La información únicamente debe ser accedida por las personas autorizadas

Hace varios meses publiqué un post relacionado con la confidencialidad de la información, en dicho post mencionaba los riesgos que corren las empresas y usuarios individuales cuando no se protege o borra correctamente la información en algún equipo de cómputo.

Hablando nuevamente del tema, quiero recordar nuevamente que la “confidencialidad de la información” se define indicando que la información únicamente debe ser accedida o consultada por las personas que están autorizada para ello.

Acá aunque no lo parezca, surge una gran cantidad de problemas que hacen que la información no sea accedida únicamente por el personal autorizado para ello, por ejemplo:

1. Sistemas de información que no solicitan usuario y contraseña. Muchos problemas de fuga y acceso no autorizado a la información es causado por una mala definición de los sistemas de información.

Es básico que los sistemas de información requieran de usuario y contraseña, o frase clave.

2. También otro de los problemas es el tamaño requerido de la contraseña, de nada sirve que los sistemas de información soliciten si se les puede ingresar una contraseña de 1 caracter. Los sistemas como mínimo deben solicitar contraseñas de 8 caracteres que combinen letras y números.

3. Los sistemas de información solicitan usuario y contraseña, pero no obligan a los empleados a que cambien la contraseña periódicamente, lo cual es una gran deficiencia, porque las personas será fácil averiguar las contraseñas de sus compañeros.

4. Otro problema es que a muchos empleados se les dificulta crear cada mes una nueva contraseña. Y es acá en donde yo recomiendo utilizar el “Extended Password Generator” que genera contraseñas aleatorias y del tamaño que necesitemos, que por sobre todo es software libre y que puede ser descargado desde http://sourceforge.net/projects/epg

5. Otro de los problemas, que es bastante difundido en casi toda empresa, es que los empleados comparten entre sí los usuarios, de manera que aunque el sistema sea eficiente en solicitar usuario y contraseña, esa seguridad es burlada por la falta de consciencia de los empleados, de manera que éstos son el eslabón más débil.

6. Falta de control de los usuarios que tienen acceso a los sistemas de información. Es decir que a cualquiera que pida usuario se le otorga, y como consecuencia no se sabe que empleados tienen acceso a la información.

7. Mala definición de perfiles de acceso. Este es un problema de la administración de los sistemas de información. Esto afecta terriblemente porque en realidad no se sabe a que información y que es lo que pueden hacer los empleados en los sistemas de información. De manera que aunque los sistemas de información pidan usuario y contraseña, pidan cambio de la misma, los empleados no compartan los usuarios, y se tenga control de quienes acceden a los sistemas, no existe seguridad.

Bien hay más cosas que evaluar de este aspecto, pero por el momento lo vamos a dejar acá, ya saben, si quieren escribirme pueden hacerlo a jvasquez[arroba]elpizarron[punto]net hasta la próxima