InfoSecMan Blog

Este es uno de los principios básicos de la seguridad: cada persona (o usuario ) debe conocer y saber todo lo necesario, pero nada más que lo necesario (no más), para llevar a cabo adecuadamente su trabajo.

El proporcionar más información de la necesaria puede hacer que una amenaza pueda explotar alguna vulnerabilidad existente en el sistema u organización que de otra forma, era desconocida para ella.

Todo esto viene porque hace unos minutos he recibido una petición de oferta de una importante compañía de este país que proporciona infraestructura básica para el ciudadano en la que, además de incluir el pliego técnico y otros temas, incluye un documento INTERESANTÍSIMO que describe en mucho detalle la red de esa organización, con su topología, servicios, equipamiento, normas, sistemas de gestión, personas de contacto, etc. Más de 130 páginas de información confidencial que suponen la documentación de su infraestructura de comunicaciones y seguridad.

Ni que decir tiene, que para la elaboración de la oferta que solicitan, no es necesaria ni, digamos, el 5% de la información proporcionada.

No quiero ni pensar lo que podría ocurrir si  este documento, que por cierto no tiene ninguna indicación o clasificación de “Confidencial” o “Interno”, etc. cayese en unas manos indebidas… muy pero que muy peligroso sin duda.