Controles de acceso

“Los aficionados piratean sistemas; los profesionales piratean personas”. — Bruce Schneier - experto en seguridad de prestigio internacional

En [nombre de organización], necesitamos familiarizarnos con dos tipos de control de acceso: Físico y lógico.

Controles de acceso físico

La mayoría de los ataques físicos ocurren cuando una persona tiene acceso a las dependencias. Los “intrusos” pueden ser personas ajenas a la organización o bien personal interno, como empleados o contratistas. Cuando un intruso es capaz de acceder físicamente a un sistema informático, por lo general puede también dejarlo fuera de funcionamiento. Por ejemplo:

• Normalmente un intruso puede manipular y acceder a las computadoras protegidas con contraseña, introduciendo un disco de "inicio" retirable.
• Un intruso que logra interrumpir el proceso de inicio de un enrutador protegido puede obtener privilegios administrativos en tal enrutador.
• Un individuo puede acceder directamente a las redes para agregar o reorganizar conexiones.
• Alguien puede robar objetos físicos, tales como computadoras portátiles y asistentes digitales personales (PDA).

A medida que los componentes informáticos se vuelven más pequeños y livianos, la seguridad física adquiere cada vez mayor importancia.

Hay que estar al tanto de lo que sucede alrededor

Es importante que interrogue a las personas que se encuentran en su área de trabajo o cerca de su computadora para comprobar que efectivamente están autorizadas para estar allí. Las personas no autorizadas suelen parecer empleados legítimos si llevan un uniforme conocido, como el del personal de mantenimiento.

Credenciales de identificación

[Nombre de organización] requiere que los empleados, contratistas y visitantes usen credenciales de identificación. Usted debiera cuestionar a cualquier persona que no tenga una credencial visible.

Pregúntele, "¿Puedo ayudarle en algo?" Esta es una forma indirecta de interrogar a la persona. Le permitirá descubrir si ésta posee autorización, pero no tiene su credencial correctamente a la vista, o si simplemente extravió su identificación. También le permitirá determinar si dicha persona efectivamente necesita estar trabajando en su área.

Visitantes

• Los visitantes son todas las personas que comúnmente no trabajan en la oficina o en la empresa.
• Es preciso observar y supervisar a los visitantes durante toda su estadía.
• Se debe procurar que los visitantes accedan lo menos posible a las áreas restringidas.
• La política de [nombre de organización] estipula que el acceso de los contratistas debe limitarse sólo a las áreas de trabajo que requieran su presencia.

Equipo

En lo posible, el equipo debe disponerse físicamente de tal manera que se reduzca el acceso innecesario. Los monitores e impresoras no deben colocarse delante de ventanas ni en áreas donde personas no autorizadas puedan ver fácilmente la información.

Los empleados y contratistas no deben conectar equipo ajeno o que no haya sido alquilado por [nombre de organización] con equipo o redes de [nombre de organización] sin previa aprobación escrita del jefe de seguridad.

Controles de acceso lógico

Los controles de acceso lógico son mecanismos que protegen los sistemas informativos, aplicaciones y datos informáticos. Las contraseñas son un importante control de acceso.

Para crear una contraseña bien segura que además sea fácil de recordar, use las letras iniciales de una frase (combinando mayúsculas y minúsculas), e incluya al menos un número y carácter especial.

Por ejemplo, si a usted le gusta cantar en la ducha a las 6 am, podría memorizar la frase:

"Me gusta cantar en la ducha a las 6 am".

Por lo cual su contraseña podría ser la siguiente:

" M G c e l d @ 6 A m"

Ya que es algo que usted podrá recordar fácilmente, pero que sería difícil que un intruso pudiera adivinar.

Mientras más caracteres tenga la contraseña, más segura será.

Las contraseñas de [nombre de organización] deben cumplir los siguientes requisitos:

• tener como mínimo 8 caracteres,
• y en lo posible incluir al menos uno de cada uno de los siguientes 4 tipos de caracteres: letras mayúsculas,
• etras minúsculas,
• números,
• caracteres especiales (tales como * $ % ^ & #) si fuera posible (algunos sistemas no admiten el uso de estos caracteres, por lo cual debe consultar al jefe de seguridad si tiene alguna duda al respecto),
• cambiarla al menos cada 90 días
• ser unipersonales (no compartidas)

En [nombre de organización], cuando su contraseña esté por caducar, recibirá un recordatorio para cambiarla. Si su contraseña caduca, se le solicitará cambiarla la próxima vez que inicie una sesión con su ID de usuario.

En promedio, un adulto en EE.UU. tiene que recordar 9,8 contraseñas, códigos PIN u otro tipo de secuencias de información secreta.

El número uno es el que las personas utilizan con mayor frecuencia en sus contraseñas; casi el doble que los demás números.

Considere el sonido que se produce a medida que escribe su contraseña con el teclado. Es posible identificar fácilmente si la contraseña de alguien es igual a su nombre de usuario si al escribirla se escucha exactamente el mismo sonido de teclas. Un equipo de investigadores de la Universidad de California en Berkeley reveló recientemente que con sólo usar un micrófono barato y un programa de amplia difusión, pudieron adivinar contraseñas simplemente escuchándolas a medida que se escribían. Al analizar los sonidos de clic individuales, en conjunto con su conocimiento del idioma inglés, pudieron obtener hasta un 90% de exactitud.

Fuente de datos básicos: Mark Burnett, Perfect Passwords, Syngress, 2006 (Contraseñas perfectas, Syngress, 2006)

Política de [nombre de organización] para el acceso remoto y la marcación telefónica

[Nombre de organización] restringe el acceso obtenido mediante conexiones de marcación telefónica (por ej., limita el acceso telefónico según donde se origina la solicitud) o brinda protección contra las conexiones no autorizadas y la alteración de conexiones autorizadas (por ej., mediante la tecnología de red virtual privada [VPN]).

