Autenticar y controlar el acceso #CyberSecMonth

por | Oct 11, 2018 | Actualités, CyberSecMonth

A medida que concluye gradualmente la segunda semana temática del CyberSecMonth, seguimos brindándoles nuestros CyberConsejos. Concluimos esta semana, centrada en descubrir las profesiones digitales, con una infografía sobre la importancia de autenticar y controlar el acceso a su sistema. Es una oportunidad para destacar el papel del Responsable de la Seguridad de los Sistemas de Información (RSSI), como verán a continuación.

¿Autenticar y controlar el acceso, un reflejo natural?

El control de acceso se ha convertido en un verdadero desafío para las organizaciones, cada vulnerabilidad puede convertirse en una brecha y por lo tanto ser fuente de un ciberataque. Autenticar y controlar el acceso digital debe ser tan natural como cerrar con llave la puerta de casa antes de ir a dormir.

Infografía "Autenticación y control de acceso"

A pesar de la importancia de tales acciones, autenticar y controlar el acceso no siempre es fácil. Sin embargo, es posible actuar eficazmente en dos niveles. En primer lugar, es importante implementar herramientas que permitan controlar los diferentes accesos. Luego, es necesario sensibilizar a los colaboradores sobre la protección de sus datos (como contraseñas) para difundir efectivamente las buenas prácticas dentro de la organización.

Las buenas prácticas:

La gestión de cuentas:

Los elementos de autenticación deben ser cambiados desde su instalación inicial. De hecho, las contraseñas por defecto son fáciles de obtener. Una autenticación fuerte es otro paso hacia un sistema seguro. Por lo tanto, es prudente utilizar la autenticación de dos factores para prevenir intrusiones. Así, acabas de cambiar la cerradura de tu puerta y eres el único con la llave.

Las cuentas que acceden al sistema de información deben ser nominales para identificar fácilmente el origen de incidentes o posibles vulnerabilidades. El uso de cuentas genéricas debe ser evitado. Estas cuentas deben estar sujetas a una política estricta de protección de datos. Los identificadores, contraseñas y registros de acceso deben mantenerse confidenciales. ¿Darías una copia de tus llaves a un desconocido en quien no confías completamente? Seguro que responderías «no» instintivamente. Pues lo mismo aplica para las contraseñas.

La gestión de contraseñas:

Elementos como directorios, bases de datos o correos electrónicos pueden ser fuentes de información valiosa y, por lo tanto, susceptibles a ciberataques. Estos elementos requieren la máxima vigilancia por parte del Responsable de Seguridad de la Información (RSSI). Simplemente listar elementos sensibles no es suficiente; es necesario definir, autenticar y controlar los accesos al sistema. También es importante evitar la duplicación y dispersión de estos elementos para garantizar la seguridad del sistema de información. Sin mucho esfuerzo, acabas de añadir un cerrojo adicional a tu puerta tan preciada. Pero ¿de qué sirve tener una puerta cerrada si la ventana queda abierta?

El primer punto de entrada para un hacker suele ser el puesto del usuario. Por lo tanto, aunque hayas asegurado todo desde el lado administrativo, también debes controlar a tus usuarios y especialmente sus contraseñas. Una mala gestión de contraseñas representa un riesgo enorme para las organizaciones, por lo que es crucial sensibilizar a los usuarios para proteger sus sesiones. Las contraseñas recicladas o demasiado fáciles de adivinar deben ser eliminadas. Además de las campañas de sensibilización, se pueden tomar medidas restrictivas como el bloqueo de cuentas después de varios intentos fallidos de inicio de sesión o la realización de auditorías sobre la robustez de las contraseñas. El almacenamiento de estas contraseñas debe realizarse utilizando soluciones seguras que incluyan mecanismos de cifrado.

¿Qué métodos utilizar para autenticar y controlar los accesos?

El RSSI es el experto que garantiza la seguridad y la integridad del sistema de información. A menudo también es responsable de la protección de datos de la organización (cuando no hay DPO), siendo la persona a la que recurrir en caso de dudas sobre la gestión de accesos.

Keepass permite gestionar eficaz y seguramente las contraseñas. Un beneficio adicional es que es gratuito y de código abierto. Aunque está optimizado para Windows, Keepass también es compatible con sistemas operativos macOS y Linux. Los archivos cifrados pueden contener nombres de usuarios, contraseñas, notas e incluso archivos adjuntos.

Tu Active Directory gestiona las autenticaciones y los derechos en tu red, ya que recopila toda la información sobre la red, usuarios, máquinas, grupos y tu sistema en general. Puedes utilizar Microsoft Active Directory o su equivalente de código abierto, Samba-AD. Ambos Active Directory se pueden administrar utilizando las mismas herramientas, como la consola MMC y RSAT. RSAT permite controlar los derechos de los usuarios y supervisar sus entradas y salidas. Esto facilita identificar fuentes de vulnerabilidad y actuar localmente antes de que ocurra un problema grave.

¿Por qué elegir un Active Directory Open Source?

En Francia, Tranquil IT es el principal integrador de Samba Active Directory, el equivalente de código abierto de Microsoft Active Directory. Con más de 13 años de experiencia en Samba, podemos realizar eficazmente auditorías de parques informáticos, migraciones de Active Directory, fusiones de dominios e incluso transferencias de competencias en Samba Active Directory. Nuestra cercanía con el equipo de Samba nos ha permitido completar con éxito más de 270 proyectos a lo largo de los años. Elegir el Open Source significa ahorrar costos de licencias y confiar en nuestros expertos.

En Tranquil IT, preferimos las herramientas Open Source por su fiabilidad, mantenibilidad y por la libertad que ofrecen. ¿Por qué involucrarse en contratos largos con costos de licencia exorbitantes con Microsoft? Invierta sabiamente su dinero en mejoras directas financiando el desarrollo de una solución Open Source.

¡Francia acepta el desafío del ECSC!

Aprovechamos este artículo para expresar nuestro apoyo al equipo de Francia que participa por primera vez en el desafío ECSC. El European CyberSecurity Challenge se llevará a cabo del 14 al 17 de octubre y enfrentará a 17 equipos nacionales compuestos por jóvenes hackers éticos y entrenadores profesionales. Los equipos deberán superar varias pruebas como criptografía, ingeniería inversa e incluso búsqueda de vulnerabilidades para tener la oportunidad de ganar la competencia. Puedes mostrar tu apoyo al equipo nacional en las redes sociales (#ECSC2018; #TeamFR) o descargando el kit de ECSC proporcionado por ANSSI, que financia el evento en colaboración con HackerZvoice.

Lo que no te podías perder:

Artículos que no te puedes perder:

Encuentra todas nuestras recomendaciones en Twitter y LinkedIn y en los hashtags: #TousSecNum, #CyberSecMonth, #ECSM2018 y #ECSM. Sigue también nuestro hashtag #CyberConseil para seguir los consejos de Tranquil IT y descubrir las siguientes infografías.

FAQ WAPT 2.5: La respuesta a sus preguntas

FAQ WAPT 2.5: La respuesta a sus preguntas

Desde hace unos meses está disponible la versión WAPT 2.5. Descubra en este FAQ específico 10 preguntas y observaciones más frecuentes.Si recibe el error: EWaptCertificateUntrustedIssuer ('Issuer CA certificate CN=blemoigne,C=FR cannot be found in supplied bundle'),...

leer más
Demostración

Demostración en grupo

09/01/2025 : 10h30 - 11h30

Voy a participar