¿Eres el gerente o dueño de una empresa? Te toca saber que tan peligroso es ese empleado poco sociable con lentes que parece que su vida depende de las computadoras.
Los profesionales de TI suelen saber dónde están enterrados los cuerpos. A veces eso es porque ellos son los que sostienen la pala.
¿Los administradores de sistemas pueden ejercer poder más allá de las peores pesadillas de un gerente o empresario? ¿Los empleados de forma rutinaria se han llevado equipos de la empresa? ¿Los datos que se almacenan en la nube realmente desaparecen en un instante? ¿Estás pagando demasiado por el soporte técnico?
Sigue leyendo para averiguar lo que expertos creen y saben de la industria de tecnologías de información.
¿Cuál es el secreto más grande de TI que vas a conocer? Lea señor gerente y sienta que su sillón no es tan grande como parece.
Sucio Secreto N º 1:
los administradores de sistemas tienen a su empresa por los pelos
Este es el caso cuando el zorro de sistemas está guardando el gallinero de datos.
Cualquiera que haya seguido la historia de Edward Snowden sabe qué tipo de daño puede hacer un administrador de sistemas con un programa. Pero incluso la gente puede no darse cuenta de la amplia gama de acceso sin restricciones que puede tener el jefe de sistemas y el tipo de dolor que puede aportar.
No hay secreto para un administrador de sistemas, él conoce las contraseñas de todos los usuarios, accede a la base de datos de sus sistemas comerciales y (sujétese a la silla) puede entrar a todas las computadoras de la empresa.
Cada jefe de sistemas es como tener una mini Agencia Nacional de Seguridad. Algo muy común, 9 de 10 organizaciones están en esa calificación.
Pero, todo depende de la ética del encargado de TI de la empresa. Hay que rezar y pensar en su jefe de sistemas como un muy humano Spiderman, que sabe que con un gran poder, viene una gran responsabilidad y no como un Snowden.
Sin embargo, el administrador de sistemas de su empresa no es el único riesgo que puede tener, en una empresa la mayoría de usuarios tiene más accesos de los que debería, y generalmente no saben que lo tienen.
La organización debe ser capaz de ver quién tiene acceso a qué datos, a quién los datos pertenecen, y quien ha estado accediendo qué archivos. A partir de ahí, se puede involucrar a los propietarios de los datos directamente a tomar decisiones informadas acerca de los permisos y el uso aceptable de los mismos.
Sucio secreto N º 2:
Sus empleados podrían estar ayudándose a sí mismos
Cuando los activos " retirados" de TI disfrutan de una sorprendente segunda vida.
Viejos equipos de alta tecnología rara vez mueren, sólo encuentran un nuevo hogar - y, a veces , el hogar es el mismo de sus empleados de TI.
Dentro de la industria, es un secreto a voces, hay de todo. Ser honestos en este caso no te exime de no llegar a conocer a quien no lo es. El robo de equipos retirados es algo común, pero que la gente de TI no lo ve como un crimen, al menos un crimen con víctimas.
Una vez que un equipo es dado de baja, la gente de TI lo empieza a ver como un blanco legítimo, sin pensar que podría haber un riesgo de seguridad, por ejemplo en el caso de discos duros o memorias flash, donde la información contenida es de valor para la empresa y podría significar un tesoro para la competencia.
Sin embargo, señor gerente, no traiga a la policía, ya que el escenario común es que la gente de TI pierda de vista a los equipos dados de baja por otras razones menos nefastas, incluso desconociendo su destino final.
Sucio secreto N º 3 :
Almacenar datos en la nube es aún más riesgoso de lo que piensas
Toda la seguridad en el mundo no te ayudará cuando Juanita La Ley llegue a llamar
Almacenar sus datos en la nube es conveniente, pero esa conveniencia puede llegar a un alto precio : la pérdida de los datos en un bodrio legal totalmente ajeno.
La mayoría de las personas no se dan cuenta que cuando sus datos se almacenan en la nube junto con los de alguien más, y una cuestión jurídica se plantea con una de las otras empresas, entonces sus datos podrán ser objeto de ser revelados.
En otras palabras, si alquilas un hosting para almacenar tus datos y es compartido, y uno de tus “vecinos” es enjuiciado, las autoridades podrían llevarse tus datos y nunca devolvértelos.
El ejemplo clásico de este principio se produjo en enero de 2012, cuando las autoridades de Nueva Zelanda y EE.UU. cerraron Megaupload, de Kim Dotcom en enero de 2012. Junto con un tesoro de películas supuestamente pirateadas, las autoridades confiscaron los datos de miles de clientes que respetan la ley y encima el gobierno se negó a devolverlos. Esos clientes nunca obtendrán sus datos de nuevo y el caso sigue sin resolverse.
La recomendación es encontrar proveedores de almacenamiento en la nube que garanticen la ubicación física de los servidores y de datos, como Amazon, para poder limitar su riesgo de manera proactiva.
