jueves, julio 01, 2010

Las contraseñas (Passwords) no deben ser una debilidad en la Seguridad de la Información


El crecimiento de la red mundial de internet (World Wide Web) han abierto una multitud de oportunidades de negocio nunca antes vista. Los computadores y las redes de comunicación globales han traído nuevos vendedores, nuevos clientes y nuevos mercados en nuevas y beneficiosas formas. Pero así como han llegado muchos beneficios, también han llegado nuevos problemas. Las nuevas estafas y crímenes no han sido creadas por los avances tecnológicos que estamos presenciando pero si han dado nuevas herramientas a los criminales para cometer sus fechorías. La diferencia radica en que ahora estos criminales tienen alcance mundial, estando ahora la responsabilidad de las Organizaciones de proteger la información de sus clientes por encima de cualquier otro objetivo.

Es recurrente encontrar personas culpando a los computadores por los robos de información, usualmente no es culpa del PC pero si de la forma en que sus usuarios lo utilizan. Su falta de preocupación sobre la seguridad de la información que manejan le abre la puerta de sus casas y/o empresas a los criminales. Después de todo, si no aseguramos las puertas de nuestra casa y la roban, vamos a culpar al arquitecto que la diseño por haberle colocado una puerta? En un ambiente corporativo, la culpa de estos hechos casi siempre es de los empleados o de los administradores de redes y/o sistemas quienes no hacen bien su trabajo.


Cerca del 70% de las pérdidas de datos de las Organizaciones puede ser atribuido a gente dentro de la compañía. Empleados que utilizan contraseñas débiles o que cometen el absurdo error de dejarlo escrito a la vista de los demás o debajo del teclado abren las puertas de la información de la compañía a cualquier extraño. Ya es una costumbre generalizada encontrar nombres de usuario y contraseñas pegados a los monitores, CPUs, tableros, etc o dentro del mismo PC en un archivo de word sin encriptar o proteger llamado "contraseñas". Hay que tener presente que si se llegara a ser victima de una intrusión con un usuario y password legitimo, será prácticamente imposible para IT atrapar al verdadero responsable.

Una pobre gestion de contraseñas en una Organización de parte de sus empleados puede darle completo acceso a los criminales a toda la información sensible que se posea.
El Grupo de Sistemas o IT tiene como función reducir el riesgo de accesos no autorizados a sus bases de datos implementando políticas de seguridad. Además de estas políticas, se puede contar con estas seis reglas básicas de manejo de contraseñas:
  • Longitud: Las contraseñas deben tener como mínimo 8 caracteres de extensión, siendo entre mas largo mejor.
  • Aleatoriedad: Una contraseña debe ser difícil de adivinar. Utilicen combinaciones de números y letras, palabras, fechas, etc.
  • Complejidad: Utilicen una mezcla de números y letras, signos de puntuación, y mayúsculas y minúsculas en sus contraseñas.
  • Exclusividad: Utilice una contraseña por cada uno de las cuentas que utilice.
  • Actualización: Las contraseñas deben ser cambiadas cada 2 o 3 meses
  • Gestión: Nunca deje que alguien conozca sus contraseñas, y NUNCA la escriba en ningún sitio.
Precisamente por la aplicación o no de estas recomendaciones es que se dan los conflictos entre El Grupo de Sistemas o IT y los demas empleados de la Organización. Mientras en sistemas se esfuerzan en establecer medidas de control mas complejas, los empleados desarrollan hábitos cuestionables de seguridad para facilitar su acceso a la información que manejan.

Hay alguna forma de evitar este conflicto y sus posibles consecuencias? Una forma de evitar tal conflicto es adoptar la gestión de contraseñas con un "token" de seguridad, sistema que incluye los siguientes beneficios:

Seguridad:

Tarjetas inteligentes de seguridad que se bloquean después de un numero predeterminado de accesos fallidos.
Las contraseñas nunca serán almacenadas en los computadores, por lo que los hackers no pueden obtenerlas.
Las contraseñas pueden tener hasta 20 caracteres de longitud, pudiendo utilizarse todas las teclas y combinaciones posibles del teclado.
Cada página web, aplicación y/o archivo puede (y debe) tener una contraseña única de acceso.
Como las contraseñas nunca son digitadas, un keylogger no puede grabarla.
La tarjeta puede ser encriptado, pudiéndose acceder a ella solo con el mismo software que la encripto.

Ventajas:
El manejo de estas tarjetas puede aceptar accesos a diferentes cuentas, archivos aplicaciones y redes.
Las tarjetas pueden iniciar un navegador web, llevar a la pagina de acceso y hacer la autenticación con un simple doble click.

Los usuarios no tienen que recordar o escribir sus contraseñas.
Los usuarios siempre tendrán consigo sus contraseñas.
Estas tarjetas pueden llevarse en la billetera o inclusive utilizarse como medio de identificación para los empleados.

Las contraseñas nunca serán escritas o almacenadas donde puedan ser encontradas por un atacante.
Estas tarjetas pueden almacenar información de más de 100 cuentas diferentes.

Portabilidad:
Las contraseñas podrán utilizarse por los usuarios en cualquier estación de trabajo donde sea utilizada.
La tarjeta puede ser utilizada en la oficina o en casa o cualquier otra ubicación remota.
Son ideales para empleados que trabajan remotamente pero que necesitan un acceso seguro a la red de la compañía.

Es claro que se necesita mas de una contraseña para hacer una red segura, pero con el uso de tokens de seguridad las contraseñas dejaran de ser el eslabón mas débil en el esquema de seguridad de la Organización.
Los tokens de seguridad han sido desarrollados por compañías de seguridad con un amplio abanico de servicios.
Las compañías pueden evaluar su uso desde el punto de vista de conveniencia, utilización, la cantidad de cambios a ser implementados en su infraestructura, facilidad de instalación, y claro, su costo.


Aquí concluyo haciendo la claridad de que ninguna medida que se tome brindara seguridad total, pero un adecuado manejo de las contraseñas debe ser mandatorio en todo plan de seguridad que se implemente en una Organización.

No hay comentarios.: