Cómo autentificar los factores de cumplimento en la seguridad de información
Seguridad de información
El control de acceso es una de las piedras angulares de la seguridad de información. Si no puede controlar quién accede a que, no se puede garantizar la seguridad en absoluto. Debido a eso, el control de acceso se mantiene en el foco principal de los equipos de seguridad y los malhechores.
La simple utilización de contraseñas, fichas o biometría no es suficiente para evitar el acceso no autorizado. La complejidad de los ataques y el valor de los activos requieren, por lo que las empresas se encuentran recurriendo a la autenticidad de muchos factores, especialmente la Autentificación de dos factores.
Esto supone una mejora clara de la seguridad, cómo encaja en los marcos de seguridad. La norma ISO 27001 puede beneficiarse de la adopción de controles de acceso a la Autentificación de dos factores.
El papel de la autentificación de control de acceso y la definición de dos factores
En primer lugar, se debe entender que un proceso de control de acceso robusto comprende estos tres conceptos:
- Identificación: métodos para proporcionar un sujeto con una identidad reconocible.
- Autentificación: métodos para asegurar que un sujeto es quien dice ser.
- Autorización: métodos para controlar las acciones que un sujeto puede llevar a cabo en un objeto.
En cuanto a los métodos de Autentificación, los siguientes conceptos se pueden utilizar, por separado o en combinación.
- Utilizar contraseñas y números PIN. Este es el menos costoso de implementar y menos seguro.
- Utilizar tarjetas inteligentes. Es caro pero muy seguro.
- Utilizar patrones de voz, retina, huellas digitales, etc. son más caros pero es mucho más seguro.
Por lo tanto, cuando se habla sobre la Autentificación de dos factores, nos referimos a utilizar dos de estos tres conceptos junto para asegurar que un sujeto es quien dice ser.
Es importante señalar aquí que cuando un dispositivo proporciona la información que el usuario debe introducir por sí mismo como parte del proceso de Autentificación, esto no se considera algo que tienes. Esta situación se considera una Autentificación por el conocimiento en dos etapas. Para ser considerado como algo que el usuario tiene, el propio dispositivo debe proporcionar la información de Autentificación durante el paso de Autentificación.
¿Por qué utilizar la autentificación de dos factores?
Se basa en un solo factor de Autentificación que deja la solución con un único punto de fallo, en el sentido de que si el conocimiento, dispositivo o patrón se ve comprometida con cualquier persona que tiene que suplantar al usuario. Se puede pensar en las siguientes situaciones:
- Usuarios descuidados que comparten las contraseñas, las anotan en lugares fáciles de encontrar o revelarlas por medio de ingeniería social.
- Tarjetas inteligentes, llaves y similares pueden ser robados o perdidos.
- Patrones biométricos pueden ser reproducidos por distintos tipos de tecnologías.
Mediante la utilización de la Autentificación de dos factores, se crea una capa adicional de protección contra cualquier persona que quiera obtener acceso no autorizado, porque incluso si un malhechor que compromete la información con respecto a un factor, será inútil sin la información del segundo factor de Autentificación.
La selección de un par adecuado de los factores de Autentificación que se utiliza depende de los resultados de las evaluaciones de riesgo, el nivel de seguridad deseado, los costos de implantación y los recursos disponibles. Los más comúnmente utilizados son una combinación de algo que sabes y algo que tienes.
Autentificación de dos factores que aplica la norma ISO 27001
Aunque la norma ISO 27001 se describen en el Anexo A se refieren de forma básica a la información secreta. Como medio de la autentificación, la norma ISO 27002, establecer todas las recomendaciones de la norma ISO 27001 controles, recomienda la utilización de los métodos de Autentificación en una gran cantidad de otros controles, siendo el objetivo de hacerlos más robustos e incrementar su eficacia para proteger la información. Estos son los que puedan hacer utilización de la Autentificación de dos factores:
Los controles de seguridad | Razón fundamental |
---|---|
A.9.1.1 – Control de acceso política A.10.1.1 – Política sobre el uso de controles criptográficos A.11.2.9 – Escritorio despejado y la política pantalla clara A.14.1.1 – Información de análisis de requisitos de seguridad y las especificaciones A.14.1. 2 – Asegurar los servicios de aplicaciones sobre redes públicas de A.14.1.3 – La protección de los servicios de aplicaciones transacciones A.14.2.5 – Principios de ingeniería de sistema seguro |
Las políticas y los procesos que conducen a la necesidad del uso de aplicaciones de dos factores de acuerdo a los requerimientos del negocio . Aquí puede definir la combinación de los factores más adecuados para su organización. |
A.9.1.2 – El acceso a las redes y servicios de redes A.13.1.2 – Seguridad de los servicios de red A.13.1.3 – La segregación en las redes A.13.2.3 – La mensajería electrónica |
Autenticación de dos factores se puede aplicar para garantizar un acceso seguro a los servicios de red más sensibles (por ejemplo, pago con tarjeta de crédito en línea). Adicionalmente a la autenticación de usuario, se puede considerar la autenticación de los dispositivos de red. |
A.9.4.2 – Securidad de conexión a la comunicación procedimientos A.9.4.4 – El uso de programas de utilidad privilegiados |
Autenticación de dos factores se puede aplicar para garantizar un acceso seguro a los más sensibles sistemas de información, aplicaciones y programas (por ejemplo, los sistemas de investigación y desarrollo y aplicaciones de seguridad). |
A.11.1.2 – controles de entrada físicas | Autenticación de dos factores se puede aplicar para garantizar un acceso seguro a las áreas e instalaciones (por ejemplo, los centros de datos más sensibles). |
No evolucionar es el primer paso hacia los problemas de seguridad
A medida que las soluciones de seguridad de información más fuertes en todas las áreas, los malhechores trabajan aún más para comprometer el acceso válido para explotar activos de una empresa, y las prácticas de control de acceso tradicionales no son capaces de seguir el ritmo adecuado en los niveles de seguridad.
La Autentificación de muchos factores es el siguiente paso lógico para mantener los niveles de seguridad y asociando esta práctica con los controles y recomendaciones de la norma ISO 27001, una empresa puede mantener su información y sistemas alejados a las personas no autorizadas mientras mantiene el cumplimiento de los requisitos de la norma.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.