4 tipos de personas que detesta el CSO

Quisi Aguilar

Quienes han trabajado en seguridad informática, tienen una lista negra y precisamente tiene que ver con la capa 8. Aquellos que tienen contraseñas muy débiles y los paranoicos que saben la importancia de la seguridad, pero no confian en su equipo de IT.

CIO

Si has trabajado en IT durante suficiente tiempo, habrás aprendido a reconocer cierto tipo de personas que encajan en nichos ecológicos particulares. A veces son fantásticas, y a veces… no tanto. Hace un par de años le pedí a profesionales de IT que me den ejemplos de los peores tipos de personas con los que se cruzaron en su trabajo, y estuvieron más que dispuestos a hacerlo. Ahora he reunido tipos específicos de empleados inseguros con los que los trabajadores de la seguridad informática han tenido que tratar, y de los cuales han tenido que protegerse (o proteger sus servidores). Definitivamente encontrarás gente con la que trabajas en esta lista. Esperamos que no te encuentres a ti mismo.

El peor de lo peor

Todas esas hermosas ventanas emergentes. ¿Qué daño podrían hacer?

Todos conocemos los ‘sitios de noticias’ con ventanas emergentes atractivas, pero molestas. Alguna gente cae en la trampa y se entusiasma cliqueando, infectando su computadora con spyware. Y los correos electrónicos tampoco son seguros”,  dijo Eric Branter, fundador de Scribblrs.com. 

De acuerdo con Ryan O’Leary, vicepresidente del Centro de Investigación de Amenazas en WhiteHat Security, casi todo el mundo conoce el término ‘phishing’”.

“Pero el atractivo de ese link que lleva a un video divertido de gatos, o la amenaza de que su clave de Google se ha visto comprometida es demasiado grande para algunas personas. Una vez que la persona que cliquea se convierte en víctima y el malware se instala, toda la red de su empresa se ve comprometida”, dijo Ryan.

Le recomendamos: ¡Cuídese de estas amenazas en Navidad!

El cliqueador confiado

A veces, los empleados que se consideran conocedores de la tecnología son los que más tomarán parte de prácticas inseguras. Branter, de Scribblrs.com, apuntó a aquellos que son lo suficientemente inteligentes como para utilizar sitios pirata de streaming en sus computadoras de trabajo – y nada dice ‘virus’ como los sitios pirata de streaming.

Dodi Glenn, vicepresidente de ciberseguridad en PC Pitstop, apunta a los usuarios que descargan software/keygens/cracks ilegalmente vía Torrent. Esos programas generalmente están llenos de malware. Instalan herramientas administrativas remotas como ser VNC para conectarse a sus computadoras de trabajo desde casa, pero no implementan buenas prácticas de seguridad. Estos empleados a veces abren agujeros en la red de la empresa sin quererlo.

El paranoico

Según el CEO de Resilient Network Systems, Ethan Ayer, en esta misma categoría se encuentra la persona que sabe que la seguridad es importante, pero no confía en su propio departamento de IT para que la implemente correctamente.

En lugar de instalar un parche en su PC o actualizar a un nuevo paquete de aplicaciones exigido por seguridad, deciden investigarlo por su cuenta por dos semanas para asegurarse que es lo suficientemente bueno para ellos, y por lo tanto se ven comprometidos“, explicó.

LeaAdministre sus contraseñas de forma gratuita

El ejecutivo que ama las contraseñas débiles

Por supuesto; hay muchas personas que aman las contraseñas débiles, pero los ejecutivos tienden a tener la autoridad para resistirse a las demandas que exigen modificarlas. Nancy Hand, una ingeniera de redes retirada que trabajó para una compañía regional de servicios públicos, tuvo que tratar con un VP al que no le gustaba que hubiéramos implementado un mínimo de ocho caracteres que tenía que ser modificado cada 90 días y no aceptaba una contraseña repetida. Quería seguir utilizando la misma contraseña que había utilizado durante años para todos los sistemas y programas a los cuales tenía acceso. La contraseña era la letra ‘d’, que casualmente era la primera letra de su nombre de pila.

Ajit Sancheti, CEO y cofundador de Preempt, dijo que para “cultivar una cultura de ciberseguridad, la alta gerencia debe dar el ejemplo, implementando medidas de seguridad adecuadas, como ser utilizar contraseñas más fuertes.”.

Mike Patterson, vicepresidente de estrategia en Rook Security, apuntó que a “la persona que no bloquea su computadora cuando deja su puesto durante un período corto. No es tan malo como dejar la contraseña en un post-it a la vista de todos durante todo el día, pero aun así deja abierta una oportunidad para que cualquier persona utilice su computadora para cualquier fin. Se debería estipular el uso del autobloqueo con períodos de tiempo bien cortos para evitar este problema.”

Gunter Ollmann, CSO de Vectra Networks, regañó a la persona que le tiene una puerta segura abierta a un ‘empleado’ lento sin verificar si tiene su credencial. Una de las formas más fáciles de infiltrarse en un edificio o centro de cómputos seguro es hacer de cuenta que uno está muy cargado (por ej., estar cargando cajas usando ambas manos) y esperar a que una persona autorizada te abra la puerta.

Y esto no aplica sólo a puertas físicas. Hand recuerda a una gerente que, en lugar de pedir que a su secretario se le dé acceso a ciertos programas, simplemente le decía al secretario que utilice su ID y contraseña. El secretario luego accedió a algún lugar ‘inapropiado’ en la web, se topó con un malware, y saltaron las alarmas. No fue sino hasta que acusamos a la gerente por el hecho que nos enteramos que habían otras personas utilizando su acceso. 

Este artículo está clasificado como: , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR