Evite descontrol en cuentas de usuario

felipeglezComo hemos visto en las entregas anteriores, el manejo de cuentas de usuario para entrar a los sistemas informáticos proporciona tres certezas a una organización: productividad (cada empleado puede hacer todo lo que le corresponde), seguridad (que no hagan ni vean lo que no deben) y trazabilidad (saber quién hizo qué, cuándo y desde dónde).

Y, ya conociendo los riesgos que tu empresa corre si hay un descontrol al respecto, ahora veremos algunas políticas que puedes establecer para estar cierto de que cada empleado tiene una cuenta bien configurada, y que sólo él la usará.

Concientiza al personal. Antes que cualquier otra cosa, lo primero que tienes que hacer es asegurarte de que todo tu personal sepa que no debe nunca usar cuentas ajenas, ni dejar que otros usen la suya. Dilo cuando contrates gente; repítelo muchas veces y con mucha claridad, y así al menos habrás eliminado los malos usos ocasionados por ignorancia o distracción.

Que lo firmen. En realidad, ésta debería ser una práctica generalizada para todos los aspectos de seguridad de la información (y de confidencialidad dentro de las empresas). Cada vez que contrates a alguien, en el proceso de inducción pon por escrito las reglas para protección de usuario+contraseña, y haz que firme un documento de conocimiento y aceptación de las mismas.

Inclúyelo en la definición de puestos. Ya sea como un anexo a tus definiciones de puestos, o como documentación independiente a cargo del área de Sistemas, asegúrate de que esté bien definido y por escrito, cuáles son los servicios para los que cada puesto necesita una cuenta (acceso a la red, software administrativo, de producción, correo-e…), y con qué privilegios. Así evitarás una de las causas de error más comunes que hay en una organización: que algún técnico sobre la marcha decida sobre aspectos en los que no caben los criterios personales.

Define un procedimiento de baja. Así como debes establecer con claridad qué se debe hacer cuando llega un nuevo empleado, también es necesario definir cómo se procederá al respecto cuando alguien se va: básicamente, asegurarse de que todos sus servicios quedarán deshabitados (o re-dirigidos, como sería en el caso del correo-e). Este procedimiento de baja, por cierto, tendría que estar ligado al registro de cuentas que a continuación describo.

Mantén un registro. Puede ser en papel, en Excel o en la intranet de la empresa. Lo importante es que en algún lugar esté apuntado en forma clara e inequívoca, los servicios que cada empleado tiene asignados, con qué privilegios, y las anotaciones pertinentes para cada caso. Y si lo haces en forma de bitácora –es decir, registrando los cambios a lo largo de tiempo–, será mejor aún.

Haz revisiones sorpresa. En una cultura como la nuestra, que poco valora el rigor en los procesos y el cumplimiento de las reglas, es especialmente recomendable establecer métodos de vigilancia y coerción. Ya sea que lo hagas tú mismo o con el apoyo de algún tercero de confianza, de vez en cuando… a) Pide que te muestren el registro de cuentas y cotéjalo con la lista de todos los empleados, cerciorándote de que no sobre ni falte nadie… b) Toma algunos empleados al azar y verifica que sus servicios asignados en el registro sean los que les corresponden en su definición de puestos… c) Ingresa al control de usuarios en los sistemas en sí, y verifica que su configuración en los hechos coincida con lo que está anotado en el registro.

felipecolumna

Como se puede ver en el diagrama, que las cuentas de usuarios se utilicen y se administren en forma adecuada, no es un asunto exclusivo del Departamento de Sistemas: es necesario contar con la participación del Área Administrativo, y la Dirección General hará bien en hacer sus propias revisiones para evitar sustos y sembrar un ambiente de disciplina.

Por supuesto que podemos expandir y profundizar mucho esta lista; pero como guía general está bastante completa, y puedes tener la certeza de que minimizará el descontrol en las cuentas de usuario. Y ya con el riesgo de errores prácticamente eliminado, en cualquier situación de mal uso casi tendrás la certeza de que hay una dosis de mala fe.

(© esdrújula.net, 20/dic/2010)

* Consultor y analista en TI y telecomunicaciones. felipe@esdrujula.net

Deja un comentario