Vísteme despacio que tengo prisa

Imaginen la siguiente escena, no sacada de ningún ejemplo real pero que seguro que podría aplicarse fácilmente a muchas empresas. Una mañana cualquiera, suena el teléfono en un Departamento de Sistemas cualquiera, y lo coge Miguel, un técnico cualquiera:

—Sístemas, ¿dígame?
—¿Sí? Hola, soy Juan Tévez, de Recursos Humanos. Verás, acaba de entrar una persona nueva al Departamento de Contabilidad y necesito que le déis algunos accesos.
—Aquí no hemos recibido ninguna solicitud.
—Ya, ya lo sé. Lo cogieron ayer y acaba de entrar, y el tema corre algo de prisa, por la auditoría financiera de la semana que viene. Tengo al director del Departamento Financiero dándome la brasa toda la mañana, así que qué quieres que te diga.
—Ya, pero ya sabes cuál es el procedimiento…
—Mira, te juro que te mando la solicitud dentro de un rato, pero necesito esos accesos ahora para que esta persona pueda ponerse a trabajar esta tarde.
—Bueno, no sé… Bien, vale, ¿qué necesita?
—Supongo que para empezar un PC y una cuenta de correo; se llama Andrés Martínez. En principio, de momento dale también acceso al módulo de Contabilidad de SAP y a las carpetas departamentales; Cristina López es de Contabilidad así que con que le des acceso a las mismas carpetas que ella, va sobrado para empezar. Como supongo que el PC tardará algo más, mándame las contraseñas de su usuario a mi email, que esta tarde se ponga en el equipo de María, y así vamos adelantando.
—¿A tu cuenta?
—Sí, Juan Tévez; imagino que habrá sólo uno. Dentro de un rato te mando el formulario con la firma del responsable y los accesos que necesita.
—Bien, que no se te pase, por favor.
—No te preocupes y muchas gracias.
—De nada, hasta luego.
—Hasta luego.

Click…

Por supuesto, esa auditoría financiera y las constantes reuniones del Responsable de Andrés Martínez hacen que Juan Tévez nunca consiga que le firmen ese formulario de petición de acceso, y por tanto que éste no llegue nunca a Sistemas. Además, como Miguel, que es la persona de comunicaciones que ha cogido el teléfono, le ha pasado el trabajo a Luis, que es el técnico de micro, en una hoja de libreta: “Crear cuenta de Andrés Martínez: usuario, plataformar PC, email, SAP y darle perfil de clopez, de contab. Mandar claves a jtevez, de rrhh”, nadie pide nunca más los formularios de alta; unos por otros, la casa sin barrer.

Sin tener en cuenta que Andrés es un becario de empresariales que no necesita acceso a SAP, y mucho menos a las carpetas departamentales de Cristina López, que maneja información confidencial del comité de empresa. Pero eso no lo sabe ni Miguel ni Juan Tévez ni Luis. Sólo lo sabe el Responsable de Andrés Martínez y de Cristina López, que no ha firmado ninguna solicitud de acceso y que no sabe que un becario dispone de acceso a información financiera de carácter confidencial…

En realidad, durante un tiempo nadie lo sabe… hasta que un día, por mera casualidad, se descubre, pero esa es otra historia.

(Para los más paranoicos hay otra opción: ¿es Juan Tévez quien dice que es?)

Comments

  1. Joder tío, lo has clavado. Real como la vida misma. Nosotros tuvimos un gran problema por una cosa parecida y, ahora, si no nos llega incidencia a Service Desk no podemos mover ni un dedo… a no ser que la llamada venga de muy arriba que, entonces, …

  2. http://Manuel%20Benet says

    Las prisas son malas compañeras, y a las llamadas de muy arriba nunca puede uno ponerles “peros”, y aún así, sabes que si algo pasa, (normalmente) nadie levantará el dedo sino que la pregunta será algo como: “¿Quién co*o le dió acceso a fulanito a esa base de datos?”…

    Y eso que los de arriba deberían ser los primeros en darse cuenta de lo importante que es seguir ciertas reglas.

  3. http://Jose%20Ignacio%20Ruiz says

    El problema, realmente, es la cantidad de veces que, debido a un problema como el que indicas, nadie se da cuenta del incidente.

    Y efectivamente, los más paranoicos ya estábamos pensando que Juan Tevez les había colado un gol con el ‘pretexting’.

    ¡?nimo con el blog!

  4. http://jftamames says

    No hay Juan Tévez. Es una forma muy vieja de atacar una red a tráves del administrador de sistemas, muy vieja. De hecho, las metodologías que aportan claridad y sensibilidad en este tema son claras. En mis tareas de formador pongo casos de todos los colores, reales, sonados y con cierto aíre comico.