Archivo

Posts Tagged ‘bolivia seguridad de sistemas alvaro cuadros’

WikiLeaks y la angustia en los profesionales en seguridad

diciembre 6, 2010 Deja un comentario

Wikileaks sigue posteando cables clasificados del Departamento de Estado de los EEUU, si añades a esto la revelación de que pronto también publicará documentos sensibles de uno de los más grandes bancos de los EEUU entenderás porque ha despertado serias preocupaciones entre gobiernos y empresas del mundo.
Si bien es cierto que WikiLeaks no ha revelado cómo se obtuvieron decenas de miles de cables del Departamento de Estado o los documentos del banco, el principal sospechoso es un oficial de bajo rango de inteligencia del ejército americano llamado Bradley Manning.
En una reciente entrevista con el ex-hacker, Adrian Lamo, Manning se jacta del acceso, de hasta 14 horas continuas a las redes que contienen información clasificada.
Manning dice que tuvo acceso de nivel Top Secret a SIPRNET, una red usada por el Departamento de Defensa y por el Departamento de Estado, así como al sistema de comunicación usado por las dos agencias para mover información secreta o sensitiva.
La facilidad que tuvo Manning para lograr uno de los mas grandes robos de información de la historia, indica serios problemas de seguridad así como sistemas pobremente diseñados para mantener y controlar la información. Por otro lado, la cantidad y tipo de información a la que Manning accedió muestra que el acceso a la información altamente clasificada no era controlado bajo el principio de que un empleado debe tener acceso únicamente a lo estrictamente necesario para realizar su trabajo.
Para gerentes y dueños de negocios, que trabajan con información sensible, como bancos o instituciones de defensa, el incidente Wikileaks descubre la importancia de adoptar una política de seguridad de la información conocida como “confiar pero verificar “.
Ojo que esto no significa que Ud. necesita ser paranoico o desconfiar de sus empleados, simplemente se refiere a un proceso de confianza y verificación, donde además es importante que ellos sepan que se verifica.
El proceso incluye la segmentación y restricción de acceso a la información basada en roles. Todos los accesos a la información así como los intentos de acceso deben ser almacenados constantemente (usualmente como logs) y verificados periódicamente.
Una empresa seria, al menos una vez al año, realizará la verificación del historial crediticio así como de los antecedentes de todos sus empleados, con el objetivo de identificar posibles futuros problemas.
Políticas claras, sistemas auditables y controles reales de la gerencia son necesarios para asegurarse que lo que deseamos sea confidencial se mantenga confidencial.
La amenaza de fuga de información por personal de las instituciones, sean éstos públicas o privadas, ha sido una preocupación para los profesionales de seguridad desde hace mucho tiempo. Numerosos estudios han mostrado que el mayor riesgo para información sensible viene de empleados negligentes o maliciosos, y no así de hackers externos.
Dispositivos de almacenamiento diminutos tales como los USB ha logrado que el problema crezca exponencialmente. De hecho, en nuestro caso , Manning habría bajado los documentos del Departamento de Estado en USB así como en CDs, fáciles de transportar y que no atraen mayor atención.
Responder a las preguntas: Que información sensible tengo en mis sistemas? Quienes tienen acceso a ella? Que pueden hacer con esa información? puede evitarle serios problemas.

Anuncios