Blogia
psicotikblog

Seguridad Perimetral e Interna

Seguridad Perimetral e Interna<hr> Hoy, por razones que algunos de mis amigos y compañeros ya conocen, he topado con un completo y sofisticado plan de seguridad perimetral en la empresa que paga mi nómina a fin de mes. A raíz de tal atropello, he sentido una compulsiva curiosidad por investigar sobre estos sistemas.
[¿Por donde empiezo?] Si busco en google 'seguridad perimetral', lo primero que me aparece es un artículo de Computing España con los datos de la implantación en Tragsa [uuum...otra empresa que me es familiar...] de un sistema de este tipo.
Después de leer este y otros documentos, lo que entiendo como objetivo de la implantación, es tener controlados todos los canales de entrada (correo, consultas web, etc) a tu pequeña fortaleza lucrativa. Este sería el termino medio entre el "pase, pase" y el "aquí no hay nada que ver". Otro tipo de seguridad, y de la que no he encontrado tanta documentación, es de la Seguridad Interna. Esta parece ser la encargada de evitar hurtos, hackeos y pequeñas fechorías dentro de tu propio perímetro. La característica principal de esta última y, en general, de estos sistemas de seguridad, es que son iguales para trabajadores, consultores, mensajeros y señoras de la limpieza. No hay distinción. Se trata de asegurar el perímetro partiendo de la base de que nuestros sistemas están protegidos a nivel local y por supuesto a nivel externo. De nada sirve implantar un costoso sistema de lasers y sensores de calor si luego hay 40 cuentas dentro del grupo ‘administradores de dominio’. Tampoco sirve de nada implantar un sistema biométrico si luego le pides a alguien que ponga el ojo en el sensor, que tú llevas lentillas... En fin, y abreviando, mi conclusión es la siguiente:

- Es más peligroso un empleado [cabreado o no] que un consultor o un técnico de mantenimiento. Un empleado sabe donde buscar, cuánto vale lo que quiere conseguir y como hacer para no ser visto.
- Hay que predicar con el ejemplo y no solo aplicar normas para los externos. Un empleado no es más de fiar por su carácter de interno.
- No vale con prohibir, si no se ofrecen alternativas lógicas en actividades del día a día.
- Nada es más peligroso que un modem RTC y un disco externo USB de 120 GB [leer con ironía]. Es muchiiisimo más peligroso que el propio disco de un portátil de 40 GB [tendré que hacer tres viajes], un móvil [con cámara] conectado a través de UMTS o GPRS, una agenda wireless conectada al punto de acceso de tu coche aparcado en la calle, el puerto 80 [puerto de máxima confianza] de tu servidor apache casero donde tienes una aplicación que tuneliza tu comunicación, un pen-drive de 512 MB [todos sabemos lo que ocupa un txt comprimido], etc.
- Hay que ser serio en esta vida y sobre todo usar la lógica [o ingeniería social inversa]. Si alguien está decidido a llevarse información de tu empresa, no va ha poner el disco duro externo encima de la mesa a la vista de todo el mundo, o se va ha conectar a través de una línea de voz por miedo a quedar registrado en la centralita.
- Antes de demostrar desconocimiento públicamente, se debe escuchar lo que se intenta comunicar. Quizás se aprenda algo del mensaje ya que el conocimiento es universal y nada de este mundo puede hacerte más inculto.

He dicho…

p s i c o t i k b l o g . h e l l b o y

0 comentarios