El cifrado de los datos disminuirá la posibilidad de que cualquier persona que se apodere de ella será capaz de leerlos. Otra buena idea : Mantén una copia de seguridad de datos recientes cerca. Uno nunca sabe cuando puede llegar a ser la única copia .
Sucio secreto N º 4 :
El presupuesto es reducido , pero el jefe tiene un cheque en blanco
En prácticamente todas las organizaciones de tamaño mediano o grande, hay dos maneras de conseguir que las compras sean aprobadas.
Ahí está el procedimiento oficial de compras - un proceso que consume tiempo que te obliga a saltar a través de aros en llamas más frecuentemente que en un acto de circo. Y ahí está el carril diamante especial de contratación, disponible sólo para unos pocos especiales .
Las personas al nivel de liderazgo de alto nivel tienen su propia línea de adquisiciones. Una persona de TI puede lograr en un par de semanas una compra que siguiendo el conducto oficial tomaría casi un año, ya que generalmente una organización privada o del Estado tiene una línea del presupuesto especial para adquisiciones.
El propósito de un proceso de adquisición oficial es para hacer más difícil que los empleados gasten el dinero de la compañía, a menos que, por supuesto , pertenezcan a ese club secreto de las compras rápidas. Desafortunadamente, el CIO no suele ser un miembro de este club, lo que significa que las grandes compras de tecnología se pueden hacer sin un análisis de costo-beneficio o consideración seria de visión estratégica.
Aunque tampoco podemos ir al extremo. La mayoría de los casos de las compras rápidas suceden porque el departamento de TI necesita algo de inmediato y no se quiere perder semanas por la burocracia para conseguirlo.
Los ejecutivos no tecnológicos no saben lo suficiente para tomar una decisión de compra grande, simplemente se fijan en el precio y las compras que hace un gerente sin consultar a su gente de sistemas salen mal. Lo que deben hacer es consultar a sistemas, y que firme la orden de pedido según el requerimiento. Si sale algo mal con la tecnología adquirida, el ejecutivo de sistemas sería responsable y trazable.
Sucio secreto N º 5 :
Usted está recibiendo el extremo corto de la vara de soporte al cliente
Ese técnico de sistemas es más que otro script kiddie (y no sabe lo que hace, sólo que funciona).
Deténgase si esto le suena familiar: está en el teléfono con el técnico, pero te da la impresión de que sabe menos de lo que hace y está leyendo un guión . ¿Sabes una cosa ? Ellos probablemente lo están haciendo.
Soporte de TI es una mercancía barata lamentablemente. Las herramientas que hacen la mayor parte del trabajo son gratuitas, y las computadoras requieren menos conocimiento ahora de lo que solían necesitar. La hija de su vecino o el tipo conocedor de tecnología en materia de contabilidad probablemente puede arreglar su ordenador, así como cualquier empresa de TI.
Eso es verdad en parte. Es verdad cuando los problemas son simples, pero si son algo complejos tienes que llamar a un experto. Y en ocasiones, tu “experto” va a llamar a otro, porque el guión no dice nada del tema que se necesita.
Personalmente yo, cuando mis padres me compraron mi primera computadora, llamaron a un técnico para formatearla. El técnico la formateó y se llevó de paso 2 GB de datos importantes. Mis padres acabaron pagando por un desastre y el técnico no sabía ni como recuperar esos datos.
Las empresas pueden terminar pagando mucho más por limpiar el desorden, y eso pasa cuando las empresas quieren sobrecargar al soporte interno de TI con funciones para las que no se contrataron a dicho personal.
Muchas empresas prefieren contratar al “primo del contador” que conoce algo de sistemas para revisar el bloqueo del servidor, sin embargo, es muy complicado resolver ese problema cuando tu campo de especialidad es el muro de Facebook.
Sucio secreto N º 6 :
Sabemos mucho más sobre usted DE LO que usted piensa
¿Piensa que la NSA tiene bajo vigilancia a todo el mundo? Ellos son aficionados en comparación con las empresas de marketing.
Uno de los mayores infractores de privacidad son los casinos. Cuando usted entra en un casino, usted está jugando con algo más que el dinero - está arriesgando sus datos más personales. un casino tiene, en su base de datos de marketing, probablemente los datos de todos los jugadores activos e inactivos que han pasado por sus máquinas.
Un casino sabe cuando entras, cuando sales, que tipo de juegos prefieres, cuanto juegas por noche, sabe que la chica que llevas los días de semana no es la misma de los fines de semana y que marca de licor bebes y probablemente el postre preferido de ambas.
Es algo real, pero no se distingue mucho de la recolección de datos realizada por empresas como CVS, PetSmart , o Amazon.
Y si hablamos de algo interno, tu empleado de sistemas puede entrar desde su computadora a cualquier conectada a la red, y por obligación, tiene que conocer que hace cada uno con su computadora, y sabe a que hora entra al Facebook “un minuto”, y podría, si quisiera, saber de que habla.
0 comentarios:
Publicar un comentario