Con frecuencia la parte mas complicada de una politica de seguridad es concienciar a los usuarios de la necesidad de medidas basicas de prevencion contra ataques. Demasiados usuarios opinan que las historias de crackers que atacan ordenadores solo suceden en las peliculas o en organizaciones militares de alta seguridad; nada mas lejos de la realidad: en cualquier universidad ocurren a diario incidentes de seguridad, de los que solo una pequena parte se detecta (y muchos menos se solucionan). Seria pues muy recomendable para el administrador imprimir una hoja con las medidas de seguridad basicas o la politica del sistema, y entregar una copia a cada usuario al crear su cuenta:

• Contraseñas aceptables:

Es conveniente que los usuarios elijan claves medianamente resistentes a ataques de diccionario; una contraseña como patata o valencia es un gran agujero de seguridad para la maquina, aunque el usuario que la usa no tenga ningun privilegio especial. Hemos de ver la seguridad como una cadena cuya fuerza depende principalmente del eslabon mas debil: si falla este, falla toda la cadena. Sin embargo, el problema de estas claves es que pueden llegar a ser dificiles de recordar, de forma que mucha gente opta por apuntarlas en el monitor de su estacion o en la parte inferior de sus teclados; obviamente, esto es casi peor que el problema inicial, ya que como administradores no podemos controlar estas situaciones la mayor parte de las veces. Podemos (y seria lo recomendable) recomendar a los usuarios que utilicen combinaciones de mayusculas, minusculas, numeros y simbolos para generar sus claves, pero de forma que la combinacion les pueda resultar familiar: por ejemplo, combinar numeros y letras de la matricula del coche con algunos simbolos de separacion; claves de este estilo podrian ser V#GF&121, @3289?DH o JKnB0322. Obviamente estas claves son mas resistentes a un ataque que intrusos, pero tampoco son seguras: las acabamos de escribir.


• Confidencialidad de las claves:

Hemos de concienciar a nuestros usuarios de que las contraseñas no se comparten: no es recomendable `prestar’ su clave a otras personas, ajenas o no al sistema, ni por supuesto utilizar la misma clave para diferentes maquinas. Este ultimo punto muchas veces se olvida en sistemas de I+D, donde el usuario se ve obligado a utilizar passwords para muchas actividades y tiende invariablemente a usar la misma contraseña; incluso se utiliza la clave de acceso a un equipo Unix para autenticarse en juegos de red (Novell o Correo) o, lo que es igual de grave, para acceder a equipos Windows, de forma que las vulnerabilidades de seguridad de estos sistemas se trasladan a Unix.


• Antivirus:

Hay que potenciar entre los usuarios el uso de programas como Norton Antivirus, McAffee Scan Disk, Lavasoft, u otro antivirus, para la revision de archivos, si bien muchas veces se cuenta con un antivirus a nivel de correo tambien es cierto que se reciben muchos programas o diskettes de proveedores o gente externa a la Empresa y debemos ser precavidos con el trato que se les da a nuestros datos, debido a que no sabemos que politicas de seguridad maneja este proveedor en su Empresa


• Ejecucion de programas:

Nunca, bajo ningun concepto, instalar o ejecutar software que no provenga de fuentes fiables; hay que prestar atencion especial a programas que nos envien por correo, o a traves de otro medio, ya que se puede tratar de programas trampa que, desde borrar todos nuestros ficheros, a enviar por correo una copia del archivo de contraseñas, pueden hacer cualquier cosa: imaginemos que un `amigo’ nos envia un juego a traves de cualquier medio y nosotros lo ejecutamos; incluso disponer del codigo fuente no es ninguna garantia (>que usuario medio lee un codigo en C de, quizas, miles de lineas?). Ese programa puede hacer algo tan simple como rm -rf $HOME/* sin que nosotros nos demos cuenta, con las consecuencias que esta orden implica.


• Desconfianza:

Hemos de desconfiar de cualquier correo electronico, llamada telefonica o mensaje de otro tipo que nos indique realizar una determinada actividad en el sistema, especialmente cambiar la clave o ejecutar cierta orden; con frecuencia, un usuario se convierte en complice involuntario de un atacante: imaginemos que recibimos una llamada de alguien que dice ser el administrador del sistema y que nos recomienda cambiar nuestra clave por otra que el nos facilita, con la excusa de comprobar el funcionamiento del nuevo software de correo. Si hacemos esto, esa persona ya tiene nuestra contraseña para acceder ilegalmente a la maquina y hacer alli lo que quiera; hemos de recordar siempre que el administrador no necesita nuestra ayuda para comprobar nada, y si necesita cambiar nuestra clave, lo puede hacer el mismo.


• Un ultimo consejo…

Cualquier actividad sospechosa que detectemos, aunque no nos implique directamente a nosotros, ha de ser notificada al administrador o responsable de seguridad del equipo. Esta notificacion, a ser posible, no se ha de realizar por correo electronico (un atacante puede eliminar ese mail), sino en persona o por telefono. En muchas ocasiones, cuando un usuario nota un comportamiento extraño en el sistema, no notifica nada pensando que el administrador ya se ha enterado del suceso, o por miedo a quedar en ridiculo (quizas que lo que nosotros consideramos `extraño’ resulta ser algo completamente normal); esta situacion es erronea: si se trata de una falsa alarma, mucho mejor, pero… y si no lo es?