Preguntas y respuestas de Seguridad Informática (II)

Esta entrega, tendrá las respuestas a dos nuevas interrogantes sobre requerimientos que se exigen y que, muchas veces, son rechazados por los usuarios de las TIC. Unas veces se alega: por qué tanto papeleo para mover un medio técnico de computo (MTC) de una dependencia a otra en la misma institución, otras veces, queda herido el orgullo, cuando se toma la medida como una carencia de confianza, en fin, que los argumentos son muchos y no siempre las respuestas brindan todos los elementos para convencer a las personas y entonces queda en el no se puede. Estas respuestas buscan abrir el camino de quienes nos leen a la búsqueda de respuestas en las buenas prácticas en Seguridad Informática.

3. ¿Por qué es una obligación al trasladar un medio técnico de cómputo realizar un movimiento de medios básicos y un chequeo de los componentes internos?.

Las razones son muy simples, el movimiento de medios básicos es una obligación que establece el Sistema Nacional de Contabilidad para todos los medios básicos de una entidad como parte de las acciones para el control de los recursos, en este sentido la resolución 60/2011 de la Contraloría General de la República de Cuba es muy específica cuando establece objetivos de control para el patrimonio de cada entidad. En cuanto al control de componentes, que también está estipulado en la ley buscar mantener la integridad del MTC, en especial en el Decreto 360/2019 y la resolución del Ministerio de Comunicaciones 128/2019 que es el Reglamento de Seguridad Informática de la República de Cuba (sustituyó a la resolución 127/07). De esta manera se evita que puedan cambiarse piezas que inutilicen un medio o limiten su capacidad de prestar servicios con determinado estándar en la institución.

4. ¿Por qué no puedo operar para el trabajo diario un MTC desde una cuenta con permisos administrativos?.

Los permisos administrativos se otorgan cuando el usuario requiere de ellos para hacer modificaciones al entorno del MTC donde labora para el cumplimiento de actividades en el trabajo cotidiano, evitando así los inconvenientes de tener que buscar a un administrador para que acometa las tareas con la consecuente pérdida de tiempo. Para que se comprenda mejor, tomemos un ejemplo: En una investigación se requiere la realización de pruebas para medir el impacto de un aporte que se aplica y para ello hay que buscar que software cumple mejor esta función, para ello, se requiere instalar y desinstalar programas que modifican el entorno de trabajo, si el investigador no posee permisos adminstrativos choca con una traba en el desempeño de su labor.

Sin embargo, estos permisos deben ser otorgados a cuentas de usuarios local en el MTC y no a las que se utilizan de manera cotidiana para la navegación en internet, la revisión del correo o las redes sociales. La razón está basada en que las cuentas administrativas tienen la posibilidad de acceder a las zonas protegidas del sistema y cambiar configuraciones, por lo que constituye un riesgo muy alto utilizarlas en el trabajo diario. Por solo poner un ejemplo, si mientras se utiliza una cuenta administrativa se ejecuta un código maligno el sistema, queda comprometido porque el alcance de las modificaciones alcanza a todo el sistema, con lo que se pone en peligro la integridad de toda la información y no de una parte de ella contenida en la sección del usuario.

Esta entrada fue publicada en amenazas, buenas prácticas, códigos malignos, competencia informática, componentes internos de la PC, educación de usuarios, informaciones, medidas y procedimientos de seguridad informática, percepción de riesgo, plan de seg. informática, políticas de seguridad informática, prevención, seguridad informática. Guarda el enlace permanente.

Deja una respuesta