Q. ¿Qué nivel de acceso de seguridad debe tener un usuario de ordenador para hacer su trabajo?
A. Las medidas de seguridad son un compromiso entre riesgo y coste. No existe una solución "única". Un punto de partida sencillo es relacionar la seguridad con la formación: si no has recibido la formación, no tienes acceso (y eso incluye a los jefes). El grado de detalle de ese acceso depende de los factores de riesgo.
El acceso de administrador/raíz, en particular, sólo debe darse a aquellos que tienen tanto la formación como la responsabilidad - una copia de los códigos de acceso puede ser la caja fuerte de los jefes en caso de que cambien el personal de TI que se emplea para hacer el trabajo, pero una vez que se tiene una infraestructura de varios niveles, generalmente los directores y la alta dirección no deben tener acceso de administrador/raíz.
Como un ejemplo que me ocurrió el siglo pasado, el director de una escuela primaria dio a sus hijos la contraseña de root para que pudieran "jugar" mientras él estaba ocupado haciendo el trabajo - destruyeron lo suficiente del sistema que el bibliotecario llevó el sistema xenix a la tienda de informática local para una solución barata o para evitar la vergüenza, la tienda rápidamente borró la "partición corrupta de dos" e instaló dos (el sistema no estaba ejecutando dos). Acabó costando mucho a la biblioteca enviarnos el ordenador para reinstalarlo por completo, recargar su copia de seguridad de hace semanas y enviárselo de nuevo para volver a introducir el trabajo de una semana.
Así mismo, la ley suele exigir que la información de nóminas y otros datos personales se mantengan privados en la mayoría de los países, y hay costes legales si te pillan no haciéndolo.
Las empresas tienen que decidir cuáles son los riesgos que estás tratando de mitigar, cuáles son los costes de un fallo de seguridad, y qué probabilidad hay de que esos riesgos se produzcan. A continuación, la empresa tiene que tomar una decisión, preferiblemente con la opinión de los especialistas en seguridad física e informática y de su compañía de seguros, sobre el nivel y la combinación de medidas de seguridad que son adecuadas. Incluyo a la compañía de seguros porque el coste y la cobertura de la responsabilidad pública y otros seguros pueden verse afectados por estas decisiones y, por lo tanto, deberían ser un factor incluido.
Una de las grandes decisiones de implementación es si se empieza por defecto con todo lo permitido o con todo lo prohibido.
Por lo que respecta al coste, una buena seguridad se sitúa en un rango que va desde una leve molestia hasta una afectación significativa de la productividad, así como el coste de implementación, supervisión y mantenimiento.
Como ejemplo, uno de mis clientes tardó semanas y costó miles de dólares de tiempo para trabajar completamente a través de quién requería qué de los 105 roles de seguridad cuando se actualizó a AX 2012 [Y no podíamos dar a todos "Admin", ya que expuso la nómina y otra información confidencial]. ¿Sabías que "waterspider", por ejemplo, era un rol de seguridad con seis sub-deberes? No lo sabía. La mayor parte del personal acababa teniendo unos 15 roles, y a menudo sólo lo averiguábamos haciendo un rastreo inverso de cada formulario e informe que utilizaban para ver qué roles de seguridad coincidían (y no podías elegir simplemente todos los roles de "gestor" porque algunos de los roles de trabajador incluían funciones y, por tanto, el acceso que los roles de gestor no concedían). Pasaron meses antes de que se descubriera el último problema de permisos y se resolviera después de la puesta en marcha.
Así mismo, todas las APIs externas tuvieron que ser básicamente ejercitadas y depuradas hasta que dejaron de desencadenar problemas de acceso en una de las miles de clases y más de 6.000 tablas, y entonces los usuarios que utilizaban el software que usaba esas APIs fueron asignados con esos roles.