Política de Control de Acceso

CONTROL DE ACCESO

Tener definido claramente la política de control de acceso a los recursos de una empresa es una tarea muy importante que una organización debe llevar a cabo, y que los administradores de seguridad deben cumplir a rajatabla, no sólo haciendo cumplir a los usuarios políticas de contraseñas en cuanto a complejidad y longitud, sino también auditando cada acceso e inventariando a qué recursos tiene acceso cada persona.

Parece muy común confiar en las personas compartiendo contraseñas o incluso no revocando ni modificando los permisos de acceso cuando éste abandona la empresa o cambia de puesto de trabajo, pero es una mala práctica que debemos evitar los administradores de seguridad y más aún la Dirección y CIOs de las organizaciones, ya que son estos los que deben solicitar los cambios sobre los permisos de acceso.

Como comentaba anteriormente es muy importante tener inventariado a qué recursos accede cada persona de la organización, para una vez que haya que modificar sus permisos o incluso dar de baja al usuario, no dejemos ningún acceso disponible que permita al usuario acceder a la información de la empresa para posteriormente revenderla a la competencia o usarla con otros fines que pueda perjudicar a la organización.

No me lío más y vamos a ejemplos prácticos que es lo que a todos nos gusta:

• Toyota fue hackeado por un extrabajador de TI: Toyota a demandado a un extrabajador, ya que la tarde en la que fue despedido, el trabajador se conectó, descargó y imprimió documentos que poseían información sensible sobre productos actuales y futuros de Toyota, desde la web ToyotaSupplier.com donde los proveedores intercambian bastante información. Aunque se está investigando si el acceso del extrabajador aún estaba habilitado o este aprovechó alguna vulnerabilidad de los sistemas para acceder a la información sensible. 

• Cárcel para un extrabajador que abrió los sistemas de la empresa a los spammers: En este caso el gerente de TI de la empresa aprovechó una contraseña que aún estaba activa para convertir un servidor en relay de spam, y por tanto utilizándose para el envío de correos electrónicos pornográficos y maliciosos, así que los propios correos de la empresa eran catalogados como spam por los servicios de anti-spam.
• Extrabajador instala malware en los sistemas de la empresa: Un extrabajador instala tres archivos maliciosos en 1000 sistemas de su antigua empresa consiguiendo que los sistemas de la compañía dejen de registrar las transacciones. Esto hace que la empresa tenga que realizar una investigación de lo sucedido que le cuesta 49.000 dolares para solucionar el problema. 

• Un director de TI hackea la presentación de su CEO: En este caso un director de TI fue despedido y este decidió hackear los equipos del CEO instalando software de Keylogger y así obtener credenciales de acceso. De esta manera se hizo con el control remoto del equipo, y en un Consejo de Administración de la empresa modificó la presentación PowerPoint de su CEO mostrando imágenes pornográficas. 
• Un hacker amenazó a un ISP con un hacha: Un hombre consiguió entrar en los servidores de un ISP para borrar todos los datos pertenecientes a su antigua compañía, después amenazó con quemar las oficinas y amenazó a su ex-director con un hacha. Parece ser que el hombre utilizó información y contraseñas confidenciales para acceder a los sistemas.

Con estas noticias me surgen algunas dudas como ¿de cuánto tiempo disponemos los administradores para deshabilitar las cuentas de los usuarios? O incluso ¿hay empresas que tras varios días, meses o años aún no han deshabilitado todos los accesos de sus extrabajadores? Seguro que si, esto se debe a no mantener adecuadamente un inventario de accesos a los recursos. Así que como podemos ver, tener a los trabajadores descontentos puede llevar a las compañías a tener pérdidas millonarias, pérdida de confianza, etc.

Y eso es todo amigos ...