Urge la necesidad de implementar adecuadas políticas de contraseñas
Este año hemos sido testigos de cómo entidades gubernamentales fueron violentadas sin mayor reparo en materia de seguridad de la información. En este sentido, ¿cómo define usted una adecuada política de contraseñas?
Una buena política de contraseñas debe estar basada en las buenas prácticas recomendadas por el estándar de seguridad ISO27001: deben ser complejas en su composición (mayúsculas, minúsculas, números) y cambiarse máximo cada tres meses. Asimismo deben tener un mínimo de longitud de 8 caracteres, no se deben repetir en un año y el sistema de autenticación debe bloquearse como máximo al quinto intento fallido de acceso. Pero, lo más importante es que esta política esté aprobada por el nivel gerencial de la compañía (C-Level) y que esté difundida y reforzada de manera técnica, es decir, que los controles descritos anteriormente puedan ser ejecutados de manera automática por los sistemas informáticos.
En la actualidad, ¿las empresas están invirtiendo en educar al respecto a sus colaboradores?
Muy pocas organizaciones invierten en capacitar a sus usuarios. Por lo general, solamente las empresas multinacionales o la industria regulada en el Perú (como la industria financiera) realiza esfuerzos de concientización, ya que la mayoría de éstas piensa que invirtiendo en un firewall ya está solucionado su problema de seguridad cuando por lo general la cadena se rompe por el lado mas débil, que viene a ser las personas que utilizan los sistemas.
Entonces, ¿cuáles son los errores más frecuentes que se cometen en las organizaciones? Esto ocurre por desconocimiento del personal o por medidas de prevención de los responsables del área de TI. ¿Cuál es su opinión al respecto?
Los errores más frecuentes en temas de seguridad de información ocurren por desconocimiento del personal de la empresa. En el caso específico de las contraseñas, no comprenden la razón por la cual éstas deben ser, por ejemplo, complejas (uso de mayúsculas, minúsculas, números y letras, 8 caracteres mínimos de longitud, etc.). La razón es que utilizando software bajado de internet se pueden realizar ataques de diccionario (se compara de manera automática las contraseñas contra un diccionario de contraseñas utilizadas comúnmente hasta que se da con la contraseña utilizada). Estos ataques se pueden hacer en minutos. Si la contraseña es compleja, estos ataques no son exitosos. La responsabilidad evidentemente es del área de Sistemas o del área de Seguridad de Información, dado que no promueven estas políticas a nivel gerencial y no son una “norma” dentro de la empresa.
La inversión en este tipo de consultoría ha crecido en lo que va del año o aún no se destina presupuesto para esta gestión. En comparación a los años anteriores, cómo usted ve el mercado. ¿Cuánto es la inversión promedio por esta gestión o una consultoría en qué montos oscila?
En general, las compañías a nivel mundial vienen invirtiendo cada vez más en seguridad de información. En específico, en planes de concientización, según una encuesta del 2011 de una firma de consultoría americana, se determinó que invertir en Planes de Concientización era la cuarta opción más importante del total del gasto en seguridad de información. Esta práctica debe se adoptada por las empresas latinoamericanas. Actualmente, la inversión promedio para uno de estos planes es alrededor de los 15,000 dólares.
Podría decirnos a la fecha, qué segmentos de mercado sí o sí deberían invertir en ello.
Por su puesto. La industria financiera, ya que se encuentra regulada por la SBS y les exigen cumplimiento de difusión de políticas de seguridad. Los bancos, financieras, edpymes, cajas municipales, rurales, etc. Todas estas organizaciones deben implementar planes de concientización, ya que el riesgo en este tipo de empresas está ligado a pérdida de dinero de sus clientes.
Puedes brindarnos algunas recomendaciones claves y estratégicas a ser tomadas en cuentas para evitar el acceso de información o robo de contraseñas.
Para evitar el acceso no autorizado a información se tiene que implementar un Sistema de Gestión de Seguridad de la Información alineado al estándar ISO27001. Para evitar el robo de contraseñas en específico, se tiene que concientizar al personal, es decir, implementar un Plan de Concientización. Esto debe venir acompañado de reforzar los controles en los sistemas de información de manera técnica, esto es responsabilidad del área de Sistemas.
¿Cuáles son las razones frecuentes que una tiene para robar contraseñas en el ámbito empresarial /corporativo?
Básicamente la razón siempre es el acceso a información privilegiada, que en muchos casos luego puede ser utilizada como punto de partida para ataques más sofisticados o como punto de extorsión para el atacado.
En este sentido, la venta de datos ha empezado a cobrar un valor importante. Usted cree que esto ya es un negocio.
Siempre ha sido un negocio. Existe un mercado negro de venta de datos y las leyes peruanas en este sentido son pocas y muy laxas. La mejor manera de protegerse es tomar acciones uno mismo: no ingresar a sitios web que no brinden la confianza del caso, no abrir ni responder correos no solicitados, evitar usar cabinas de internet, no botar sus vouchers del banco, etc.
¿Cuáles son los tres factores claves que se deben seguir en seguridad de la información?
Primero, ser siempre desconfiado. Luego, nunca brindar más información de la necesaria. Y, finalmente, mantener actualizada tu computadora y con un antivirus de marca.
¿Cuáles son los 4 principios de la seguridad?
En primer lugar la confidencialidad, que las personas tengan acceso sólo a la información necesaria para sus labores. Seguido de la integridad, que los datos sean exactos, que no se hayan modificado sin autorización. Tercero, la disponibilidad, que los servicios que brindan los datos estén disponibles cuando se les necesita. Y, por último, el no Repudio, que existan mecanismos que aseguren que quien se “autentica” en un sistema es quien dice ser y que luego no pueda negarlo.
Algo más que agregar o añadir
Simplemente que la seguridad, como defensa civil, es tarea de todos y que debemos saber que en todo momento alguien puede tomar ventaja de nuestra información, razón para estar siempre alerta.
Muchas gracias.