Este documento describe los diferentes roles y sistemas de acceso a información en una empresa, incluyendo usuarios de correo, dominio, base de datos, portal del empleado y SAP. Explica las malas y buenas prácticas de seguridad en el uso de contraseñas y documentos. También recomienda implementar una intranet para mejorar el control y registro de acceso a documentos compartidos, y aplicar medidas como cambiar las contraseñas del administrador y directivos, limitar el acceso a correo solo por web y cumplir con la ley de prote

1. SEGURIDAD DEL
SISTEMA INFORMATICO
22-jun-2010
Eduardo Luis Sirgo - SD2000

2. Los roles
uc Use Case Model
A3
Base de Datos
roles
Reparto
Correo SARENET
Dominio SD2000
Administradores RRHH
Usuarios de dominio
Equipo de direccion CoordinadoresUsuarios de SAP
Repartidores
Administracion

3. Los passwords de usuario
Un usuario un password para :
Correo
Acceso al dominio
Base de datos
Passwords especiales para :
Reparto (movil)
Portal del empleado
SAP

4. El password del Administrador
 Solo lo sé yo
 Nunca caduca
 Se necesitaba para arrancar RRHH
 No sirve para acceder al correo
 No sirve para acceder a RRHH
 No sirve para acceder a SAP
 Sirve para administrar permisos

5. Otros passwords
Administrador de correo
Hosting de la WEB
Supervisor de las Base de Datos
Administrador de Virtualización
Administrador de Copias de seguridad
Cuenta de control remoto
Firma digital
El del WIFI

6. Que no cunda el pánico

7. Malas prácticas ….y Buenas prácticas
“Quiero mi correo en
todos mis chismes”
(PC, Portatil y
Blackberry)
Mandar documentos
como adjuntos
Poner en copia a mas
usuarios de la cuenta
al mandar emails
Guardar copia de los
emails
Escanearlo todo
Una responsabilidad,
una persona.
Evitar hacer copias de
documentos
No leo información que
no es de mi incumbencia
No le doy mi password a
cualquiera
No doy nunca el
password de otro
No pongo a gente en
copia solo por cortesía.

8. Lo que me habéis pedido !
 “Por qué yo no tengo acceso a todo ?”
 “Quiero acceso para uno que no es de la empresa“
 “Por qué me instalas esto sólo a mí ? “
 “Quiero un pendrive”
 “Cual es tu password ?”
(increíble pero cierto)

9. Lo que no me gusta y no he
podido cambiar
 La manera en que hacemos las remesas del banco
 Acceso libre a cuentas bancarias
 La firma digital
Estamos jugando con fuego

10. El Scanner
Fuente habitual de
filtraciones
Se ha separado por
roles
La carpeta de RRHH es
privada

11. La carpeta de documentos compartidos
21.000 carpetas
81.000 archivos
21.600 archivos de este año
No deja rastro de quien accede
Un documento solo puede estar
en una carpeta
No hay workflows
Solo se accede por escritorio
remoto.

12. Alternativas: Sharepoint o KnowledgeTree
 Registro de accesos por
documento :(Quien accede, cuando
y qué cambia)
 Control de Versiones
 Workflows (autor, Aprobado,
Rechazado)
 Acceso WEB, ya no hace falta
escritorio remoto.
 Etiquetas
 Buscar por contenido

13. La seguridad es un arma de doble filo
 Un sistema sobreprotegido es un sistema inoperante.
 Cada uno es responsable de lo que otro hace con su
password.
 La casi totalidad de las suplantaciones son
bienintencionadas y nos evitan problemas.
 La seguridad no mejora por que gastemos dinero
 La seguridad debe servir para evitar problemas, no para
crearlos.
 La regla de seguridad mas importante es la que dicta el
sentido común

14. Medidas a tomar
1. Cambiar el password del administrador
2. Cambiar el password de los miembros del equipo de
direccion
3. Implantar intranet (Gestión documental Sharepoint o
Knowledge Tree)
4. Acceso a correo solo vía WEB (Fuera outlook)
5. Echar a andar lo de la LOPD
6. Aplicar el sentido común

15. “La seguridad es más importante que la
usabilidad. En un mundo perfecto, nadie
debería poder usar nada.”
De un chiste de Dilibert