La seguridad de la información es responsabilidad de todos y cada uno de los miembros de tu empresa. No importa su perfil o rango, todos tienen que contribuir a la seguridad.
Las políticas de inicio de sesión buscan justamente eso. Con ellas puedes asegurarte de que tus colaboradores sigan una serie de procesos para asegurar la protección de información.
Sin duda, son esenciales para mantener tu sistema de gestión de seguridad de la información (SGSI). Si cuentas con la certificación de ISO 27001, o estás por obtenerla, esta información te resultará útil.
Todo se debe el SGSI
Un SGSI es un sistema de gestión de seguridad que protege tu información. Tan simple como eso.
Puedes ver al SGSI como una estrategia o programa de seguridad, que establece medidas para proteger tu información, ya sea digital y/o física. Dentro de los requisitos de ISO 27001 y los controles de su Anexo A para un SGSI, podemos encontrar las políticas de inicio de sesión.
Control de accesos
Como lo mencionamos al principio, la seguridad de la información es trabajo de todos. Sabemos que a veces puede ser complicado darle seguimiento a quién cumple y quién no. Por eso, tener una estrategia de control de accesos es muy importante para cualquier empresa.
Cada persona tiene un rol diferente en tu organización, y por lo tanto, necesidades de información distintas.
El acceso a la información debe ser controlado y segmentado con base al rol y sus responsabilidades.
Los colaboradores solo deben acceder a los recursos que necesitan para realizar su tarea y con los mínimos privilegios necesarios para ejecutar sus funciones.
Recuerda, la información sólo debe ser accesible para personas previamente autorizadas. Las políticas de inicio de sesión además de ayudar con la seguridad, sirven para llevar ese control.
¿Qué es una política de inicio de sesión?
Una política de inicio de sesión, es un conjunto de reglas y configuraciones para ingresar a un sistema de manera segura. O sea, son los pasos obligatorios que tienes que seguir para iniciar sesión sin poner en riesgo la información.
ISO 27002, como buena guía para implementar controles para mitigar riesgos, te sugiere contar con estas buenas prácticas:
- Registro y baja de usuarios: para cumplir con el control A.9.2.1, ISO recomienda, entre otras cosas, tener un identificador único para cada usuario y desactivar usuarios que abandonen la empresa..
- Administrar privilegios: debes asignar privilegios siguiendo los lineamientos de tu política de control de accesos para el alta, baja y cambio de los usuarios. Además, hay que revisar periódicamente si el usuario todavía necesita esos privilegios; esto para cumplir con el control A.9.2.3.
- Uso de información de autenticación: hazle saber a todos los usuarios que toda la información de inicio de sesión es secreta y no deben compartirla con nadie. Pídeles que no tengan un registro de esa información en papel y dispositivos electrónicos; si la contraseña se encuentra comprometida hay que cambiarla inmediatamente y no usar la misma para diferentes accesos. Esto, para cumplir con el control A.9.3.1.
- Conexión segura: cumplir con el control A.9.4.2, se sugiere contar con métodos de autenticación como: tarjetas de proximidad o identificadores biométricos. Proporciona un mínimo de intentos de inicio de sesión y no reveles información durante este proceso; evita mensajes de ayuda o cualquier indicio para lograr un inicio de sesión exitoso. No indiques qué datos son incorrectos; agrega un filtro de seguridad si se detecta un intento no exitoso de inicio de sesión.
- Sistema de administración de contraseñas: para cumplir con el control A.9.4.3 estos sistemas deberían permitir al usuario cambiar las contraseñas. Además, deben sugerir contraseñas de calidad, tener un registro de contraseñas anteriores para evitar que se reutilicen. Otro aspecto importante es que no debe mostrar la contraseña cuando se esté escribiendo y almacenarlas de manera segura y encriptada.
Cómo crear contraseñas seguras según ISO 27002
ISO 27002 también te hace las siguientes recomendaciones para crear contraseñas seguras:
- Tiene que ser fácil de recordar para el usuario, pero difícil de adivinar para otros.
- No usar nada relacionado a tu persona que alguien más pueda saber, cómo por ejemplo, nombres, número de teléfono, fechas de nacimiento, etc.
- Evita palabras que se puedan encontrar en un diccionario. Usa tu imaginación, inventate una. Algo así puede ser “cKjxpsAnb”.
- Los carácteres no deben ser consecutivos. Por ejemplo, abc o 123.
- Cambiar cualquier contraseña temporal después del primer inicio de sesión.
Políticas de inicio de sesión a la Hackmetrix
Como queremos que siempre estés seguro, adicional a lo que sugiere ISO, nosotros te recomendamos aplicar las siguientes políticas:
- No tener credenciales almacenadas en texto plano en la computadora ni en papel.
- Usar un gestor de contraseñas como KeePass o LastPass.
- Te recomendamos usar frases, de canciones o libros, de varias palabras (como las wallets de crypto).
- Siempre tener activado un 2FA de autenticación en todas tus plataformas
Otro punto importante es estar protegido contra ataques de fuerza bruta, donde los atacantes bombardean de solicitudes al servidor para obtener usuarios y contraseñas predeterminadas.
Sabemos que suena bastante intenso, pero no te preocupes, esto no es nuevo. Por eso te invitamos a que le eches un vistazo al caso de Videsk.io, y descubras cómo se protegen ante estas amenazas.
Conclusión
Contar con políticas de inicio de sesión es esencial para proteger tu información. Uno de los puntos más importantes que tus políticas deben tocar, es el control de accesos.
Limitar la información a roles y rangos; usar gestores de contraseñas; tener requisitos para contraseñas seguras y, usar siempre un factor de doble autenticación, son solo algunos ejemplos de lo que puedes aplicar.
No olvides lo más importante. La seguridad de la información es responsabilidad de todos. Así que asegúrate de que tus colaboradores estén al tanto de estas políticas y de que las comprendan.
Si después de leer esto te gustaría saber más sobre políticas de inicio de sesión, como implementar un SGSI o cumplir con ISO 27001 contáctanos y con gusto te apoyaremos.
