Debilidades en la Gestión de la Seguridad de la Información
Hace muy pocos días, estuvimos conversando con unos colegas, acerca de una situación que se presenta en muchas Compañías y se refiere a la debilidad de los procesos de baja de los usuarios.
En todos los casos comentados, la debilidad se presentaba para todo tipo de usuarios, es decir, usuarios de negocio, operadores, soportistas telefónicos (sector con gran rotación), pero lo más importante (aunque en todos los casos es importante) es que las debilidades también se presentaban para la baja de los Usuarios con perfiles Administrativos.
Si bien es un problema en todos los casos, particularmente para los usuarios con perfiles administrativos, es un grave problema.
El perfil con mayor riesgo inherente a la función es el de los Administradores. En todos los casos conversados (siendo el último día de trabajo) los permisos permanecían intactos aún los asignados para el acceso remoto o de emergencia, los cuales podrían haber sido quitados teniendo en cuenta la futura baja del usuario (generalmente tercerizado).
Esta "debilidad" no era aislada, sino que formaba parte del proceso de gestión de perfiles administrativos, en el cual también se habían detectado debilidades en la revisión de las actividades de los usuarios asociados a ese perfil, siendo éste un proceso clave en la gestión de la Seguridad de la Información.
Fuente: http://securetech-informacion.blogspot.com/2008/06/debilidades-en-gestin-de-la-seguridad.html
En todos los casos comentados, la debilidad se presentaba para todo tipo de usuarios, es decir, usuarios de negocio, operadores, soportistas telefónicos (sector con gran rotación), pero lo más importante (aunque en todos los casos es importante) es que las debilidades también se presentaban para la baja de los Usuarios con perfiles Administrativos.
Si bien es un problema en todos los casos, particularmente para los usuarios con perfiles administrativos, es un grave problema.
El perfil con mayor riesgo inherente a la función es el de los Administradores. En todos los casos conversados (siendo el último día de trabajo) los permisos permanecían intactos aún los asignados para el acceso remoto o de emergencia, los cuales podrían haber sido quitados teniendo en cuenta la futura baja del usuario (generalmente tercerizado).
Esta "debilidad" no era aislada, sino que formaba parte del proceso de gestión de perfiles administrativos, en el cual también se habían detectado debilidades en la revisión de las actividades de los usuarios asociados a ese perfil, siendo éste un proceso clave en la gestión de la Seguridad de la Información.
Fuente: http://securetech-informacion.blogspot.com/2008/06/debilidades-en-gestin-de-la-seguridad.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!