La diferencia básica entre una Intranet e Internet es que la primera es un sistema cerrado. Y lo es, precisamente, porque los datos que procesa son internos. La organización no está interesada en que nadie ajeno a la organización, o incluso ajeno a un determinado departamento conozca esos datos. Con esa finalidad implanta firewalls, permisos... que, paradójicamente, son franqueables con un simple password.
El password es, en esencia, una secuencia de números o de letras que, dispuesta junto a un login determinado permite acceder a una zona restringida. Hasta aquí el proceso es seguro en tanto que es completamente tecnológico. Sin embargo, esa secuencia es memorizada por un empleado, momento en el que entra en juego el factor humano y, por tanto, la inseguridad.
La actual era de la información se llama así por la multitud de datos a los que se puede acceder fácilmente, muchos de ellos protegidos por un password. Por este motivo, los usuarios habituales de las nuevas tecnologías deben memorizar perfectamente 50 claves. Como consecuencia se recurre a la estandarización: el empleado tiene una única clave que utiliza en todos los firewalls en los que tiene permiso.
Esta situación hace endeble el sistema, dado que los 49 gestores del resto de firewalls saben cuál es la contraseña del usuario en el sistema interno. La primera solución planteada ante este problema es la de modificar el login. Sin embargo, no es una solución definitiva, dado que los nombres no suelen dar mucho juego al gestor: un empleada llamada Paloma Cutillas, por ejemplo, podría tener el login palomacutillas, p.cutillas, pcutillas, o a lo sumo cutillas, p.
El problema deriva en este caso de la identificación que el gestor requiere de sus usuarios. Dado que es él quien concede los permisos para las diferentes áreas del website interno, debe saber quién es quién, por lo que ha de otorgar él mismo los logins y darles un formato que posteriormente pueda reconocer (nos topamos de nuevo con el factor humano). Por lo tanto, el único elemento personalizable por el usuario es el propio password.
La primera pregunta que se plantea ante esta situación es ¿quién debe elegir esa contraseña, la empresa o el empleado? Según argumenta Jacob Nielsen en su artículo The Human Factors of Password Security, debe ser el propio empleado quien lo determine.
Es más, debe tener permiso para aplicarlo en diversas aplicaciones dentro de la propia empresa. Sin embargo, es recomendable darle algunas recomendaciones útiles. Netscape ofrece en su website un artículo llamado Eleven easy ways to protect yourself que menciona entre otras soluciones:
a. Utilizar siempre la última versión del navegador, dado que la tendencia del mercado es la de aumentar las medidas de seguridad.
b. Anotar en un papel o en una hoja de cálculo los accesos realizados al sistema un por uno y los movimientos realizados dentro del mismo al menos, vagamente.
c. Limpiar asiduamente las cookies instaladas en el disco duro.
d. No acceder a sites de fuera de la empresa que soliciten un password idéntico al utilizado en la empresa desde el ordenador de la misma, con el objetivo de que no se pueda reconocer su IP.
e. No emplear passwords sencillos. Evadir las cadenas lógicas como 12345 o 54321 y las fechas significantes como fechas de nacimiento o matrículas de coche. Contra las primeras el programa puede estar perfectamente preparado (si usted ha intenta insertar el password 1234 en estas mismas páginas de sappiens el sistema se lo prohibirá), contra las segundas sólo vale el asesoramiento.
f. No anotar nunca en ningún tipo de soporte el password personal.
La mayor parte de vulneraciones de las contraseñas se produce paradójicamente por acciones tan elementales como que un trabajador se deje un post-it con su secuencia en el monitor, o como que un empleado ceda su contraseña a otro que tiene problemas momentáneos de acceso a la Intranet.
El gestor del sistema deberá hacer cuantos más esfuerzos pueda para advertir a los usuarios de la Intranet en contra de estos usos, lo que implica recordarlos contínuamente y denunciarlos en caso de que se produzcan.
En cuanto a la vulneración por parte de profesionales –es decir, la intromisión de hackers- el gestor deberá poner mayores barreras cuanto más relevante sea la información de la que se dispone. Para ello, una Intranet multiservidor facilita la tarea. Por otra parte, los firewalls y los protocolos de seguridad serán también ineludibles.
Sin embargo, una opción más sencilla es la empleada por la mayoría de sitios abiertos de Internet: la de la respuesta a una pregunta concreta. A ningún usuario le hace falta anotar la respuesta ante una pregunta que se le formula. Sin embargo, cabe recordar que este sistema es óptimo para acompañar a un proceso de identificación convencional y nunca como proceso único.
De hecho, sólo sirve para escapar de las acciones de un hacker siempre y cuadno se hayan respetado todos los parámetros mencionados previamente en este artículo. [Carlos Climente]
Esta web no se hace responsable de los comentarios escritos por los usuarios. El usuario es responsable y titular de las opiniones vertidas. Si encuentra algún contenido erróneo u ofensivo, por favor, comuníquenoslo mediante el formulario de contacto para que podamos subsanarlo.
Acceso de Usuarios - ¿Nuevo usuario? - Ventajas de ser usuario
© RedGiga - 1998-2012 | Aviso Legal | Política de Privacidad | Publicidad