En la reunión del departamento del pasado lunes, y a cuento de nuestra migración de equipos con NT y 2000 a XP (siempre una versión retrasados), el responsable de infraestructuras (y de seguridad, de acuerdo a la LOPD), planteo el tema de los puertos USB y la imposibilidad/dificultad de su control.
Veo ahora que Enrique habla de lo mismo. En los comentarios, como casi siempre, mucho "buenrrollismo" y los malos son los de IT o la Empresa en general, pero los empleados son todos buenos.
En los comentarios de Enrique se habla de un becario que se copia y lleva unos planos, y alguno le "disculpa". Pero si en vez de un estudio de arquitectura (o similar), fuera un hospital y se llevara los historiales clínicos, o desde un banco los movimientos de la VISA de alguién o el registro de llamadas...
La información es un activo de la empresa, y por tanto hay que protegerlo. Además, el responsable de seguridad tiene responsabilidad legal, de acuerdo a la LOPD. La realidad es que no sólo legal, sino técnicamente, es casi imposible establecer una seguridad insalvable.
Nosotros tenemos sistemas de seguridad en las impresoras, que evitan que se impriman los documentos hasta que el usuario introduce su clave en la misma, para evitar que cierta información se quede en la impresora accesible a cualquiera. En la consultora donde yo trabajaba era habitual ir a la impresora y ver, junto a tu propuesta, evaluaciones de desempeño de otras personas, planes de carrera para otros (incluyendo a los que no tenían plan), facturas a clientes y hojas de gastos de socios...
Pero esto no ha evitado que en alguna ocasión alguién enviara por mail unas tarifas a un cliente que no le correspondían y se montara un buen problema comercial (¿hay alguién que cobre a todos sus clientes lo mismo por el mismo servicio?. La solución, generar facturas en pdf protegidas por una contraseña única para cada cliente...y las quejas de algunos clientes por tener que teclear la cotnraseña cada vez que reciben una factura.
Yo fui partidario de abrir los USB para que la gente utilizara sus PDAs, pero hace poco tuvimos un problema de espacio en un servidor y era porque un departamento compartía en red muchos cientos de gigas de ficheros mp3, para poner "música de fondo".
Con el fin de facilitar el trabajo remoto, se da acceso al correo electrónico desde el exterior de la oficina. Pero esto permite preparte un borrador con información confidencial y acceder o extraerla desde cualquier conexión en el exterior. No tienes ni que enviar realmente el correo.
Cada ventaja o intento de facilitar el trabajo, conlleva riesgos de seguridad.
Nuestra filosofía es intentar evitar que por error o negligencia, se produzca esa fuga de información (el caso del papel que se queda en la impresora o el correo que se envía equivocadamente). pero somos consciente de que, en caso de mala intención, cualquier medida será insuficiente, por lo que intentamos causar las menores incomodidades posibles al usaurio "normal".
Al final, el que quiere llevarse algo, se lo llevará. Y el que no, solo se verá incomodado por algunas medidas...dificil solución.
24 ene 2006 | 06:00 PM
Rafa,
¿habéis pensado en poner una máquina (vieja por supuesto) cuya única utilidad sea hacer de servidor de música de fondo...?
Creo que no sería mala propuesta del todo.
Un saludo,
jima
25 ene 2006 | 08:59 AM
podeis encriptar la informacion. en mi empresa se lleva un tiempo haciendo, todos los documentos generados en los ordenadores de la empresa solo se puede leer en estos mismos ordenadores (las disqueteras y las grabadoras de cd graban los documentos encriptados, mientras que los usb estan parcialmente capados). determinadas personas tienen acceso instantaneo a eliminar esta encriptacion para asi poder grabar documentos "abiertos" que puedan ser leidos y vistos fuera de la empresa. ademas no se permite la instalacion de programas en los Pc, excepto en una maquina virtual solo instalada a quien la necesita.
es una idea, no se si el coste es muy alto, pero a cuanto se valora la seguridad?
25 ene 2006 | 01:57 PM
Rafa,
Coincido contigo en que es difícil poner coto a todos los casos posibles de seguridad de la información.
Además entramos en cierta contradicción entre dar cada vez más acceso remoto y la seguridad de la información; aunque esto está resuelto con la encriptación.
Yo creo que se debe hacer conjugar las medidas técnicas con el buen hacer del trabajador. Dejar todo el peso en las medidas técnicas, puede llegar a bajar bastante la productividad. Todo se resuelve intentando buscar un punto intermedio entre una cosa y la otra. Además, creo, que es “punible penalmente” el divulgar información de la empresa en la que trabajas (código penal) aunque las empresas no recurran a ello. Y por otro lado están las “cláusulas de confidencialidad” (que en las empresas norteamericanas las firman todo el mundo).
Obviamente están las labores de “supervisión” para comprobar quien no está teniendo tan “buen hacer”.
Saludos cordiales,
26 ene 2006 | 07:02 PM
jima, sobre lo de la música tengo mi propia opinión. No es de recibo que en una zona de trabajo de unos 25-30 metros de largo haya tres radiocassettes sintonizados con tres emisoras diferentes...
luis, lo de la encriptación me gusta, pero las pruebas que hemos hecho no nos gustaron. El software generaba un fichero encriptado, pero había que entrar en el directorio y borrar el original a mano.
Andres, seguramente hay algo punible legalmente. Pero no creo que para sea razonable imponer a un ex-empleado, por ejemplo, que ganara 25.000 euros una sanción que te compense perden un cliente de 500.000 euros al año...
27 ene 2006 | 04:22 PM
Cada empresa y organización posee una cultura y ecosistema particulares que impide hacer generalizaciones.
Así, coincido con Enrique cuando en su blog establece que la primera medida debe ser la educación. Sin embargo, su postura, como la de la mayoría de los comentarios que generó alrededor de la misma, me parecen demasiado generalizadas e inclinadas hacía: "Eduquemos a nuestros usuarios y démosles libertad para que trabajen mejor y ya está!".
Eso, por mucho que nos pese, no es la mejor opción. Las medidas tecnológicas no deben sustituir a la educación, pero también son necesarias. Nos guste o nos disguste.
28 ene 2006 | 07:37 PM
Pues sí, como manifiestas es un dilema. En cualquier caso hay que limitar al máximo las posibilidades de errores humanos por parte del usuario (p.e. bajarse un archivo ejecutable de internet y ejecutarlo)... siempre que ese límite no sea restrictivo a la hora de hacer el trabajo, de tal forma que cree ineficiencias. En el punto medio estará la virtud.
Un tema similar es el acceso a internet. ¿Medimos a la gente por resultados conseguidos dejando que organicen su tiempo libremente con acceso total a internet? Seguramente sería lo ideal... pero sigue habiendo pros y contras.
Un saludo.