Por @Alvy — 16 de Septiembre de 2005

¡Ah! Esa gran verdad:

El 79% de los responsables informáticos cree que los empleados son «peligrosos» - Un estudio ha revelado que el 79% de los responsables informáticos cree que los empleados ponen en peligro a sus empresas al no hacer un uso responsable de Internet. Son muchos los empleados que siguen abriendo correos no solicitados, documentos adjuntos desconocidos, o que descargan programas maliciosos de páginas Web (...) Estos empleados pueden comprometer la credibilidad de sus empresas.
El artículo pasa a identificar los siete peligros capitales que suceden cuando se ponen, como suelen decir los BOFHers, «armas cargadas en manos de monos»:
  1. Descargar música o películas
  2. Abrir documentos adjuntos o hacer clic en enlaces de mensajes no solicitados
  3. Visitar paginas Web porno o de contenido ilícito
  4. Abrir programas de broma enviados por amigos o compañeros de trabajo
  5. Instalar programas no autorizados o complementos del navegador Web
  6. Proporcionar informaciones personales a desconocidos por teléfono o email
  7. Utilizar la misma contraseña en diferentes páginas Web o compartirla con más gente
(Vía Shell Security Group.)

Compartir en Flipboard  Compartir en Facebook  Tuitear

13 comentarios

#1 — bleuge

que hay de peligroso en abrir webs porno? jajaja
vale que no está bien hacerlo en el trabajo (a no ser que curres en el ramo) pero tampoco pasa nada :D
pero tiene mucha razón el artículo lo veo cotidianamente en todos lados a los que voy

#2 — JarFil

Estoy de acuerdo con todos los puntos, pero me gustaría matizar el de "instalar programas no autorizados".

Por lo que veo hay cierta creencia de que en los ordenadores de la empresa "solo" debería haber programas autorizados en el plan de seguridad... establecido una vez cada uno, dos, o diez años (sic).

El problema que le veo es que siempre acaba habiendo algn usuario "más avanzado" que termina saltándose la protección, para instalar su programa de IM favorito, o su barra de explorador preferida.

La solución, a mi modo de ver, no consiste en intentar prohibir estos comportamientos (cosa por otro lado imposible), sino establecer una política de acercamiento al usuario donde tenga la suficiente confianza con el departamente de informática como para pedir consejo sobre la instalación de tal o cual cosa, que por otro lado pudiera verse como causante de "reducción de rendimiento en el trabajo".

Personalmente creo que el "rendimiento en el trabajo" no es, ni debería ser, competencia del administrador. Si el usuario quiere pasarse el día chateando, debería ser su director de proyecto y/o jefe quien debería notar su falta de rendimiento y ponerle de patitas en la calle.

En esto no incluyo a quienes se intenten dedicar a revelar secretos de empresa; en esos casos suele haber mecanismos preparados independientemente de los medios.

#3 — Alvy

Yo creo que dicen «no autorizados» por varios sentidos: 1) Seguridad (spyware, cosas que rompen el ordenador etc); 2) Piratería (no puedes arriesgarte a multa por piratear software que se trae la gente de casa); 3) Rendimiento en el trabajo (miedo a que la gente se instale el tetris).

La solución a todo esto es que los BOFHers culturicen a los empleados.

Con eso se evitarían 1 y 2 y el 3 con el que nunca he estado de acuerdo también se arregla con una correcta cultura de empresa y una confianza con los que trabajan allí, porque por desgracia la mayor parte de las empresas entienden esto por trabajadores felices y se trata de otra cosa.

#4 — Javier

Sobre el tema de seguridad resulta interesante leer The Six Dumbest Ideas in Computer Security de Markus Ranum. Sobre la educación de los usuarios en temas de seguridad dice:

The real question to ask is not "can we educate our users to be better at security?" it is "why do we need to educate our users at all?"

Y tiene razón, en demasiados casos, bajo la falta de educación de los usuarios se esconde una falta total de seguridad en TI en las empresas.

Respecto a los usuarios avanzados de M$ Windows dice:

When I was CEO of a small computer security start-up we didn't have a Windows system administrator. All of the employees who wanted to run Windows had to know how to install it and manage it themselves, or they didn't get hired in the first place.

Si esta política se siguiera habitualmente, conozco a algunos trabajadores de TI que se iban a quedar en el paro.

#5 — Alvy

«All of the employees who wanted to run Windows had to know how to install it and manage it themselves, or they didn't get hired in the first place.»

