Beruflich Dokumente
Kultur Dokumente
com/ve
Inicio
Pgina anterior
Pgina siguiente
Contenido
Haga click en los enlaces para navegar a travs del documento
4Introduccin 4Definicin de contraseas seguras 4Programa de concientizacin y cultura 4Controles complementarios al uso de contraseas seguras 4Controles en la transmisin y almacenamiento de contraseas 4Conclusiones 4Crditos / Suscribirse
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Definicin de contraseas seguras
Sin embargo, el uso de contraseas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la informacin de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores: Definicin de contraseas seguras o complejas Educacin y cultura de seguridad en la proteccin de contraseas Controles complementarios al uso de contraseas seguras Muchas personas son de la opinin que la definicin de contraseas seguras no es funcional dado el nmero de contraseas que manejan, la dificultad que tienen para construirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de smartphones. Esta situacin, trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en archivos planos en sus computadores e incluso en el sitio de trabajo visibles a cualquier persona.
Maria M. King es la autora de Rebus passwords, trabajo presentado en la Sptima Conferencia Anual de Aplicaciones de Seguridad Infrmatica (Computer Security Applications). Editado por IEEE Press, 1991.
No obstante, la situacin mencionada puede ser Controles en la transmisin y almacenamiento solventada empleado tcnicas para la definicin de contraseas de contraseas seguras y estableciendo esquemas de educacin y concientizacin de usuarios, cuyo objetivo es eliminar el uso de contraseas de fcil deduccin mientras permite al usuario la definicin de las mismas de manera robustas y fcilmente memorizables.
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
El Password: Factor crtico de xito para proteger la informacin contra los Hackers
No usar trminos de computacin, comandos, sites o nombre de aplicaciones o software (Delete, Windows, etc) No usar patrones de palabras o nmeros (aaabbb, qwerty, 123456, abc123, zyxwvuts, etc)
No anteponer o agregar ante un cambio de contrasea caracteres adicionales (gteks#67, gteks#678, gteks#679 o 1gteks#67, 2gteks#67, 3gteks#67, etc.)
A continuacin se describe una tcnica que permite definir contraseas seguras y fciles de recordar por su propietario:
Descripcin Escribir una frase Transformar la frase en una secuencia de letras Incrementar la complejidad Incorporar nmeros intercalados Incorporar marcas de puntuacin y smbolos Sugerencia Pensar en algo til o significativo para usted Usar la primera letra de cada palabra y nmeros (si aplica) Colocar en Maysculas la mitad de las letras Sustituir letras por nmeros o intercalarlos Colocar una marca de puntuacin al inicio y un smbolo al final o viceversa. Ejemplo Hacer ejercicios treinta minutos diarios y comer sano es salud hetmdycses (10 caracteres) HETMDycses (10 caracteres) HE30MDycses (11 caracteres) *HE30MDycses (13 caracteres)
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
El Password: Factor crtico de xito para proteger la informacin contra los Hackers
No revelar las contraseas en ningn cuestionario o formato fsico ni on-line No delegar o compartir contraseas durante vacaciones o permisos Las contraseas no deben ser almacenadas en ninguna localidad donde individuos no autorizados puedan descubrirlas u obtenerlas (Contraseas escritas en papel, ubicar contraseas debajo del teclado, en archivos no cifrados en sus computadores, tablets o smartphones, entre otros) Definir contraseas distintas para cada sistema. Principalmente, las contraseas a emplear en redes sociales (twitter, facebook, Linkedin, etc), sistemas de correo electrnicos, aplicaciones corporativas, internet banking, entre otros
Al sospechar que una cuenta de usuario est comprometida, debe ser reportado inmediatamente al personal responsables de atender este tipo de solicitudes, se debe bloquear la cuenta de usuario relacionada para investigaciones si es requerido y forzar la definicin de una nueva contrasea que cumpla con las mejores prcticas
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Longitud. Una contrasea debe contar con un mnimo de ocho (8) caracteres, donde su longitud mxima y complejidad debe estar basada en el riesgo inherente Complejidad. Evaluar con base al riesgo inherente, la activacin o configuracin de controles automticos para forzar complejidad de contraseas, lo cual puede ser definido principalmente en sistemas operativos, aplicaciones comerciales o desarrollo internos en ambiente web Caducidad. Basado en el riesgo a la informacin, la caducidad de contraseas en das puede ser definida de la siguiente manera por tipo de informacin: Pblica Uso Interno Confidencial 120 das 60 das 45 das Secreta 30 das
