Boletín de Consultoría Gerencial

Transcripción

1 Inicio El Password: Factor crítico de éxito para proteger la información contra los Hackers Boletín Digital No Espiñeira, Sheldon y Asociados

2 Boletín Consultoría Gerencial - No Haga click en los enlaces para navegar a través del documento 4Introducción 4Definición de contraseñas seguras 4Programa de concientización y cultura 4Controles complementarios al uso de contraseñas seguras 4Controles en la transmisión y almacenamiento de contraseñas 4Conclusiones 4Créditos / Suscribirse

3 Introducción El conflicto entre la necesidad de construir contraseñas de difícil deducción y la necesidad para mantenerlas fáciles de recordar, ha hecho de la seguridad de la contraseña un problema complejo M. M. King 1 La definición de contraseñas seguras (Strong Password) es una necesidad imperativa para habilitar accesos seguros tanto a la información personal en las redes sociales, cuentas de correo, Internet Banking, así como los sistemas y recursos de red empresarial. La definición de contraseñas seguras reduce los riesgos asociados al acceso no autorizado, manipulación y destrucción de información de forma accidental o deliberada y la protege de una posible divulgación no autorizada. 1 Maria M. King es la autora de Rebus passwords, trabajo presentado en la Séptima Conferencia Anual de Aplicaciones de Seguridad Infórmatica (Computer Security Applications). Editado por IEEE Press, Sin embargo, el uso de contraseñas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la información de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores: Definición de contraseñas seguras o complejas Educación y cultura de seguridad en la protección de contraseñas Controles complementarios al uso de contraseñas seguras Controles en la transmisión y almacenamiento de contraseñas Definición de contraseñas seguras Muchas personas son de la opinión que la definición de contraseñas seguras no es funcional dado el número de contraseñas que manejan, la dificultad que tienen para construirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de smartphones. Esta situación, trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseñas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en archivos planos en sus computadores e incluso en el sitio de trabajo visibles a cualquier persona. No obstante, la situación mencionada puede ser solventada empleado técnicas para la definición de contraseñas seguras y estableciendo esquemas de educación y concientización de usuarios, cuyo objetivo es eliminar el uso de contraseñas de fácil deducción mientras permite al usuario la definición de las mismas de manera robustas y fácilmente memorizables.

4 Definición de contraseñas seguras Para alcanzar el objetivo planteado, es importante considerar los s aspectos entorno a la definición correcta de contraseñas seguras: Deben poseer un mínimo de ocho (8) caracteres, constituida por letras mayúsculas, minúsculas, números y al menos un (1) carácter no alfanumérico (puntuación y/o símbolos) No usar palabras en ningún idioma, dialecto, argot, o que puedan estar presentes en diccionarios No usar información personal como nombres (familiares, mascotas, etc) o fechas como cumpleaños y aniversarios No usar acrónimos, palabras o frases relacionadas con la universidad o el trabajo (Go Bulls!!!, Hacer más con menos, Do not smoking!!!) No usar términos de computación, comandos, sites o nombre de aplicaciones o software (Delete, Windows, etc) No usar patrones de palabras o números ( aaabbb, qwerty, , abc123, zyxwvuts, etc) Descripción Escribir una frase Transformar la frase en una secuencia de letras Incrementar la complejidad Incorporar números intercalados Incorporar marcas de puntuación y símbolos Sugerencia Pensar en algo útil o significativo para usted Usar la primera letra de cada palabra y números (si aplica) Colocar en Mayúsculas la mitad de las letras Sustituir letras por números o intercalarlos Colocar una marca de puntuación al inicio y un símbolo al final o viceversa. No anteponer o agregar ante un cambio de contraseña caracteres adicionales ( gteks #67, gteks #678, gteks #679 o 1gteks #67, 2gteks #67, 3gteks #67, etc.) A continuación se describe una técnica que permite definir contraseñas seguras y fáciles de recordar por su propietario: Ejemplo Hacer ejercicios treinta minutos diarios y comer sano es salud hetmdycses (10 caracteres) HETMDycses (10 caracteres) HE30MDycses (11 caracteres) *HE30MDycses (13 caracteres)

5 Programa de concientización y cultura Las técnicas para la definición de contraseñas seguras, no es suficiente para proteger la confidencialidad e integridad de la información, por ello es necesario incurrir en un programa de concientización y cultura que contemple los s aspectos: No compartir o revelar las contraseñas a ninguna persona, lo cual incluye familiares, amigos, compañeros de trabajo, jefes o supervisores, entre otros Las contraseñas no deben ser mostradas, almacenadas, escritas ni transmitidas en texto claro No hablar de la técnica para definir sus contraseñas en presencia de otros No revelar las contraseñas en ningún cuestionario o formato físico ni on-line No delegar o compartir contraseñas durante vacaciones o permisos Las contraseñas no deben ser almacenadas en ninguna localidad donde individuos no autorizados puedan descubrirlas u obtenerlas (Contraseñas escritas en papel, ubicar contraseñas debajo del teclado, en archivos no cifrados en sus computadores, tablets o smartphones, entre otros) Definir contraseñas distintas para cada sistema. Principalmente, las contraseñas a emplear en redes sociales (twitter, facebook, Linkedin, etc), sistemas de correo electrónicos, aplicaciones corporativas, internet banking, entre otros Al sospechar que una cuenta de usuario está comprometida, debe ser reportado inmediatamente al personal responsables de atender este tipo de solicitudes, se debe bloquear la cuenta de usuario relacionada para investigaciones si es requerido y forzar la definición de una nueva contraseña que cumpla con las mejores prácticas

6 Controles complementarios al uso de contraseñas seguras Aún cuando el usuario tiene consigo la responsabilidad de definir contraseñas seguras y protegerlas de su divulgación, es necesario contar con controles complementarios al uso de contraseñas para reforzar la disponibilidad, integridad y confidencialidad de la información. Estos controles, son definidos en su mayoría en los ambientes tecnológicos (páginas web, servidores, bases de datos, aplicaciones, equipos de red, correos electrónicos corporativos y personales, redes sociales, smartphones, entre otros), hacia donde los usuarios se autentican empleando sus credenciales de acceso. En este sentido, a continuación se definen los controles complementarios mínimos que deben ser tomados en cuenta entorno al uso adecuado de contraseñas y su protección: Longitud. Una contraseña debe contar con un mínimo de ocho (8) caracteres, donde su longitud máxima y complejidad debe estar basada en el riesgo inherente Complejidad. Evaluar con base al riesgo inherente, la activación o configuración de controles automáticos para forzar complejidad de contraseñas, lo cual puede ser definido principalmente en sistemas operativos, aplicaciones comerciales o desarrollo internos en ambiente web Caducidad. Basado en el riesgo a la información, la caducidad de contraseñas en días puede ser definida de la manera por tipo de información: Pública Uso Interno Confidencial Secreta 120 días 60 días 45 días 30 días Intentos fallidos. Se refiere al bloqueo de contraseñas por intentos fallidos de conexión. El mismo debe ser definido en tres (3) como valor máximo. Este control automático es aplicado por el sistema que autentica y autoriza las credenciales de acceso de los usuarios Bloqueo. Se refiere al tiempo en que permanecerá bloqueada una cuenta de usuario por superar los intentos fallidos de conexión. Para sistemas que poseen información confidencial y secreta, el bloqueo debe ser indefinido hasta que el administrador del sistema habilite la cuenta nuevamente Historial de contraseñas. Es recomendable que este control esté configurado en diez (10) lo cual evita la reutilización de las últimas diez contraseñas definidas por su propietario

