientras que la primera reacci�n de los administradores de sistemas cuando piensan sobre seguridad, es concentrarse en los aspectos tecnol�gicos, es importante mantener la perspectiva. Muy a menudo, las violaciones de seguridad no tienen sus or�genes en la tecnolog�a, pero en la naturaleza humana.
La gente interesada en violar la seguridad a menudo utiliza la naturaleza humana para saltar los controles de acceso tecnol�gicos. Esto se conoce como ingenier�a social. He aqu� un ejemplo:
El segundo operador de turno recibe una llamada externa. La persona que llama dice ser el Director de Finanzas (el nombre del Director de Finanzas e informaci�n de fondo se puede obtener desde el sitio web de la organizaci�n, en la p�gina de "Equipo de Gerencia").
La persona que llama dice que est� en alg�n lugar del mundo a mitad de camino (quiz�s esta parte de la historia es fabricada completamente o quiz�s en el sitio web de la organizaci�n, en la secci�n de noticias, se menciona sobre el Director de Finanzas viajando a una exhibici�n).
La persona cuenta la historia de un infortunio; su port�til fue robada en el aeropuerto y ahora se encuentra con un cliente importante y necesita acceso a la intranet corporativa para verificar el estado de la cuenta del cliente. �Ser� el operador tan amable de darle la informaci�n de acceso necesaria?
�Sabe usted qu� har� el operador? A menos que su operador tenga las pautas claras (en cuanto a las pol�ticas y procedimientos), lo m�s seguro es que no est� seguro de lo que har�.
De la misma forma que los sem�foros, el objetivo de las pol�ticas y procedimientos es el de proporcionar direcciones inequ�vocas sobre lo que es y no es el comportamiento apropiado. Sin embargo, as� como los sem�foros, las pol�ticas y procedimientos solamente funcionan si todos los siguen. Est� adem�s el quid del problema — es muy poco probable que todos se sometan a las pol�ticas y procedimientos. De hecho, dependiendo de la naturaleza de su organizaci�n, es posible que ni siquiera tenga suficiente autoridad para definir las pol�ticas, mucho menos para hacerlas cumplir. Entonces ... �qu� hacer?
Lamentablemente, no hay respuestas f�ciles para esto. La educaci�n para los usuarios puede ayudar; haga todo lo que pueda para poner a su comunidad al tanto de la seguridad y de la ingenier�a social. Haga presentaciones durante la hora del almuerzo sobre seguridad. Publique enlaces a art�culos relacionados con la seguridad en la lista de correo de su organizaci�n. Exprese su disponibilidad como una junta para contestar preguntas de los usuarios sobre cosas que no parecen del todo correctas.
En resumidas cuentas, entregue el mensaje a sus usuarios de la forma que pueda.
