POLÍTICA DE CONTRASEÑAS Y SEGURIDAD DE LA INFORMACIÓN de los Sistemas y la Red Corporativa de la Diputación de Valladolid

Transcripción

1 POLÍTICA DE CONTRASEÑAS Y SEGURIDAD DE LA INFORMACIÓN de los Sistemas y la Red Corporativa de la Diputación de Valladolid

2 Índice de contenidos 1. INTRODUCCIÓN OBJETIVO SELECCIÓN Y CUSTODIA DE CONTRASEÑAS Directrices generales para la selección y actualización de contraseñas Consejos y herramientas para generar contraseñas fuertes Acciones que deben evitarse en la gestión de contraseñas seguras: Recomendaciones para la protección de la contraseña Bloqueo de accesos por mala gestión de contraseñas Estándares de desarrollo de aplicaciones MEDIDAS A APLICAR... 11

3

4 1. INTRODUCCIÓN. Este documento se enmarca en las Directrices y Política de Uso y Buenas Prácticas en la utilización de los Sistemas de Información y la Red Corporativa de la Diputación de Valladolid, siendo de aplicación los objetivos, el ámbito de aplicación, las definiciones, responsabilidades y demás cuestiones tratadas en él. El presente documento articula de forma específica, dentro de este marco, la política de uso de contraseñas y claves para el acceso a los Sistemas de Información y la Red Corporativa de la Diputación de Valladolid, reflejando recomendaciones de buen uso y medidas de protección. Las contraseñas son un aspecto fundamental de la seguridad de los recursos informáticos: es la primera línea de protección para el usuario. Una contraseña mal elegida o protegida puede resultar en un agujero de seguridad para toda la organización. Por ello, todos los usuarios de la red de la Diputación de Valladolid son responsables de velar por la seguridad de las contraseñas seleccionadas por ellos mismos para el uso de los distintos servicios y herramientas que la Diputación pone a su disposición. En el ámbito laboral, las consecuencias de la sustracción de nuestras contraseñas para con ellas apropiarse de información sensible pueden llegar a ser catastróficas si un tercero suplanta nuestra identidad utilizando nuestro usuario y contraseña. Así, podría acceder a los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de información del trabajador y/o la empresa, o bien utilizar esta entrada para modificar o incluso eliminar archivos, con las consecuencias económicas, de responsabilidad jurídica y pérdidas de imagen que ello supondría. Para gestionar correctamente la seguridad de las contraseñas, se recomienda a los usuarios tener en cuenta pautas para la creación y establecimiento de contraseñas seguras y adoptar medidas destinadas a la protección de las claves.

5 2. OBJETIVO La seguridad provista por una contraseña depende de que la misma se mantenga siempre en secreto. Todas las directrices suministradas por esta política tienen por objetivo mantener esta característica fundamental en las contraseñas de los recursos de la Diputación. El objetivo fundamental de esta política es establecer un estándar para la creación de contraseñas fuertes, la protección de dichas contraseñas, y el cambio frecuente de las mismas. Todas las contraseñas de sistema y de usuario de recursos y servicios de la Diputación de Valladolid deben respetar las recomendaciones descritas en la presente política. Algunos servicios en los que sea crítico el mantener la seguridad de la contraseña podrán determinar medidas adicionales de protección de la misma.

6 3. SELECCIÓN Y CUSTODIA DE CONTRASEÑAS 3.1. Directrices generales para la selección y actualización de contraseñas Las contraseñas son usadas con múltiples propósitos, como pueden ser las contraseñas de cuentas de usuario, contraseñas de sistemas, servicios Web, cuentas de correo electrónico, protectores de pantalla, administración de dispositivos remotos, etc. Se debe poner especial atención en la selección de contraseñas seguras para la autentificación en todos los recursos y servicios de la Diputación de Valladolid. La seguridad de este tipo de autentificación se basa en dos premisas: - La contraseña personal sólo la conoce el usuario. - La contraseña es lo suficientemente fuerte para no ser descifrada. La contraseña para ser considerada fuerte (segura) debe poseer las siguientes características: - Se deben utilizar al menos 8 caracteres para crear la clave. - Se debe utilizar en una misma contraseña dígitos, letras y/o caracteres especiales, utilizando tres de los cuatro grupos siguientes: o Letras minúsculas. o Letras mayúsculas. o Números (por ejemplo, 1, 2, 3). o Caracteres especiales (por Ñ, =, -, etc.). - Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas. - No podrá tener espacios en blanco. - No podrá coincidir con el nombre del usuario. Como política de seguridad, los usuarios están obligados a cambiar la contraseña como mínimo cada 90 días. Si antes de terminar el plazo no se ha hecho el cambio, el sistema nos solicitará su cambio obligatoriamente.