Los usuarios que requieren acceso remoto, incluyendo el utilizado para acceder a funciones con privilegios, deben antes recibir autorización escrita de su jefe de seguridad. Además, los administradores de acceso remoto no pueden agregar usuarios a los mecanismos de acceso remoto sin previa aprobación escrita del jefe de seguridad.

Controles de acceso físico - para proteger su entorno de trabajo

• Interrogar a toda persona que no lleve una credencial de identificación visible.
• Acompañar, observar y supervisar a los visitantes durante toda su estadía.
• Colocar los monitores e impresoras de manera que no queden delante de ventanas ni en áreas donde personas no autorizadas puedan ver la información fácilmente.
• No permitir que nadie (proveedores, vendedores, etc.) conecte sus computadoras portátiles (ni ningún otro tipo de dispositivo informático) a la red de [nombre de organización].
• Cuando el equipo deje de utilizarse —como los sistemas de la oficina al finalizar la jornada laboral—, se debe cerrar la sesión (Inicio, Apagar, Reiniciar) o apagar el aparato, según corresponda.
• Todo equipo portátil (por ej., computadoras) debe guardarse con llave donde nadie lo vea en un lugar de almacenamiento durante la noche, a fin de evitar la posibilidad de robo o pérdida de información valiosa.
• Fuera de las horas de trabajo y cuando no se utilicen, los documentos, informes, disquetes, asistentes digitales personales (PDA), teléfonos móviles y artículos similares deben guardarse en cajones o armarios con llave.
• El piso debe mantenerse despejado (sin cajas, paquetes, etc.) para reducir el riesgo durante emergencias tales como evacuación del edificio o búsquedas de paquetes sospechosos.
• La correspondencia valiosa no debe colocarse en las gavetas de correo tras la última recolección del día. Esta información no debe dejarse a la vista en las impresoras o equipos de fax.
• No permita que nadie retire su computadora o medio de almacenamiento de su área de trabajo u oficina sin antes asegurarse de que dicha persona posee la debida autorización y una razón válida para hacerlo.
• No permita que nadie agregue equipo o programas en su computadora sin la debida autorización.
• Si en su organización se utilizan candados o cables para prevenir robos o para cerrar la cubierta de la computadora, úselos. Esto suele disuadir de que abran la cubierta de la computadora las personas no autorizadas y evitar así que instalen dispositivos dañinos.
• Revise si su equipo presenta signos de alteración e intrusión. Si cierra con candado la cubierta de su computadora, archivadores, cajones del escritorio, o la entrada del área u oficina, revise los candados diariamente. Los candados deben verse en buen estado y no presentar signos de que hayan sido forzados (por ej., rayas de pintura alrededor de las aberturas, piezas con piquetes o dobladas, cables cortados).
• Tenga cuidado con los "seguidores". Estas personas esperan a que alguien con acceso ingrese a un área controlada (por ej., a un lugar cuya puerta se cierra con llave) y luego siguen muy de cerca a la persona autorizada para pasar por dicha puerta. Los "seguidores" ingresan a áreas restringidas sin usar su propia llave, tarjeta codificada o combinación de candado.

Controles de acceso lógico

• Use la contraseña más larga que pueda. Mientras más caracteres tenga, más segura será.
• Si es posible, incluya al menos un carácter especial en las contraseñas.
• No utilice palabras que aparezcan en algún diccionario, ya sea escritas en orden normal o inverso.
• Nunca muestre las contraseñas en la pantalla ni en ningún otro tipo de dispositivo, y no las guarde en formato de texto simple (sin descifrar).
  • No deje que nadie vea sus contraseñas.
  • Procure introducir su contraseña rápidamente (usando varios dedos).
  • Use su cuerpo para tapar el teclado y así prevenir que alguien pueda ver las teclas que usted pulsa al introducir la contraseña.
  • Solicite que los visitantes no vean el proceso de ingreso de contraseñas.
  • Introduzca la contraseña antes de demostrar el uso del sistema.
• Cambie su contraseña si le consta o sospecha que ésta ha sido vulnerada, e informe a su jefe de seguridad al respecto.
• Memorice las contraseñas de los sistemas fundamentales. No anote ni guarde estas contraseñas en archivos por lotes, guiones de inicio de sesión automáticos, macros de software, teclas de función de terminal, ni en ningún lugar donde otros podrían descubrirlas.
• No anote las contraseñas de ninguna forma que pueda ser identificada por otra persona.
• Nunca use la función incorporada de los sistemas para guardar o recordar automáticamente contraseñas. Si lo hace, puede que la contraseña se guarde o recuerde en una forma clara y legible que los piratas informáticos podrían identificar fácilmente.
• Utilice una contraseña distinta para cada uno de los diferentes sistemas fundamentales. Al usar la misma contraseña en más de un sistema no sólo se pone en riesgo la seguridad de uno de ellos, sino que se facilita el acceso no autorizado a todos los demás.
• No divulgue ni comparta su contraseña con persona alguna.
• Cree nuevas contraseñas que no sean similares a las que haya utilizado previamente.
• Evite usar contraseñas basadas en palabras individuales comunes (por ej., "C0ntra$eña").
• Acate las políticas de [nombre de organización] - todos los usuarios deben cerrar la sesión o bloquear sus estaciones de trabajo cada vez que dejen de usarlas. Como medida de prevención adicional, los usuarios siempre debieran usar un protector de pantalla con contraseña.

• Diez lugares donde NO ocultar las contraseñas

Copyright © 2007 Native Intelligence, Inc.    Todos los derechos reservados.