Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Introduccion a la administracion de sistemas - La seguridad no puede ser una ocurrencia posterior

1.7. La seguridad no puede ser una ocurrencia posterior

Sin importar lo que usted piense sobre el entorno en el cual se ejecutan sus sistemas, no puede asumir la seguridad como algo garantizado. Hasta los sistemas independientes que no est�n conectados a la Internet est�n a riesgo (obviamente los riesgos son diferentes de aquellos de un sistema con conexiones al mundo externo).

Por lo tanto, es extremadamente importante considerar las implicaciones de seguridad en todo lo que realice. La lista siguiente ilustra los diferentes tipos de problemas que deber�a considerar.

  • La naturaleza de las posibles amenazas a cada uno de los sistemas bajo su cuidado

  • La ubicaci�n, tipo y valor de los datos en esos sistemas

  • El tipo y la frecuencia del acceso autorizado a los sistemas

Cuando piense sobre seguridad, no cometa el error de asumir que los posibles intrusos solamente atacar�n sus sistemas desde afuera de su compa��a. Muchas veces el autor es alguien dentro de la compa��a. As� que la pr�xima vez que camine alrededor de la oficina, mire a la gente que lo rodea y h�gase la siguiente pregunta:

�Qu� pasar�a si esa persona intentara subvertir nuestra seguridad?

NotaNota
 

Esto no significa que usted deba tratar a sus compa�eros de trabajo como criminales. Simplemente significa que debe observar el tipo de trabajo que cada persona realiza y determinar qu� tipos de violaciones de seguridad puede llevar a cabo una persona en esa posici�n, si tuviese esas intenciones.

1.7.1. Los riesgos de Ingenier�a Social

Mientras que la primera reacci�n de los administradores de sistemas cuando piensan sobre seguridad, es concentrarse en los aspectos tecnol�gicos, es importante mantener la perspectiva. Muy a menudo, las violaciones de seguridad no tienen sus or�genes en la tecnolog�a, pero en la naturaleza humana.

La gente interesada en violar la seguridad a menudo utiliza la naturaleza humana para saltar los controles de acceso tecnol�gicos. Esto se conoce como ingenier�a social. He aqu� un ejemplo:

El segundo operador de turno recibe una llamada externa. La persona que llama dice ser el Director de Finanzas (el nombre del Director de Finanzas e informaci�n de fondo se puede obtener desde el sitio web de la organizaci�n, en la p�gina de "Equipo de Gerencia").

La persona que llama dice que est� en alg�n lugar del mundo a mitad de camino (quiz�s esta parte de la historia es fabricada completamente o quiz�s en el sitio web de la organizaci�n, en la secci�n de noticias, se menciona sobre el Director de Finanzas viajando a una exhibici�n).

La persona cuenta la historia de un infortunio; su port�til fue robada en el aeropuerto y ahora se encuentra con un cliente importante y necesita acceso a la intranet corporativa para verificar el estado de la cuenta del cliente. �Ser� el operador tan amable de darle la informaci�n de acceso necesaria?

�Sabe usted qu� har� el operador? A menos que su operador tenga las pautas claras (en cuanto a las pol�ticas y procedimientos), lo m�s seguro es que no est� seguro de lo que har�.

De la misma forma que los sem�foros, el objetivo de las pol�ticas y procedimientos es el de proporcionar direcciones inequ�vocas sobre lo que es y no es el comportamiento apropiado. Sin embargo, as� como los sem�foros, las pol�ticas y procedimientos solamente funcionan si todos los siguen. Est� adem�s el quid del problema — es muy poco probable que todos se sometan a las pol�ticas y procedimientos. De hecho, dependiendo de la naturaleza de su organizaci�n, es posible que ni siquiera tenga suficiente autoridad para definir las pol�ticas, mucho menos para hacerlas cumplir. Entonces ... �qu� hacer?

Lamentablemente, no hay respuestas f�ciles para esto. La educaci�n para los usuarios puede ayudar; haga todo lo que pueda para poner a su comunidad al tanto de la seguridad y de la ingenier�a social. Haga presentaciones durante la hora del almuerzo sobre seguridad. Publique enlaces a art�culos relacionados con la seguridad en la lista de correo de su organizaci�n. Exprese su disponibilidad como una junta para contestar preguntas de los usuarios sobre cosas que no parecen del todo correctas.

En resumidas cuentas, entregue el mensaje a sus usuarios de la forma que pueda.

 
 
  Published under the terms of the GNU General Public License Design by Interspire