Cuentas de usuario ajenas
La pasada entrega hablé sobre la relación y las diferencias que existen entre un empleado de una compañía y su cuenta de usuario en los sistemas informáticos.
Tras destacar la importancia de que cada cuenta esté configurada rigurosamente de acuerdo con la definición de puesto del empleado, decía yo que cualquier omisión en ese sentido debe ser vista como una afectación a la seguridad de los sistemas -y sobre todo, de la información de la empresa.
Pues bien, hoy retomo el tema de la seguridad de la información.
El concepto de las cuentas de usuario obedece principalmente, ya lo hemos visto, a la necesidad de que cada empleado pueda desempeñar adecuadamente su trabajo –y a la vez, evitar que haga y vea cosas que no le correspondan.
Pero esa es sólo una parte del asunto. Manejar cuentas de usuario tiene una consecuencia adicional, que es la posibilidad de rastrear quién hizo qué. Si un sistema está bien hecho, lo esperable es que lleve un registro de todo lo que en él se lleve a cabo. En los programas administrativos o contables, por ejemplo, cada vez que se captura una póliza, se hace una salida de almacén, se da de alta un cliente o se lleva a cabo cualquier otra acción, quedará constancia del usuario que lo hizo y en qué momento fue.
Por todo lo anterior, así como es riesgoso que a un empleado se le otorguen privilegios excedidos, también lo es –y en mucho mayor medida– que alguien use una cuenta que no sea suya. Desgraciadamente es algo que sucede con más frecuencia de lo que debería, y se da varias maneras, todas ellas indeseables.
Veamos:
Compartir una cuenta: cuando una misma clave y contraseña es utilizada por varios empleados. Esto suele darse con la ‘complicidad’ del área de sistemas, pues sólo se explica en situaciones donde alguno o varios de los involucrados no tenga su propia cuenta, y sería difícil que eso sucediera sin que el personal de sistemas se dé cuenta. Que haya cuentas compartidas es, pues, muestra de excesiva laxitud –y por ende, de inconsciencia por parte de los ingenieros a cargo.
Prestar una cuenta: cuando un empleado permite que otro ingrese al sistema con su cuenta de usuario. Esto puede darse en versión ‘controlada’ (el usuario teclea su propia contraseña) o ‘excedida’ (el préstamo incluye revelarle la contraseña). En el primer caso, la ocasión de hacer daños con nombre ajeno es limitada (mientras dure esa sesión); pero si el ‘invitado’ conoce la contraseña, queda abierta para que regrese en cualquier momento ya sea a husmear información que no le compete o a realizar actividades para las que no tiene autorización.
Obviamente, esta práctica es difícil de ser detectada por el área de sistemas. Por tanto, en vez de idear formas de corregirlas, lo procedente es de inicio evitar que se lleven a cabo.
Estos préstamos generalmente no se hacen por mala fe, sino por alguna necesidad de los involucrados (alguien necesita hacer algo y no tiene los privilegios correspondientes; ausencia laboral de alguien, etcétera). Para estas circunstancias, debe existir un procedimiento de asignación de privilegios en forma temporal, y los empleados tienen que saberlo.
Invadir una cuenta: utilizar un usuario ajeno sin conocimiento del interesado. Es una práctica de mala fe, y ello la vuelve la más delicada e incluso amenazante. Los préstamos con contraseña incluida (arriba descritos) dan pie a que el usuario ‘invitado’ en algún momento abuse del ‘favor’ y se conecte a escondidas. Lo peor es cuando un empleado ‘roba’ la contraseña de otro: sobra decir la seriedad del asunto, que evidentemente lleva intenciones ilícitas –y consecuencias legales.
La otra forma que se me ocurre para usar un usuario que no es el propio, son las cuentas olvidadas: de personal que ya no labora en la empresa, pero que por alguna razón su usuario no fue dado de baja. Pero estos casos sólo afectan la seguridad, en la medida en que involucren cualquiera de las situaciones descritas antes.
Da igual en qué modalidad se dé el descontrol en las claves de usuario. Sea cual sea el caso, si hay cualquier duda o problema con la información y los datos, será imposible deslindar responsabilidades.
La próxima vez veremos algunas formas de impedir estas situaciones.
(© esdrújula.net, 7/dic/2010)
* Consultor y analista en TI y telecomunicaciones. felipe@esdrujula.net
