viernes, 17 de febrero de 2012

Invertir en Seguridad

Muchas veces se comenta que la seguridad se ve mas como un gasto que como una inversión, en lo que respecta a los responsables de la empresa. Para los usuarios es simplemente una molestia que tratan de eludir para navegar, descargar películas o entrar en Facebook un ratito.

Los medios de comunicacion no ayudan, mas o menos todo el mundo se imagina que un ataque informático va realizarlo una mujer del tipo Lara Croft, con unos dispositivos carisimos que solo maneja el agente 007.

Así que mientras las personas esperan que Jolie venga con las pistolas, los malos se cuelan sin ningún tipo de molestia y son ayudados por los propios empleados.

Para ilustrar con un ejemplo la realidad relatare una historia ficticia, o quizás no tanto ?

La Empresa de Seguros X ha decidido, sobre todo porque necesitan una certificacion (al menos el sello) de la Iso27001, contratar una empresa de seguridad informática.

Micaela de la empresa de seguridad tiene una reunión inicial con la alta dirección de la empresa, que no es muy grande (menos de 200 empleados), a las 11:00 le espera el director, un responsable del departamento de finanzas y el de recursos humanos.

Después de informar al guardia de seguridad de la entrada, que no tiene ningún registro de las visitas, y tampoco lo confirma mediante teléfono o pc, Micaela se dirige a la reunión en la quinta planta de la compañía aseguradora.

En un punto de la reunión, se comenta que la adecuación de la empresa al plan de seguridad debe contener un plan de formación e instrucción de los empleados, la alta dirección indica que ese gasto de tiempo no es justificable ni necesario ....
"todos los empleados de la empresa recibirán una copia de la política de seguridad y sera suficiente".

Después de diferir en esta y muchas otras cuestiones, y dada la insistencia de la aseguradora en que parte de las medidas de seguridad ya están funcionando .... se decide hacer una prueba de Ingeniería Social.

Micaela solicita el nombre de un gerente de cualquier departamento que este trabajando en su despacho en ese instante y que además dicho responsable no tenga constancia de la reunión que se esta celebrando.

Utilizando su propio teléfono móvil y desde el despacho de dirección Micaela llama a un numero publico de la empresa.

-"Hola soy Micaela de Seguridad estoy aquí con Marcos el Gerente y tenemos un gran problema, ¿podrias pasarme con Jorge de Contabilidad, es urgente?"

Después de utilizar el nombre del director y la palabra "gran problema" la telefonista solo quiere derivar esa llamada donde sea ... en este caso al pobre Jorge (gerente de contabilidad).

-"Hola Jorge mira, Micaela de Seguridad, estoy aquí con Marcos, hay unos informes que no cuadran eres tan amable de subir al despacho de dirección un momento".

Mientras Jorge sube al despacho solo esta pensando en que puede que pierda el empleo y además seguramente por los errores que cometió otro empleado. Micaela sin conocer el edificio baja hacia el despacho de Jorge .....

Una empleada ese piso hace ademán de levantarse de la silla Micaela se anticipa, se dirige firme hacia ella,
-"Micaela de la Nueva Empresa de Seguridad Informática, vengo del despacho del director Marcos".
-"Tenemos Problema Urgente!!, una fuga de información alguien instalo algo en la maquina de Jorge".
-"El despacho del reponsable de contabilidad!, ¿es aquel?".

Micaela encuentra el despacho abierto, el ordenador esta encendido, la sesión abierta y el cliente de correo también, envía un mail al director desde la cuenta del pobre Jorge de contabiliad .....
-" Soy Micaela, necesitáis seguridad !!! ".

¿Que sucedería si esto pasara en tu empresa? ¿Ganaria Micaela?

Seguridad a lo Jabali para Todos!!

7 comentarios:

  1. A esa le metía de todo menos exploits

    ResponderEliminar
  2. Jjajaja, creo que era al reves, es ella la que mete los exploits XD

    ResponderEliminar
  3. Buenísimo el ejemplo, muy ilustrativo.
    Saludos:)

    ResponderEliminar
  4. Muchas gracias por comentar Javier, si lo peor de todo es que la mayor parte de las veces La Realidad Supera la Ficcion XD

    ResponderEliminar
  5. jaja excelente. como de pelicula man

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias