Incident Response, Security and Forensics"

.

jueves, 27 de agosto de 2009

Procedimiento Preventivo-Forense: Mesas limpias

Hola lectores,

He desarrollado un procedimiento (no técnico) que es muy útil para regular la información sensible que pueda haber en una empresa.


Cuando realizo alguna auditoría, se me ponen los pelos de punta cuando en la revisión visual, veo mesas llenas de montones de papeles, libros, CD's-DVD's y pendrives. Alguien puede pensar que esto no es malo y así es, siempre y cuando nada de esa mesa desaparezca sin conocimiento del propietario. Mas cuando esta información contiene listados de personas, código fuente, etc.

Las fugas de información son algo que están a la orden del día y no siempre es un experimentado hacker confabulado con las misteriosas hordas del infierno que ha venido a robar la información de la empresa. Es mucho más sencillo, ha sido el pobre 'manolo' que bien ha tirado algún papel importante a la basura o que ha perdido el pendrive con los datos de clientes.

Si manolo es un poco más avispado y preocupado por la seguridad (creedme cosa rara a día de hoy) como mucho romperá las hojas y las tirará a la papelera para a continuación guardar en su bolsillo el pendrive. (que sabe que es muy útil porque puede copiar cosas de casa a la oficina y de la oficina a casa).

Digamos que como siempre, dependemos en gran manera del buen uso del usuario con los sistemas de información y del trabajo de concienciación que la empresa realiza con los trabajadores en cuestiones de seguridad. Si el usuario no la percibe o no existe, la fuga de información está garantizada y además no podremos reclamar nada, dado que no tenemos las herramientas jurídicas suficientes para que la empresa este cubierta legalmente.

Por ejemplo si la empresa no dispone de ningún documento en la que indique que el uso de los pendrives está prohibido, no podrá evitar ante una perdida de información la reclamación de daños al usuario que presumiblemente perdió el dispositivo, dado que tecnológicamente tampoco podrá evitar que un usuario haga uso (legalmente o ilegalmente) de este elemento.

En estos casos la solución pasa por ser lo que llamamos preventivo-forense, que consiste en la creación de normas que regulen esta falta de desamparo en una empresa. Para ello las normas o procedimientos dentro de la compañía nos permitirán regular de forma legal estas cuestiones.

Seguro que este procedimiento que pongo a vuestra disposición no es ninguna 'panacea' universal, pero como mínimo nos permitirá regular la información móvil en horas de trabajo.

También si observais hago enfasis en la destrucción de documentos en papel. Comentaros que hoy en día existen soluciones económicas en cuanto a destructoras de papel, que alguna ronda el precio de 22 Euros (las más baratas)

Este procedimiento lo tenéis disponible desde aquí.

3 comentarios:

Estupenda recopilación y gracias por compartirla con todos. Me tomo la licencia de añadir, asumiendo que el PC y la pantalla es un "soporte" más, lo siguiente:
- apagar el pc al finalizar la jornada o ante una ausencia prolongada.
- activar el protector de pantalla o bloquear la sesión en ausencias del puesto de trabajo.
Quizás no tenga cabida en este procedimiento pero en nuestro caso particular hemos evolucionado de las "mesas limpias" a las "mesas seguras" .....
Saludos

No estaría de mas comentar lo que dices y hacer un procedimiento sobre mesas seguras. Tomo nota, muchas gracias!!

Links rotos, a ver si los puedes corregir :D