 |  | | | |  | |  |  | Noticias anteriores
|  |  | |
| Martes, 15 noviembre | | · | Uponor lanza una nueva promoción con su herramienta M12 para Q&E |
| · | Madrid vuelve a la Tecnología Cavernícola |
| Domingo, 13 noviembre | | · | TuneUp Utilities 2012 aumenta la vida útil de la batería hasta en un 30% y manti |
| · | La UE aprueba la adquisición de Arla de Allgäuland-Käsereien |
| · | Netbook AIRIS KIRA N9000, el compañero de viaje perfecto |
| · | Los accesorios RTM de Uponor para MLCP traen regalos en Navidad |
| Martes, 25 octubre | | · | Grupo i68 firma un acuerdo con Grupo IMASA para la implantación de su sistema de |
| Jueves, 20 octubre | | · | ¿El arranque de tu PC es extremadamente lento? |
| Martes, 18 octubre | | · | Trend Micro presenta en EuropaDeep Security 8 |
| Lunes, 17 octubre | | · | Actualización del firmware Android 2.3 para la tableta Allview AllDro 2 |
| · | CirrusGH presenta nuevos accesorios para iPhone e iPod |
| Sábado, 15 octubre | | · | Grupo i68 abre sus fronteras con Izaro APS |
| Lunes, 10 octubre | | · | bizhub PRO C6000 de Konica Minolta: la Impresora del año 2011 |
| Sábado, 01 octubre | | · | TuneUp Utilities 2012 reduce el consumo de energía y conserva los recursos de si |
| · | Uponor participa en el Congreso Internacional de empresas instaladoras |
| Martes, 13 septiembre | | · | Flexo y Cornice, lo nuevo de TUCANO para iPad2 llega al mercado español |
| · | Aumenta la gama Prodata, apuesta de CirrusGH para el almacenamiento profesional |
| Viernes, 09 septiembre | | · | Personaliza tu PC con TuneUp Utilities |
| Viernes, 02 septiembre | | · | PATTON SmartNode™ presenta dos innovadoras líneas de producto BRI VoIP |
| Martes, 16 agosto | | · | InterFAX se alía con Microsoft para facilitar el envío de documentos Office por fax |
Artículos Viejos
|
|
|
|
 |  | | | |  |  |
|
| | | | | | | | |
La seguridad no importa a los usuarios
|  | |  | | |
| Enviado el Martes, 21 febrero a las 20:26:17 por Webmaster |
 Un curioso
experimento demuestra la pesadilla de todo administrador de red. La
seguridad no es, ni mucho menos, prioritaria para los empleados.
No importa cuántas advertencias se le indiquen, es probable
que un importante porcentaje de usuarios no se atenga a unas mínimas
normas de seguridad y ponga en riesgo toda una red corporativa por
descuido o ignorancia.
(Hispasec)
El experimento ha sido realizado en Londres, en una zona de gran
actividad comercial. El pasado 14 de febrero, supuesto día de los
enamorados, algunos empleados de la compañía "The Trainning Camp"
entregaron en mano a viandantes en general que acudían a su lugar
habitual de trabajo, un CD. Bajo la excusa de que el disco contenía
información sobre una promoción especial motivada por el señalado día
de San Valentín, se iba regalando a los ejecutivos. Sin embargo, los
compactos no contenían en realidad tal oferta, sino un simple código
que permitía informar a la compañía de quién había ejecutado el
programa en su interior. Entre ellos, según la noticia, se encontraba
personal de grandes bancos y aseguradoras multinacionales. Lo más grave
es que en la carátula del CD se advertía claramente sobre los peligros
de la instalación de software de terceros no confiables, y de que el
hecho de hacerlo podría suponer una violación de las políticas de
seguridad del lugar donde se instalase. Parece ser que el consejo no
fue suficiente para muchos, que simplemente se dedicaron a explorar e
incluso ejecutar los programas en el CD sin dar mayor importancia a la
advertencia.
"The Training Camp" es una compañía del Reino Unido dedicada a la
impartición de cursos "acelerados" destinados a la obtención de
certificados oficiales de seguridad. Rob Chapman, su director,
pretendía de esta forma promocionar sus cursos. Afirma que el código en
el CD no infringía ningún daño sobre el sistema ni tomaba información
alguna del mismo, aunque, según él, queda implícito que cualquier otro
tipo de acción malintencionada hubiese sido posible además de haber
tenido desastrosas consecuencias.