7 Controles complementarios al uso de contraseñas (cont.) Verificación preventiva de contraseñas. Se refiere al uso de mecanismos que actúan al momento que un usuario define su contraseña, los cuales pueden comprobar si la misma cumple con los lineamientos de seguridad en cuanto longitud y complejidad, previo a que dicha contraseña sea aceptada por el sistema destino Verificación correctiva de contraseñas. Es un control basado en el uso de herramientas o desarrollos internos, donde por parte de la unidad de Seguridad de la Información, se realizan verificaciones recurrentes a la robustez de las contraseñas. Cualquier brecha detectada deberá ser acompañada por el bloqueo de la cuenta de usuario comprometida, definición de una contraseña segura y hacer el llamado de atención correspondiente al propietario de la cuenta. Controles en la transmisión y almacenamiento de contraseñas Considerando que las contraseñas sean definidas de forma robusta y estén configurados controles de acceso complementarios para su protección en los ambientes tecnológicos, aún queda por cubrir dos (2) puntos críticos que suelen ser utilizados por atacantes para obtener credenciales de acceso. Estos puntos son, el protocolo de transmisión de contraseñas y el lugar donde las mismas son almacenadas. En cuanto al medio de transmisión de contraseñas en un esquema cliente-servidor, deben ser utilizados protocolos seguros (SSH, NTLMV2, https, etc) para que las credenciales de acceso (usuario y contraseña) sean cifradas y transmitidas de manera confiable, evitando de esta forma que un intruso mediante técnicas de hacking ( sniffing, man-in-the-middle, etc) logre capturarlas de manera legible y hacer uso indebido de los activos de información. Con respecto al esquema de almacenamiento de contraseñas, las mismas deben ser cifradas empleando algoritmos robustos (AES, MD5, etc) y almacenadas con accesos restringidos. De esta manera, aún cuando un intruso logre tener acceso a los repositorios donde se encuentran las contraseñas, estas se encontrarán cifradas y no podrán ser utilizadas de manera indebida. Es importante destacar, que una persona pudiera tener más de quince (15) contraseñas que recordar en un momento dado y aún cuando sean definidas empleando técnicas para su robustez y ser fácilmente memorizadas, puede se requiera un repositorio seguro para almacenarlas, para lo cual se sugiere utilizar herramientas comerciales y certificadas ( password keeper, password manager, etc) tanto para Smartphone, tablets, desktops, entre otros.

8 Conclusiones Lo más apetecible por un intruso dado el factor determinante para un acceso efectivo a la información, son las contraseñas. Por ello, deben ser distintas para cada ambiente tecnológico, definidas con una longitud apropiada y de manera robusta. Adicionalmente, se debe contar con una adecuada educación y conciencia de seguridad para los usuarios, controles de accesos complementarios al uso de la contraseña operando efectivamente en los sites o sistemas destinos y el uso adecuado de protocolos seguros de transmisión y esquemas de cifrado para el almacenamiento de contraseñas. Sin embargo, cada día las amenazas son mayores y difíciles de controlar, por lo que las vulnerabilidades y riesgos de acceso no autorizado a la información son mayores, considerando el auge que ha representado las redes sociales, el uso de smartphones y trabajo remoto en nuestra vida cotidiana. En este sentido, los controles de seguridad para la protección de la información catalogada como crítica o secreta, tienden a ir más allá de la contraseña o algo que conoces. Se incorporan, mecanismos de seguridad adicionales basados en algo que posees (token, tarjeta de coordenadas, etc), algo que te identifica (huella dactilar, lectura de retina, etc), algo único que haces (firmas, símbolos, etc) o desde donde te autenticas (dirección física, dirección IP, etc).

9 Créditos Para suscribirse al Boletín Consultoría Gerencial Síganos en El presente Boletín es publicado por la Línea de Servicios de Consultoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PwC. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueños. PwC niega cualquier derecho sobre estas marcas Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp CS141 Teléfono master: (58-212) Espiñeira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J