¿Deberíamos preocuparnos por la red de usuarios?

Cerrar los ojos e intentar no ver lo que está sucediendo es algo que solemos hacer para no afrontar la realidad. Este comportamiento es habitual en grandes organizaciones con un gran número de activos que es incapaz de controlar, que no se ve la necesidad de controlar o se cree que es imposible controlar. Es decir, se puede dar el caso en organizaciones muy dinámicas donde los usuarios de la red cambien constantemente y no se tenga ningún registro sobre ellos, ¿qué usuario tenía una determinada IP? ¿cuándo y a dónde se conectó? ¿durante cuánto tiempo? ¿qué servicios utilizó? ¿estaba el equipo infectado? Estas y muchas otras preguntas surgirán cuando la Guardia Civil se presente en la organización para pedir los registros/logs ante un delito en el que está involucrada la dirección IP pública de la organización.

Se tiende a pensar que como nunca ha pasado nada, no es necesario controlarlo, no nos preocupa, no sabemos y no queremos saber qué está pasando por esa gigantesca red de usuarios, creemos que con controlar sólo los sistemas del CPD es suficiente.

Sin embargo, mediante el Esquema Nacional de Seguridad (ENS) se debería corregir esta falta de control, ya que exige a las Administraciones Públicas la implantación de medidas de seguridad en los sistemas informáticos, proporciona las pautas para defenderse contra ciberataques, además de controlar que no se produzcan robos y fugas de información. A esto hay que sumarle la reforma del Código Penal del 2010, donde las personas jurídicas son responsable de todos los hechos delictivos que cometan sus trabajadores en el desarrollo de su actividad, si se prueba que no se ha ejercido suficiente control sobre los empleados. Es decir, si un empleado comete un delito desde la organización, como por ejemplo realizar algún ataque informático, acceso no autorizado, amenazas por Internet, intercambiar obras de terceros en redes P2P, etc, etc y la organización no ha implantado medidas de seguridad en los sistemas informáticos, la organización será la responsable del delito y puede llegar a asumir multas, disolución de la organización, inhabilitación para obtener subvenciones o ayudas públicas, etc.

En definitiva, lo que antes parecía ser el derecho a la intimidad de los empleados, a partir de esta reforma del Código Penal, todos los medios propiedad de la organización que se entregan a los empleados, como equipos informáticos, cuentas de correo, redes de comunicaciones, pueden estar sujeto a vigilancia por la organización. Así que la gestión de la seguridad ha llegado para quedarse, si no queremos que por culpa de un usuario o empleado sancionen a la organización, se debería definir la política de seguridad y el uso aceptable de los activos, esto está causando que cada vez más organizaciones y administraciones públicas implanten estándares como la ISO 27001 y el ENS, de esta manera no solo se podrá controlar a los empleados sino también estaremos protegidos ante eventuales ataques asegurando toda nuestra información y recursos.