jueves, 5 de mayo de 2011

Gestion de contraseñas y proteccion de datos

Guía para establecer una política de protección de datos "Gestión de contraseñas"

Las contraseñas para una empresa representan uno de los bienes no tangibles mas importantes y las personas que manejan esta información son muy pocas, ya que conllevan una gran responsabilidad y son las encargadas muchas veces restringir el acceso a personas no deseadas a un bien aun mas valioso que es la información.

En una empresa la gestión de contraseñas debe implementarse como política de base y los usuarios deben estar familiarizados con un cambio constante de contraseñas, ya que esto beneficia a la empresa y minimiza el riesgo de perdida de información.



Quien debe tener el control de las contraseñas? En una empresa generalmente existen 2 personas quienes tienen el control total de las contraseñas:
  • Director/Gerente.- Esta persona tiene conocimiento de todo el manejo de la empresa y muchas veces se exige que tenga las contraseñas para ser usadas en caso de emergencia (y otros temas que no los considero necesarios), estas contraseñas deben estar almacenadas de forma escrita en un lugar seguro, en una caja fuerte, en una bóveda, etc.
  • Director de sistemas.- Esta persona es la encargada de gestionar todos los recursos tecnológicos en la empresa y por obligación debe tener conocimiento de las contraseñas maestras y tener acceso a ellas en todo momento y lugar, esto debido a las responsabilidades que desempeña como director, en el área de sistemas memorizar contraseñas es cosa de todos los días, pero muchas veces los administradores se ponen la soga al cuello cuando no pueden acceder como administrador a un servidor, panel de administración del router principal,etc. Es mejor tener algo de ayuda en mano probablemente un gestor de contraseñas sea lo indicado.
El eslabón débil de esta cadena es el gerente ya que sin intención puede divulgar, perder las contraseñas, esto es fácilmente solucionado con políticas fuertes que van desde el gerente hasta el personal de limpieza.
Como se debe tener el control de las contraseñas? Las recomendaciones las encontraras en la mayor parte de los sitios en Internet que hagan referencia al tema, aquí las mas importantes:
  • Debe tener al menos un numero.
  • Debe tener al menos 6 caracteres.
  • En servidores al menos 15 caracteres, números, símbolos especiales.
  • En ordenadores importantes 10 caracteres, números, símbolos especiales.
  • En centros de computo dos contraseñas una para administrador y otra para usuario normal.
  • Debe ser cambiada al menos cada 6 meses.
  • Debe tener la lista de contraseñas bajo inventario y en un lugar seguro.
Estas recomendaciones son requisitos mínimos que pueden ser mejorados al redactar las políticas o actualizarlas si así fuese necesario.

Desde el punto de vista critico, en una empresa se pueden encontrar administradores descuidados que muchas veces cometen estos errores:
  • Mantiene la contraseña por defecto.
  • Utiliza una contraseña débil de forma premeditada para facilitar su trabajo.
  • Utiliza una contraseña genérica para muchos dispositivos/servicios.
  • No cumple con sus propias políticas de seguridad.
Para empeorar la situación hay cierto rechazo hacia los administradores de sistemas por parte del personal ejecutivo ya que al fin de cuentas son los administradores de sistemas quienes tienen el control total de la empresa a nivel tecnológico y esto genera un miedo por parte de los usuarios y también crea la idea equivocada de que todo el mundo quiere meterse en sus vidas privadas, para evitar esto se debe hacer una rotación de funciones de tal forma que se pueda ejercer un mejor control sobre el administrador, aquí entra en juego la ética de la persona encargada de los sistemas.

Lo que se debería de hacer en una empresa? Como ya dije antes deben establecerse políticas que tengan el cuenta la importancia que tienen las contraseñas y su manejo, como sugerencia para administradores de sistemas:
  • Cuando se solicita el alta de una cuenta esta petición debe ser registrada en una base de datos.
  • No se debe intervenir en la creación de contraseñas, para eso utiliza una herramienta que genere contraseñas de forma aleatoria.
  • Enviar un comunicado/documento a la persona interesada que debe cambiar su contraseña después de haber dado de alta su cuenta, esto para evitar susceptibilidades y responsabilidades.
  • Cuando se solicite el cambio de contraseña o reposición esta debe quedar registrada en la base de datos a fin de generar un informe si es que sucediera algo, muchas veces los mismos usuarios pueden sabotear la empresa.
  • Enviar un reporte mensual sobre el estado y registro de cuentas a la entidad superior.
Como gestionar contraseñas de forma confiable? Tanto para el usuario como para el administrador existen herramientas que permiten la generación automática de contraseñas de forma aleatoria, en el siguiente caso se ve como aplicar las herramientas:

Caso1: “Se requiere dar de alta a 10 usuarios para gestionar el sistema contable”.
Caso2: “Se requiere crear una cuenta con privilegios en el servidor de base de datos”.
Caso3: “Se requiere dar de alta a 10 usuarios sin privilegios para su conexión ssh”.

Solución:

PASO 1.- Identificar el grado de importancia de la solicitud para generar las cuentas y contraseñas según politicas (en este caso usare las politicas sugeridas).

Caso1: Contraseñas para ordenadores importantes, estas personas manejaran el sistema contable de la empresa por lo tanto se recomienda una contraseña de 10 caracteres.
Caso2: Contraseña administrativa por lo tanto se sugiere 15 caracteres.
Caso3: Contraseña con prioridad normal puede ser de 6 o mas.

PASO 2.- Crear las contraseñas, usando software para generarlas como se muestra (En este caso usare la herramienta pwgen de GNU/Linux hasta el momento no me ha fallado y es muy util).

Caso1: izero:> pwgen -1 10 -N 10 -s
usuario= passwd=Vie9coepu7
usuario= passwd=ZooNeiwai0
usuario= passwd=Ok0zai2wah
usuario= passwd=quii1Jaine
usuario= passwd=ach9Erai0s
usuario= passwd=moM9Ahshae
usuario= passwd=ceiy4PiuCh
usuario= passwd=oCo8uthiek
usuario= passwd=maith9Kae9
usuario= passwd=uth3JeChor
Caso2: izero:> pwgen 15 -N 1 -s

usuario= passwd=NbbTukgqWj0Bmyd

Caso3: izero:> pwgen -1 6 -N 10
usuario= passwd=eeTh5u
usuario= passwd=Aizep3
usuario= passwd=Zid5ni
usuario= passwd=jieWa0
usuario= passwd=suh1Le
usuario= passwd=hoWo8m
usuario= passwd=EiB8Sh
usuario= passwd=ohnu7D
usuario= passwd=ro7Pho
usuario= passwd=aiK9ud

PASO 3.- Generar un informe con los datos anteriores para el reporte mensual, enviar una notificación al usuario con la información correspondiente y notificándole que debe cambiar su contraseña en un periodo determinado de tiempo. Estas contraseñas pueden crear mal estar en los usuarios no lo niego, en muchos lugares en los que he estado ha existido perdida de información y robo de datos por tener las contraseñas débiles, como dije antes esto solo es una sugerencia.

Con la experiencia se pueden crear scripts que permitan automatizar este tipo de tareas, o programar una en el peor de los casos, a fin de mejorar todo el proceso.
Publicado por en
Etiquetas: , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)