Preguntas y respuestas de Seguridad Informática (VII)

En esta entrega se cierra el punto de la “seguridad física y ambiental” y se incia el acápite referido a la “Identificación, autentificación y control de acceso”, a partir de dos nuevas preguntas referidas al borrado seguro de la información y la creación y uso de las contraseñas de las cuentas de usuario.

13. ¿Por qué hay que realizar el borrado seguro de la información?.

Si bien la información que se genera en la UO no tiene carácter confidencial, existen algunos materiales en lo que deben ser controlada la manera en que se manejan.

Por solo poner ejemplo, la información de cuadros, los resultados de determinadas investigaciones que pueden generar patentes comerciales, u otras de esta índole deben manejarse como información confidencial y no deben enviarse por las redes públicas a través del correo electrónico.

Cuando un MTC donde se ha generado información de este tipo va a ser trasladado a otra dependencia el disco duro debe ser borrado; de manera segura, o sea de forma física, lo que implica que se debe sobreescribir la información. El borrado que se realiza de manera habitual y el formateo son procesos lógicos y por ende, la información puede ser recuperada de la tabla de localización de archivos auxiliar. Para este fin se utilizan programas que realizan esta función de manera muy eficiente y segura. Los procesos lógicos mantienen la información en el disco mientras que esta no se sobrescribe, pues solo se elimina la primera latra del nombre del archivo en la FAT (sigla en inglés que significa “Tabla de lo localización de archivos”, que es el espacio del disco que se detina a esta finalidad.

Esta es la razón, que para preservar la información que pueda considerarse confidencial o limitada, existe una dependencia (conocida como OCIC – Oficina de Control de la Información Confidencial) donde está ubicado un Medio Técnico de Cómputo desconectado de la red para procesar este tipo de información y existe un personal entrenado para estas funciones.

En el caso de que se produzca un rotura definitiva del disco duro del medio donde se ha procesado información confidencial, con independencia de que se hubiesen tomado las medidas de borrado seguro, se debe seguir el procedimiento descrito en el PSTIC para su destrucción física, que se realiza por personal técnico previa solicitud de la dependencia. Este mecanismo implica el desarme del medio y la destrucción física de sus partes. Algo similar debe ocurrir con otros medios que hubiesen contenido información de este tipo.

14. ¿Por qué hay que cumplir normas en la creación y uso de las contraseñas?.

Según las funciones que desempeña una persona en el sistema informático, a las cuentas de usuarios de las mismas se le asignan los permisos que materializan el alcance y posibilidades de operación que tiene dentro del sistema.

La única forma de que esos privilegios estén a salvo es a través de la tenencia de un nombre de usuario que es único y una contraseña secreta e intransferible que garantice para estas credenciales una seguridad efectiva.

El nombre de usuario permite decirle al sistema quien se está conectando a el, o sea, la identificación, pero la contraseña es la que asegura al sistema que el usuario es quien dice ser, es la base del proceso de autenticación en el sistema, sin estos pasos no existe autorización para operar en el mismo. Por esto se dice con toda razón que las contraseñas son parte importante del escudo protector de los sistemas informáticos, sin que se descarte que existen otros métodos como el envío y recepción de códigos, el control de retina y la huella digital.

Es por esto que es exigencia usar contraseñas robustas de más de ocho caracteres que conjugen letras mayúsculas y minúsculas, números y símbolos como #,%,$,*, una coma, un punto, etc. Se indica siempre desterrar de ellas nombres y fechas notables de seres queridos o personales y hasta palabras que puedan ser descifradas con aplicaciones llamadas de “diccionario”, que buscan por una secuencia alfabética. No deben ser repetidas y deben ser cambiadas con cierta frecuencia, en la UO se exige que sea cada 90 días, lo que no limita que pueda hacer en menor tiempo o cuando se tiene la sensación de que se ha perdido la confidencialidad.

La complejidad puede ser un problema para la memoria y en este caso se pudiera pensar en un administrador o gestor de contraseñas.

Un aspecto muy importante es que NUNCA se entregan a nadie, son personales e intransferibles y nadie las puede solicitar por ningún concepto y de ocurrir se está en presencia de un cibercriminal que intentará suplantar la identidad del usuario. Se puede asegurar que nunca le será solicitada por correo por un administrador del sistema, solo recuerde que existe para realizar cualquier cambio en las credenciales un sitio de gestión al que accede el propio usuario con sus credenciales para realizar los cambios que requiere sin que medie la mano de un administrador, pues ni siquiera esta persona podrá acceder a a los datos guardados porque se guardan encriptados y eso lo establece la ley y está definido por defecto en las instalaciones de los programa para la administración de la red.

Continuará…

Esta entrada fue publicada en buenas prácticas, claves de acceso, contraseñas, educación de usuarios, informaciones, medidas y procedimientos de seguridad informática, percepción de riesgo, políticas de seguridad informática, prevención, seguridad informática. Guarda el enlace permanente.

Deja una respuesta