Errores humanos en los sistemas de información, por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

Riesgos y seguridad
I Posibles riesgos
Errores humanos

1) ¿Quién es causante?

Los usuarios de los sistemas, motivados por el desconocimiento, negligencia, abusos.

Detenido un empleado de Caprabo por estafar a su empresa 2.400 millones de pesetas en tres años El Mundo (http://www.elmundo.es) [17-Oct-2001]

Un trabajador de los supermercados Caprabo, su mujer y los propietarios de una empresa proveedora de material plástico han sido detenidos acusados de estafar más de 2.400 millones de pesetas a esta firma comercial.

Según ha informado la Jefatura Superior de Policía de Cataluña, durante los últimos tres años, el detenido, J.H.V., aprovechó su acceso al sistema informático de Caprabo desde su puesto de trabajo como administrativo de la sección de charcutería para realizar pedidos de material plástico que nunca llegaron a los almacenes.

J.H.V. actuó en connivencia con su esposa y los dos representantes legales de la empresa proveedora M. De Serveis, que facturó el material de embalaje que Caprabo nunca llegó a adquirir. Los pedidos de material de plástico en los últimos tres años tenían un valor de 2.400 millones de pesetas, cuando las necesidades de la empresa precisan un gasto anual de unos 30 millones de pesetas.

2) Medidas de seguridad

Cuanto mejor sea su formación y menos trastadas puedan hacer, mejor. Por lo tanto, como medida de seguridad activa podemos destacar en primer lugar la formación de los usuarios.

También es importante asignar de forma adecuada los permisos de acceso a los ficheros y directorios o proteger contra escritura los discos que no se vaya a grabar nada.

Software para controlar a los usuarios y evitar sus errores
Algunos programas shareware y freeware que pueden ser útiles son Boss Everyware (http://boss.dids.com), Deskman, Guardian...

Se trata de programas que:

Impiden el acceso a información confidencial
Restringen el el acceso a Windows a determinados usuarios (permanentes o temporales), controlando opcionalmente los días de la semana y los horarios, a los cuales el usuario puede iniciar una sesión y hacer uso del sistema
Mantienen un registro o seguimiento de los usuarios que hacen uso del sistema, la duración de las sesiones de trabajo e incluso de los intentos fallidos de entrada al sistema
Seleccionar los archivos (bases de datos, documentos, aplicaciones, imágenes, etc.) a los cuales cada usuario tendrá limitado o ningún acceso
Evitan que alguien borre o desconfigure una impresora, que se acceda al peligroso panel de control, que se acceda a zonas del sistema conflictivas, que se puedan desinstalar programas o dispositivos, acceder a zonas determinadas del sistema
Informan de las acciones de los usuarios hacia un archivo de texto o archivo encriptado.
Protegen el arranque de su equipo.

Y pueden ser utilizados por:

Control de gestión o auditoría interna: para observar y registrar cómo sus empleados realmente usan las computadoras personales de la compañía
Los padres: para controlar qué hacen sus niños con la computadora personal de familia, es decir, a qué juegos juegan, en vez de hacer sus tareas escolares y/o conocer los sitios de Internet que ellos visitan
Los administradores informáticos: para trazar acciones de usuarios que pueden conducir a fallos de su sistema
Cualquiera: que quiera controlar si hay alguien que accede al ordenador

1) Qúe hacen los usuarios...

2) Qúe páginas web visitan...

Sure Delete: un programa para borrar ficheros definitivamente

Acabamos de ver cómo cuando borramos un fichero enviándolo a la papelera de Windows, el contenido permanece en el disco duro, lo único que se borra es el índice donde está de forma que Windows lo clasifica como "espacio libre". Hasta que sea machacado el contendido con nuevos datos puede ser recuperado con relativa facilidad. Ojo en las empresas cuando nuestro ordenador viejo es heredado por otro miembro de la organización. Para evitarlo podemos usar una aplicación gratis como Sure Delete (http://www.wizard-industries.com/sdel.html). Permite tanto destruir un fichero como borrar de verdad todo el contenido libre del disco duro.

Sure Delete está explicado en el siguiente Tutorial de borrado definitivo de ficheros.

Otro programa parecido es Eraser (http://www.tolvanen.com/eraser).

Ejercicio: vea la siguiente pantalla de Sure Delete.

Citar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]	[Índice]