7 - No se puede repetir ninguna de las 5 contraseñas anteriores que se hayan usado. - La contraseña no debe ser autoincremental ni tener similitud con las 5 contraseñas anteriores. En la medida de lo posible, las contraseñas serán generadas automáticamente con las características recomendadas en esta política y se les comunicará a los usuarios su contraseña siempre en estado expirado para obligar al usuario a cambiarla en el primer uso que hagan de la cuenta o servicio. Las cuentas de usuario que tengan privilegios de sistema a través de su pertenencia a grupos o por cualquier otro medio, deben tener contraseñas distintas del resto de cuentas mantenidas por dicho usuario en los servicios y recursos de la Diputación de Valladolid. Las contraseñas por defecto asociadas a los sistemas o aplicaciones nuevas deberán ser cambiadas antes de poner estos sistemas en producción. También se desactivarán aquellas cuentas por defecto que no sean imprescindibles Consejos y herramientas para generar contraseñas fuertes Intente crear contraseñas que pueda recordar fácilmente. Existen algunos trucos para plantear una contraseña que no sea débil y se pueda recordar más fácilmente. Por ejemplo se pueden elegir palabras sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta selección con números o letras e introducir alguna letra mayúscula. Otro método sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una canción, película, etc. Con ello, mediante esta sencilla mnemotecnia es más sencillo recordarla. También existen herramientas y soluciones informáticas para facilitar la generación de las contraseñas seguras que vamos a utilizar, por ejemplo, Otro tipo de herramientas permiten asociar claves aleatorias a una tarjeta de coordenadas. Por ejemplo, De esta forma, recordado fila y columna (una combinación de un símbolo y un color) podemos tener una clave única con letras y dígitos al azar.

8 Otras herramientas permiten medir el nivel de fortaleza de las claves generadas, como por ejemplo, Acciones que deben evitarse en la gestión de contraseñas seguras: - Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios. - No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasión utilizar datos como el DNI o número de teléfono. - Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: qwerty, asdf o las típicas en numeración: 1234 ó ) - No repetir los mismos caracteres en la misma contraseña. (ej.: ). - No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos. - No se deben utilizar palabras que se contengan en diccionarios en ningún idioma. Hoy en día existen programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de diccionarios: Este método de ataque es conocido como ataque por diccionario. - No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas Recomendaciones para la protección de la contraseña - No utilice la misma contraseña que utiliza para las cuentas de recursos y servicios de la Diputación de Valladolid en otras cuentas no corporativas (acceso a su proveedor de servicios personal, acceso a servicios de su banco, etc.) - No comparta las cuentas y contraseñas con nadie, incluyendo administrativos, secretarias, superiores, colaboradores, etc. Todas las contraseñas deben ser tratadas como información sensible y confidencial. - No revele su contraseña por teléfono a NADIE, incluso aunque le hablen en nombre del servicio de soporte tecnológico o de un superior suyo en la organización. - No revele la contraseña en mensajes de correo electrónico, SMS, Whatsapp ni a través de cualquier otro medio de comunicación electrónica. Tampoco se

9 debe facilitar ni mencionar en una conversación o comunicación de cualquier tipo. - Nunca escriba la contraseña en papel y lo guarde. Tampoco almacene contraseñas en ficheros de ordenador sin encriptar o proveerlo de algún mecanismo de seguridad. - No revele su contraseña en ningún cuestionario o formulario, independientemente de la confianza que le inspire el mismo. - No revele la contraseña a sus compañeros cuando se marche de vacaciones. - No utilice la característica de Recordar Contraseña existente en algunas aplicaciones. - No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.). - Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes. Si alguien le pide la contraseña, refiérale a este documento o pídale que se comunique con Soporte Tecnológico de la Diputación de Valladolid. Si sospecha que una cuenta o su contraseña pueden haber sido comprometidas, comuníquelo al Soporte Tecnológico de la Diputación de Valladolid y cambie las contraseñas de todas sus cuentas Bloqueo de accesos por mala gestión de contraseñas Cuando un usuario introduzca 3 veces seguidas una contraseña errónea, el acceso de ese usuario quedará bloqueado provisionalmente. Si pasados 60 minutos posteriores al del bloqueo el usuario introduce la contraseña correcta, el acceso se desbloqueará automáticamente. Un bloqueo provisional se convertirá en permanente si un usuario introduce 9 veces seguidas una contraseña errónea. Para solicitar el desbloqueo el usuario deberá contactar con Soporte Tecnológico e identificarse adecuadamente Estándares de desarrollo de aplicaciones Los desarrolladores de aplicaciones informáticas para el entorno de la Diputación de Valladolid que gestionen sus propios mecanismos de autentificación mediante contraseñas, deben asegurarse de que sus programas contienen las siguientes

10 precauciones en términos de seguridad respecto de la selección y uso de contraseñas: - Deben soportan autenticación de usuarios individuales, no por grupos. - No deben almacenar contraseñas en texto claro o en ninguna forma fácilmente reversible. - Deben proveer de algún tipo de mecanismo de roles, de forma que un usuario pueda tomar las funciones de otro sin necesidad de conocer la contraseña del anterior. - Deben proveer de un mecanismo para expirar las contraseñas y obligar a los usuarios al cambio de la misma. - Se debe limitar el número de intentos de accesos sin éxito consecutivos.

11 4. MEDIDAS A APLICAR El incumplimiento de la presente Política puede llegar a comprometer la seguridad de la totalidad de la Red Corporativa de la Diputación de Valladolid. Se atenderá al documento marco de Directrices, Políticas de Uso y Buenas Prácticas en la utilización de los Sistemas de Información y la Red Corporativa de la Diputación de Valladolid en el caso de incumplimiento de la presente política una vez establecidas las repercusiones que sobre los recursos y servicios informáticos de la Diputación de Valladolid haya podido tener la violación de la misma. Todo ello sin perjuicio de las acciones disciplinarias, administrativas, civiles o penales que en su caso correspondan, a las personas presuntamente implicadas en dicho incumplimiento.