Más allá de los típicos comentarios que se puedan hacer al respecto, de los cuales tenemos una buena representación asociados al propio artículo, creo que es necesario prestar atención a algunos aspectos que creo que pueden ser significativos:
- La persona en cuestión parece que tenía problemas de relación inter-personal. Si el hecho ya estaba en conocimiento de RR.HH., como parece, vamos a la segunda derivada. ¿Se habían analizado las posibles consecuencias más allá de el propio hecho? ¿Existía una especial atención al comportamiento de esta persona desde otros puntos de vista, como podría ser el de seguridad de la información?
- Estamos ante una persona con importantes privilegios dentro de la organización, ya que se trata del director de servicios técnicos. Alguien que de hecho tenía que poder realizar las acciones que desarrolló si hubiera seguido formando parte de la organización. ¿Cuál era la estructura de control interno de la compañía? ¿Cómo se supervisaba o auditaba la actividad de las personas con mayores privilegios, que son precisamente las que tienen el mayor riesgo potencial asociado?
- Tras su dimisión se pudo conectar a los sistemas para llevar a cabo las acciones ilegales. ¿Por qué no funcionó el procedimiento de bajas? ¿No hubiera sido necesaria una especial atención dado el perfil del sujeto, de altos privlegios, y las condiciones de la baja, en forma de "dimisión airada"?
El hecho que quiero destacar es que, en este caso, no es que se produjera un fallo concreto en un elemento específico de la organización, sino que la pérdida de casi medio millón de dólares estuvo producida por la concurrencia de fallos de seguridad en distintos ámbitos (seguridad ligada al personal, monitorización, procedimiento de bajas, ...). Es un claro ejemplo no sólo de que los mayores riesgos de seguridad están dentro de casa, sino de que sin una estrategia que trate la seguridad de forma global es probable que aparezcan casos en los que una conjunción de factores de riesgo sean capaces de desencadenar graves pérdidas para la organización. ¿Hubiera sido posible evitar el incidente con un buen SGSI? Yo creo que sí...
No hay comentarios:
Publicar un comentario