El objetivo
La gran mayoría de las empresas, y los centros educativos no son una excepción, están convencidos de que sus redes de datos son seguras y se muestran satisfechos con el rendimiento y velocidad de la red. Este artículo, tiene como objetivo mostrar la verdadera realidad a la luz de nuestra experiencia en la realización de auditorías de red.
El punto de partida
Como consecuencia de la escasa percepción de lo vulnerables que son las redes, cuando éstas no están bien configuradas, la atención de las inversiones TIC están más enfocadas a la adquisición del material informático que a una implantación robusta y segura de la red. La consciencia de riesgo está cada vez más difuminada conforme se asciende desde el responsable TIC a las más altas esferas de decisión.
La dirección confía en que el responsable TIC tenga en todo momento el control de la red, pero al mismo tiempo le exige que realice esta labor sin contar con las herramientas adecuadas que le permitirían conocer el uso real de la red por parte de los usuarios y controlar lo que puede y lo que no puede hacer cada usuario de la red.
El resultado inevitable, es la progresiva pérdida de control. Conforme aumenta la complejidad de la red y el número de ordenadores y usuarios crece, incorporándose nuevas herramientas de gestión, y permitiendo el uso generalizado de Internet, van aumentando también las vulnerabilidades y las incidencias. El responsable TIC se ve sometido a una creciente demanda de atención a los usuarios finales para tareas urgentes, como problemas con impresoras, nuevos drivers, actualizaciones, instalación de aplicativos, etc, que le obligan a actuar descuidando los aspectos de diseño y seguridad de la red.
La auditoria
Superado el primer escollo que representa la idea de una red invulnerable, la necesidad de la auditoría se hace más evidente. Los aspectos principales que se abordan son:
- Control del tráfico de la red: ¿Qué es lo que está pasando?
- Análisis de las infraestructuras: ¿Cómo está configurada la red y si ¿responde a las necesidades del cliente?
- Riesgos técnicos-jurídicos: ¿Se han implantado adecuadamente las medidas de seguridad conforme a la LOPD? o ¿su cumplimiento es meramente formal?
1. Control del tráfico de la red
Como hemos advertido al inicio de este artículo, uno de los aspectos más desconocidos por la gran mayoría de los responsables TIC encargados del mantenimiento de la red, es conocer cuál es el uso real que los usuarios hacen de la red. Es sabido que la falta de control conlleva a que los recursos de comunicaciones y enlaces, se encuentren sometidos a un uso que excede, con mucho, a los usos que el cliente ha definido para su red. El uso de aplicaciones de descarga y compartición masiva de películas, programas o ficheros, el acceso a sitios no recomendados, prohibidos o peligrosos, el uso indiscriminado de las redes sociales, el acceso a sitios web que
contienen archivos infectados con virus o con malware, el acceso desde internet hacia la red interna exponiendo los datos del centro a cualquier fallo de seguridad y otros muchos usos de riesgo, ocasionan dos efectos inmediatos: por una parte el consumo innecesario de los recursos de las comunicaciones, aumentando el coste y disminuyendo la velocidad y efectividad de la red y, por otra parte, lo que es más importante, haciendo muy insegura la red. La pérdida de datos no solo puede conllevar importantes multas y responsabilidades jurídicas, sino que en muchas ocasiones pueden poner en peligro la continuidad del negocio.
Las herramientas de control de red, permiten monitorizar y además establecer reglas de uso, limitando a los usuarios que se determine, el uso de aplicaciones, el acceso a determinados contenidos de páginas web y a neutralizar, en mismo punto de entrada de la red, las amenazas que suponen los virus, el spam y el malware entre otros. También es posible establecer cuotas, horarios o uso según perfiles de usuario o por máquina. Además es posible balancear los distintos enlaces de comunicaciones, haciendo más eficiente el sistema.
2. Análisis de las Infraestructuras
Se revisa, de manera detallada, la idoneidad del cableado, switches, estructura de la red, permisos de acceso, recursos compartidos, sistemas de backup y recuperación, políticas de seguridad, perfiles y usuarios, sistemas de contingencia, parches de seguridad, etc. A este nivel suelen encontrarse los mayores agujeros de seguridad, encontrándonos en muchos casos, recursos compartidos sin ningún control de acceso, redes que pueden acceder a otras, backups no operativos, accesos de comunicaciones no utilizados, bucles y cables sin marcar, redes WiFi con contraseñas débiles y fácilmente “hackeables” así como otras prácticas que ponen en peligro la seguridad de la red.
3. Riesgos técnico-jurídicos
En este apartado nos concentraremos en que los procesos y procedimientos establecidos en el Documento de Seguridad de la LOPD estén efectivamente implantados. Es muy común encontrar que existe un cumplimiento “formal” de la ley, que se hayan registrado los ficheros y que exista un documento de seguridad, pero no existe una verdadera interiorización de las obligaciones más relevantes de la ley. Es muy frecuente encontrar que no se están aplicando las medidas de seguridad descritas. En la gran mayoría de los casos no hay formularios de ejercicio de los derechos ARCO, ni cláusulas informativas de la creación del fichero, ni registro de incidencias, ni registro de salida de soportes, ni contratos de comunicación de datos a terceros, ni tampoco aparecen detalladas las responsabilidades y obligaciones específicas del personal, etc.
Conclusiones
En general, como hemos visto, hay muy poca conciencia de los riesgos crecientes que supone el uso de las tecnologías en todos los ámbitos y en especial en el ámbito educativo, en donde, por tratarse de menores de edad, se multiplica exponencialmente los efectos que puede producir la exposición a información inadecuada, la publicación de datos confidenciales o la comisión de delitos o agresiones por parte de otras personas de la comunidad educativa. Integra desea contribuir de manera efectiva a la correcta implantación de las nuevas tecnologías en los centros educativos proveyendo las herramientas y el conocimiento necesario para un uso racional y óptimo de los recursos de red, por lo que recomienda la contratación de este tipo de servicios.
Diego echeverri Uribe
Director Tecnologico
Integra Información y Comunicación S.L
Madrid, 25 de Julio de 2013
Artículos relacionados
1 de noviembre de 2024
25 de octubre de 2024
2 de octubre de 2024
18 de septiembre de 2024