Intentos fallidos. Se refiere al bloqueo de contraseas por intentos fallidos de conexin. El mismo debe ser definido en tres (3) como valor mximo. Este control automtico es aplicado por el sistema que autentica y autoriza las credenciales de acceso de los usuarios Bloqueo. Se refiere al tiempo en que permanecer bloqueada una cuenta de usuario por superar los intentos fallidos de conexin. Para sistemas que poseen informacin confidencial y secreta, el bloqueo debe ser indefinido hasta que el administrador del sistema habilite la cuenta nuevamente Historial de contraseas. Es recomendable que este control est configurado en diez (10) lo cual evita la reutilizacin de las ltimas diez contraseas definidas por su propietario
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Controles en la transmisin y almacenamiento de contraseas
Considerando que las contraseas sean definidas de forma robusta y estn configurados controles de acceso complementarios para su proteccin en los ambientes tecnolgicos, an queda por cubrir dos (2) puntos crticos que suelen ser utilizados por atacantes para obtener credenciales de acceso. Estos puntos son, el protocolo de transmisin de contraseas y el lugar donde las mismas son almacenadas. En cuanto al medio de transmisin de contraseas en un esquema cliente-servidor, deben ser utilizados protocolos seguros (SSH, NTLMV2, https, etc) para que las credenciales de acceso (usuario y contrasea) sean cifradas y transmitidas de manera confiable, evitando de esta forma que un intruso mediante tcnicas de hacking (sniffing, man-in-the-middle, etc) logre capturarlas de manera legible y hacer uso indebido de los activos de informacin. Con respecto al esquema de almacenamiento de contraseas, las mismas deben ser cifradas empleando algoritmos robustos (AES, MD5, etc) y almacenadas con accesos restringidos. De esta manera, an cuando un intruso logre tener acceso a los repositorios donde se encuentran las contraseas, estas se encontrarn cifradas y no podrn ser utilizadas de manera indebida. Es importante destacar, que una persona pudiera tener ms de quince (15) contraseas que recordar en un momento dado y an cuando sean definidas empleando tcnicas para su robustez y ser fcilmente memorizadas, puede se requiera un repositorio seguro para almacenarlas, para lo cual se sugiere utilizar herramientas comerciales y certificadas (password keeper, password manager, etc) tanto para Smartphone, tablets, desktops, entre otros.
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
El Password: Factor crtico de xito para proteger la informacin contra los Hackers
Sin embargo, cada da las amenazas son mayores y difciles de controlar, por lo que las vulnerabilidades y riesgos de acceso no autorizado a la informacin son mayores, considerando el auge que ha representado las redes sociales, el uso de smartphones y trabajo remoto en nuestra vida cotidiana. En este sentido, los controles de seguridad para la proteccin de la informacin catalogada como crtica o secreta, tienden a ir ms all de la contrasea o algo que conoces. Se incorporan, mecanismos de seguridad adicionales basados en algo que posees (token, tarjeta de coordenadas, etc), algo que te identifica (huella dactilar, lectura de retina, etc), algo nico que haces (firmas, smbolos, etc) o desde donde te autenticas (direccin fsica, direccin IP, etc).
No. 15 - 2011
Contenido Cerrar Imprimir
Pgina anterior
Pgina siguiente
Crditos
El presente Boletn es publicado por la Lnea de Servicios de Consultora Gerencial (Advisory) de Espieira, Sheldon y Asociados, Firma miembro de PwC. El presente boletn es de carcter informativo y no expresa opinin de la Firma. Si bien se han tomado todas las precauciones del caso en la preparacin de este material, Espieira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daos y perjuicios resultantes del uso de la informacin contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueos. PwC niega cualquier derecho sobre estas marcas
Sganos en
Editado por Espieira, Sheldon y Asociados Depsito Legal pp 1999-03CS141 Telfono master: (58-212) 700 6666
2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna firma miembro ser responsable por los actos u omisiones de cualquier otra firma miembro ni podr ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podr comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3