Con frecuencia se suele afirmar, y no es una exageración ([And94]),
que el punto más débil de cualquier sistema
informático son las personas relacionadas en mayor o menor medida con él;
desde un administrador sin una preparación adecuada o sin la suficiente
experiencia, hasta un guardia de seguridad que ni siquiera tiene acceso
lógico al sistema, pero que deja acceder a todo el mundo a la sala de
operaciones, pasando por supuesto por la gran mayoría de usuarios, que no
suelen conscientes de que la seguridad también les concierne a ellos. Frente
a cada uno de estos grupos (administradores, usuarios y personal externo al
sistema) un potencial atacante va a comportarse de una forma determinada para
conseguir lograr sus objetivos, y sobre cada uno de ellos ha de aplicarse una
política de seguridad diferente: obviamente podemos exigir a un
administrador de sistemas unos conocimientos más o menos profundos de temas
relacionados con la seguridad informática, pero esos conocimientos han de ser
diferentes para el guardia de seguridad (sus conocimientos serían
referentes a la seguridad física del entorno), y se convierten en simples
nociones básicas si se trata de un usuario medio.
Hasta ahora hemos hablado de posibles ataques relacionados con el personal de
un sistema informático; sin embargo, existen otras amenazas a la seguridad
provenientes de ese personal que no son necesariamente ataques en un sentido
estricto de la palabra; en muchos casos no son intencionados, se podrían
catalogar como accidentes, pero el que la amenaza no sea intencionada no implica
que no se deba evitar: decir `no lo hice a propósito' no va ayudar para
nada a recuperar unos datos perdidos. En una sala de operaciones, las
personas realizan acciones sobre los sistemas basándose - en muchos casos
- únicamente en su apreciación personal de lo que está sucediendo; en
esas circunstancias, dichas acciones pueden ser sorprendentes y devastadoras,
incluso si provienen de los mejores y más cuidadosos administradores
([CoIST99]).
© 2002 Antonio Villalón Huerta
