La inseguridad de la seguridad informática

Parece que últimamente se están dando muchos nuevos casos de personajes que desde dentro hacen acopio de datos o uso de "puertas traseras" para hacer hacer su agosto.

Un empleado de Teledata Communications Inc, aún no teniendo un puesto importante, si tenía acceso a datos sensibles de clientes de esta compañía, así "robó" datos económicos de 30.000 clientes. Este sujeto junto con 2 personas más ha realizado el mayor fraude conocido de suplantación de identidad. Recibiendo unos 60$ por cada ficha ... se han llevado no menos de 1.800.000$ por esto. Ahora están disfrutando de unas ganadas vacaciones en una celda con vistas.

Unas semanas antes de la detención de estos sujetos, ña policía detuvo a 3 miembros de una fraternidad por tratar de trucar el sistema de apuestas de la Breeders' Cup (una competición hípica) con la ayuda de un programador de Atotote, compañía que llevaba el sistema de apuestas. Su objetivo: un premio de 3.000.000$.

El problema, como se puede ver, ya no está en intrusos y curiosos externos, el problema está en casa, dentro de las puertas franqueadas por rigurosos controles de seguridad físico para acceder a edificios y costosos sistemas de cortafuegos. Ahora nos planteamos muchas cuestiones ...como ¿ Cómo controlar los usos de los empleados ?....

Lo triste es que para evitar esto se necesitan mejores sistemas de auditoría interna, lo que lleva a un mayor control de los empleados, muchos tomarán esto como una mayor intromisión de las empresas en el discurrir laboral de los empleados, pero la verdad es que estamos ante una situación que sólo tiene una clara solución, basada en una completa separación de trabajo y vida personal.
Una correcta auditoría necesitaría un control de los accesos de un cliente, con robustos sistemas de controles de acceso, no hace mucho un estudio en Estados Unidos sobre los accesos a datos de la autoridad de hacienda, se contaron millones de accesos "dudosos", comprobandose un "curioso" perfil: La mayoría de los empleados curioseaban con los datos de famosos y vecinos.
Además de auditar los accesos debería diferenciarse claramente los accesos internos de los externos. Tener una conexión sin ningún tipo de control a internet permite, sin complicación "dejar" datos internos en el exterior, de nada sirve un control de unidades de almacenamiento (grabadoras, diskettes,...) o documentación impresa (fotocopiadoras, impresoras, faxes,...) si se pueden enviar emails utilizando cuentas "externas" o acceder a servidores FTP ...

No estaría de más diferenciar y aclarar de antemano lo que es trabajo y lo que es la libertad dentro del trabajo: que la empresa nos permita leer la prensa a través de internet, leer el correo mediante un webmail que tenemos en hotmail o yahoo, ... no significa que tengamos el acceso a internet sin restricción, una buena política de acceso mediante contafuegos y proxies, y audorías aleatorias serían medidas basicas y necesarias para cualquier empresa que valores sus datos e información interna en su verdadera medida