Esta es sin duda una solución ideal, pero generalizándola más incluso diría yo: «A ver, o sabes manejarte completamente bien y de forma autónoma y demuestras ser responsable con tu ordenador y con Internet, o aquí no trabajas» (aunque sepas mucho de marketing o de hacer facturas)

Ya estando en el siglo XXI evitar a los «lusers peligrosos» es como evitar contratar a alguien que no sepa sumar o no tenga ni idea de ortografía: casi una medida de autoprotección y supervivencia para las empresas ;-)

#6 — Anonymous

Si la red de la empresa tiene 2000 o 4000 usuarios con su pc, algunas ideas de 'buen rollo' simplemente no funcionan. Aunque por supuesto hay que educar a la gente y prohibir no es la solucion.

Pero calculando asi a groso modo, una incidencia producida por un usuario que desconfigura algun programa 'basico' de su pc porque ha instalado algo que se ha bajado de internet, ha intentado tocar lo que no debia, etc. Si a un usuario le pasa una cosa de estas de media una vez al año (que pasa mucho mas), tienes cada semana varias decenas de ordenadores con problemas. Esto es asi y cuesta dinero.

Si el usuario es un contable, no tiene porque saber instalar ni ajustar sus programas, ni es su trabajo ni su problema ni le pagan por ello. Se le ponen, los usa y punto. Si necesitan mas, se valora, se paga y se instala. Cuando hay problemas se vuelca una imagen nueva en el disco duro.
No se como estara la discusion en otras empresas, en cada casa supongo que hacen como pueden.

#7 — pedro

El entrecomillado "armas cargadas en manos de monos" me parece un poco fuerte, dandole la vuelta al argumento podria ser que los administradores no son capaces hacer su trabajo y proteger la red de la empresa.
Tambien es cierto que no se lo ponen facil si de lo que se trata es de proteger Windows.

#8 — Javier

Alvy dice en el mensaje (5):

«A ver, o sabes manejarte completamente bien y de forma autónoma y demuestras ser responsable con tu ordenador y con Internet, o aquí no trabajas» (aunque sepas mucho de marketing o de hacer facturas)

Y tiene toda la razón. Lo que pasa es que Mark Ranum en su artículo hablaba de una small computer security start-up. En este caso lo más importante es que sepan de seguridad. No son los empleados habituales de una empresa.

#9 — Alvy

Sí, yo lo extendía un poco más allá incluso.

#10 — Dani

Yo creo que muchas veces el problema es que le gente no sabe usar el pc y no sabe "usar" internet. Conozco un montón de gente que el pc lo apaga desenchufando el cable de corriente sin saber que hay una forma "mejor" de apagarlo y otra personas que para ellos navegar por internet es ir poniendo las direcciones en google, no saben que existe una barra de direcciones. Es más, me he encontrado con gente a la que se le cambió la página de inicio (tenían google) por otra cualquiera y te dicen que no tienen internet.
Esas personas delante de un pc son un peligro en potencia para la seguridad de una empresa.

#11 — uvigo

an con todas las burradas.. nunca llegaré a entender porque los ordenadores de las universidades están estropeados el 75% de su vida.. acaso se puede ser tan vestia de aun teniendo solo la opcion de entrar al iexplore estropear el aparato? señores entre nosotros hay personas diferentes.. con poderes.. destruiran la electronica y conquistaran el mundo :x

#12 — DeWeert

Quiero contar algo:

Mi papá en una época estuvo al mando de un departamento de sistemas. Yo recuerdo cuando lo llamaban las personas que tenía a cargo, a veces los domingos, porque había pasado "algo".

Más de una vez, las conversaciones terminaban con dos oraciones:

-Fijate si está enchufada / encendida tal cosa
(10 segundos de silencio), y
-Sos un boludo.

moraleja: muchas veces los especialistas cometen tonterías muy tontas.

Segundo: alguien recuerda la dirección de una web muy graciosa (en inglés) en la que contaban anécdotas de usuarios "tontos" (tal palabra usaban para definirlos)?

Me acuerdo que en la página principal decía, entrecomillado:
"I want to download the Internet. Do I need a bigger hard disk?" (La frase fue tomada inicialmente de w3schools, y acompañaba al texto "download the internet here".

#13 — noesmivida

desde luego ese 21% que no los cree peligrosos viven en los mundos de Yuppie ;-)