Riesgos con personal dentro de la empresa A veces, la basura puede representar una fuente de información desprotegida, pero tiene una fácil solución: utilizar una máquina de desintegración de la documentación desechada. Otra manera muy común de robar información es tomar papeles de encima del escritorio o fax, o entrar al computador personal, siendo el remedio mantener los cajones con llaves y activar el protector de pantalla de su PC. Asimismo, cuando no se encuentra en su lugar de trabajo, el usuario debe simplemente cerrar la sesión en su computador. Otra actitud adecuada es llevar una trazabilidad de cada código de acceso. En sistemas de producción -como los SCADA- tiene la opción de no tan sólo digitar una password, sino también llevar un registro de las modificaciones o malos usos del sistema. De igual modo, existen software más sofisticados que capturan toda la actividad de los usuarios de un PC, almacenando las teclas pulsadas en archivos log o imágenes de la pantalla cada cierto período de tiempo, permitiendo robar passwords, fórmulas, precios o sueldos, y husmear conversaciones o las páginas web visitadas sin que el usuario ni siquiera lo imagine. Control de acceso, cámaras de seguridad, acciones contra la intervención a los teléfonos, encriptación de la información enviada, almacenamiento de información en bases de datos y sistemas de respaldos remotos, son algunas de las buenas prácticas que se podrían implementar para resguardar la información con la que se trabaja dentro de una compañía. Riesgos desde fuera de la empresa La seguridad de una empresa no es tan sólo una responsabilidad del área de informática, sino más bien una actitud de la institución completa. Por ejemplo, una secretaria podría ingresar un virus a los sistemas de la compañía con el simple hecho de responder a una de esas cadenas de e-mail que recibe diariamente y que solicitan que lo reenvíe a todos sus contactos. El riesgo es no tan sólo esparcir el virus, sino también entregar su e-mail y el de sus conocidos para ser bombardeados con publicidad o más cadenas similares, donde la divulgación exponencial es inimaginable. También existe software "microespía" (spyware) que se instalan en nuestros computadores para robar datos que parecerían inofensivos, como es la dirección IP, correo electrónico, sitios visitados, etc., con el fin de enviar más publicidad no solicitada al e-mail robado. La automatización industrial, las redes industriales, Internet y los computadores son recursos indispensables para la comunicación industrial. Transmitir datos a distancia hace que los sistemas sean vulnerables en cuanto a la seguridad y confiabilidad de la transmisión. Para intercambiar información de las oficinas centrales con alguna sucursal existen tres opciones: - Módem: Las desventajas son el costo de la llamada por minuto conectado a larga distancia, además de calidad y velocidad poco adecuadas. - Línea Privada: Se tendría que tender el cable, ya sea de cobre o fibra óptica, de un punto a otro, y si las distancias son de una región a otra, el costo sería muy elevado. La ventaja de la comunicación vía fibra óptica es que no puede ser interceptada. - VPN (Redes Privadas Virtuales): Los costos son bajos, porque sólo se realizan llamadas locales. Además, brindan la posibilidad de que los datos viajen encriptados y seguros, con una buena calidad y velocidad. Una práctica útil sería además implementar un "firewall", sistema que impone una política de seguridad entre la organización de red privada e Internet, el cual autoriza los servicios de red a los que se puede acceder. Desafortunadamente, este sistema no puede ofrecer protección alguna una vez que el agresor traspasa la barrera de seguridad, por lo que muchas instituciones tienen por política no permitir el acceso de "spam" y hasta de quitar las disqueteras con el fin de bloquear la mayor cantidad de puntos vulnerables. Todos estamos de acuerdo en que en este ámbito no se puede hablar de seguridad al 100%, más aún cuando las empresas no están conscientes del riesgo real al que están expuestas. Lo alentador es que el espionaje puede ser prevenido. ¿Tomó los resguardos necesarios? |