Mitigar Los Riesgos De Acceso Lógico

Mitigar los Riesgos de Acceso Lógico

El acceso no autorizado puede llevar a consecuencias devastadoras. Las entidades pueden convertirse en víctimas de actos criminales como robo de identidad, el fraude financiero, el robo de datos y los ataques a los sistemas, lo que puede ser especialmente perjudicial para los negocios en línea. Los analistas de seguridad de la industria muestran que alrededor del 80 por ciento de todas las actividades maliciosos provienen de empleados actuales o anteriores.

Las mejores prácticas incluyen la autorización y la autenticación de los usuarios en las políticas y los procedimientos de derechos de acceso. Son los que tienen el objetivo de garantizar que la persona que solicite el acceso está autorizada. Este control se asocia más con las credenciales de inicio de sesión y los procedimientos. Los hacker han desarrollado sofisticadas herramientas que pueden romper con bastante facilidad en los sistemas con contraseñas poco sofisticadas (nombres, palabras que se encuentran en el diccionario, etc.).

A lo largo de los años, las mejores prácticas se han ampliado para incluir las contraseñas "fuertes”. Cuanto mayor sea el riesgo, mayor es la necesidad de un acceso más sofisticado y seguro, y mayor será la necesidad de capas adicionales de los controles de acceso. Los elementos que una contraseña fuerte debe incluir son:

• Por lo menos ocho caracteres de longitud.

• Incluir al menos un carácter especial.

• Se incluye al menos un número.

• Se mezcla los casos de caracteres alfabéticos.

• Se utiliza una frase incoherente.

El objetivo de estos elementos es frustrar las herramientas de hackers existentes capaces de descifrar las contraseñas. Las contraseñas débiles y PIN son la principal causa de las violaciones de seguridad. De acuerdo con la firma consultora Frost & Sullivan, los nombres de usuario y contraseñas / PIN suelen ser estáticos o compartidos a través de múltiples cuentas de los usuarios, haciéndolos relativamente fácil presa de los hackers y crackers.

Los controles de autenticación tienen un objetivo diferente. Tratan de asegurar que las personas al iniciar sesión en el sistema son quienes dicen que son. Un ejemplo clásico de esta capa adicional es la biometría. Los profesionales de seguridad y las instituciones financieras han respondido con PINs temporales y otras herramientas y procedimientos. Los controles de autenticación tienen un objetivo diferente.

La mayoría de los gerentes de TI añaden herramientas como llaves USB, tarjetas inteligentes, PINS temporales y datos biométricos en la parte superior de la ID y contraseña. Un token USB, como uno de Entrust o Aladino, es un dispositivo de hardware que debe conectarse a la distancia se concederá la computadora en una ranura USB antes de acceder. Las tarjetas inteligentes son leídas en un lector similar al de las tarjetas de crédito en el ordenador y se combinan con el ID y la contraseña para permitir el acceso. PINs temporales son números enviados a un dispositivo preestablecido, como un mensaje de texto a un teléfono celular o un pequeño dispositivo buscapersonas, en el que, para tener acceso remoto, los usuarios tienen un tiempo limitado para introducir el PIN junto con su ID y contraseña.

Según CERT en un libro titulado " Introducción a la gestión de amenazas " en los últimos 10 a 15 años, las organizaciones han gastado miles de millones de dólares en la construcción defensas más fuertes para proteger sus datos y sistemas de los hackers y de terceros con malas intenciones. En promedio, más del 75 por ciento de los presupuestos de seguridad de TI se dirige hacia la protección contra amenazas externas.

Una vez iniciada la sesión, incluso un usuario autorizado debe ser limitada su capacidad de tener acceso a todos los datos y aplicaciones.

...