Una frase hecha, o, mejor dicho, un chiste fácil malísimo, sobre ‘geeks‘ dice “Nunca despidas al informático, porque conoce tu dirección IP”.
Esto lo aprendieron por las malas en un hospital de Manhattan. Uno de sus informáticos ha sido acusado por ‘hackear‘ el sistema del hospital, accediendo a información de pacientes y resultados de pruebas complementarias. Sobre el uso que ha hecho de esta información, en caso de que la recopilara, no he podido leer nada, pero me ha hecho gracia otra de las acusaciones: usar las credenciales (usuario y contraseña) de uno de los médicos para enviar un correo cáustico al resto del personal del hospital acusando al jefe de informática de ser racista.
Esto es algo que ocurre más frecuentemente de lo que creemos, sobre todo en empresas que no se toman en serio la seguridad de sus sistemas (o por falta de recursos, tanto humanos, como técnicos, como económicos). Lo normal es que se cace al infractor/a, nuestros cuerpos de seguridad tienen excelentes unidades especialmente dedicadas a estos delitos: Guardia Civil y Policía Nacional. Normalmente el fin del infractor/a es dañar la reputación de la empresa, vender la información a la competencia, pedir algún tipo de rescate por no publicarla o por no destruirla, etcétera…
También es cierto que, en muchas ocasiones, los ataques a los sistemas de información de las empresas vienen “de dentro”, no sólo por parte del personal propio de la empresa, sino, a veces, por parte de personal técnico que trabaja puntualmente en nuestro sistema: proveedor externo, servicio técnico…
Los expertos de TechRepublic IT Dojo (blog que recomiendo a tod@s mis compañer@s geeks) publicaron hace tiempo 5 sencillas reglas para evitar llegar a estos extremos en lo que respecta a la integridad de nuestros sistemas de información. Os las resumo:
- Sigue la regla del menor privilegio, es decir, da los permisos justos y necesarios para lo que se vaya a hacer durante el tiempo que se vaya a hacer.
- No todo tu personal técnico tiene que ser administrador del dominio.
- Monitoriza los grupos de usuarios que tengan nivel de administración.
- Registra toda la actividad de administración.
- Revoca inmediatamente los permisos de administración de tu personal despedido… si me apuráis, deberían quitarse los permisos antes de que el/la trabajador/a sepa que va a ser despedid@. He oído hablar de algún caso de un administrador que, accediendo de manera rutinaria por mantenimiento, al correo de la empresa, supo que lo iban a despedir (correo del director diciendo a su secretaria que redactara la carta de despido). No tardó en conseguir información confidencial para intentar aprovecharla, pero los cuerpos de seguridad del estado actuaron de manera brillante y no tuvo consecuencias para la empresa.
Como podéis ver, el tema es mucho más importante de lo que podéis pensar… y no creáis que esto es sólo un problema de grandes empresas y hospitales. Imaginad una pequeña consulta privada, un día viene un/a informátic@ a arreglar algo y, días después nos llaman diciendo que, o pagamos X euros o toda nuestra información y la de nuestros clientes desaparecerá. Estoy seguro que muchas empresas pagarían sin pensárselo e incluso sin plantearse una denuncia. Mis consejos al respecto: tomaros la seguridad de vuestro sistema muy en serio (más vale pagar un poco más a una empresa de confianza que lamentarse después) y confiad en los cuerpos de seguridad del Estado en caso de que tengáis algún problema, os sorprendería saber lo que son capaces de descubrir y lo extraordinariamente efectivos que son.
Fuente de la noticia: New York Post (traducido).