El hecho de haber tomado el disco compacto en la calle y haberlo
introducido en sus sistemas, viola toda regla básica de seguridad. "Los
empleados deben reconocer que suponen el primer y más sencillo paso
hacia la red de la compañía en la que trabajan", concluyó Chapman.
La nota de prensa del experimento no ofrece ningún tipo de dato
objetivo sobre el porcentaje de empleados que "cayeron en la trampa",
número de "señuelos" repartidos, método utilizado para conocer quién
había ejecutado el programa o a qué nivel lo había hecho (introducir el
CD, explorarlo, ejecutar programas en su interior...). Tampoco se habla
en la nota sobre la posibilidad de que, aunque se hubiese ejecutado el
contenido del disco, los sistemas de seguridad de la red en la que se
utilizase impidiesen de alguna forma la notificación de que la acción
se había realizado. Es probable que "The Training Camp" se sirviera de
una petición a un servidor web o a través de correo para saberlo, pero
esto no siempre es permitido por cortafuegos y otros sistemas de
seguridad. Además de ser posible que se haya ejecutado el señuelo y no
haya sido notificado, no se pueden sacar porcentajes concluyentes sobre
el estudio al no disponer de cifras significativas. Todo esto limita
considerablemente el poder sacar contundentes consecuencias de un
estudio de estas características.
En todo caso, resulta curioso un experimento de este tipo en el que,
sobre cualquier otra conclusión, prima el hecho de que muchos usuarios
hagan caso omiso de claras advertencias expuestas. Las advertencias de
que el software no es seguro, pierden impacto cuando se hacen sobre
cualquier tipo de programa ejecutable que llegue de fuentes confiables
(o no). Esta actitud relaja a la larga las defensas de la mayoría de
los usuarios. Advirtiendo de los potenciales peligros de "todo", se
obtiene el efecto contrario: si constantemente "todo" es potencialmente
peligroso y se advierte sobre ello, a la larga, el usuario asociará esa
característica (peligroso) con todo el software; se volverá un concepto
ligado siempre a cualquier programa, aprenderá a asumirlo como riesgo
intrínseco y se le prestará cada vez menor atención. Si "todo" software
es potencialmente peligroso, entonces, con el tiempo y en la práctica,
"ninguno" lo será para el que es constantemente advertido sobre ello.
Aunque necesaria, si se mantuviese a rajatabla esta actitud
conservadora y se acatara estricta y constantemente las advertencias,
también se produciría una situación insostenible. Se limitaría en
exceso la capacidad de trabajo y reduciría la comodidad de uso en el
sistema que es en realidad lo que el usuario y administrador deben
buscar por consenso en un entorno seguro.
Pero esto ocurre no solo en el software, sino en gran cantidad de los
productos que usamos cada día. Prácticamente, hemos aprendido a obviar
ciertos peligros por repetitivos y asumidos. El problema es que no por
ello pueden resultar menos dañinos.
Otra conclusión ya observada en muchas ocasiones, es el peligro que
representan los empleados en la cadena de seguridad de cualquier
empresa. Como decía Champan, suponen el mayor riesgo de seguridad, por
la confianza intrínseca depositada en ellos y los derechos inherentes
que deben poseer sobre la red. Si no son correctamente formados, pueden
suponer un riesgo para cualquier red corporativa y, ya sea consciente o
inconscientemente, provocar un incidente de seguridad importante en el
sistema.
Lejos de poder sacar conclusiones objetivas, lo que viene a recordar el
experimento es que el hecho de que empleados utilicen habitualmente,
sin ningún tipo de problema ni cortapisas, sistemas corporativos para
ejecutar programas de dudosa procedencia en los que se advierte
explícitamente sobre su potencial peligro, es que queda mucho camino
por recorrer en este sentido. Es igualmente aconsejable invertir en
recursos técnicos que nos protejan del exterior como en recursos
humanos preparados para el trabajo con sistemas informáticos, que sean
conscientes de las amenazas reales y que estén convenientemente
formados en seguridad.
Artículo en Hispasec
|
|
|
|
| | | | | | |
| |
| | | | | | | | | Votos del Artículo
| | | |
Puntuación Promedio: 0
votos: 0
|
|
|
|
| | | | | | |
|
| | | | | | | |  |
|  | | | | |
| "" | Entrar/Crear Cuenta | 0 Comentarios |
|
| | Los comentarios son propiedad de quien los envió. No somos responsables por su contenido. |
|
|
|
|
| | | | | | |
| | | | | | | | |
| | | | | |
|
No se permiten comentarios Anónimos, Regístrate por favor |
|
|
|
| | | | | | |
|
Inicio:
Miembros:
Secciones:
Estadísticas: