Garantizar que el usuario establecido sea quien realmente ingrese a la información es imprescindible para garantizar su integridad. Pero cómo encaja este tema en las principales normativas y estándares de seguridad lo veremos a continuación.
Cada empresa de acuerdo a sus necesidades decide gestionar la seguridad de la información de acuerdo a un determinado estándar. El compliance o cumplimiento de estas normatividades es de suma importancia obviamente para garantizar la seguridad de la información más sensible y por otra parte para evitar multas o sanciones legales que pueden darse a partir de su incumplimiento.
El objetivo de estos estándares o regulaciones es garantizar la integridad, disponibilidad y confidencialidad de la información. Uno de los controles más comunes para garantizar estas tres características es la autenticación de usuarios. Veamos qué es lo que las principales normativas piden al respecto de este control.
El PCI DSS es un estándar que aplica donde sea que se almacenen, procesen o transmitan datos de cuentas bancarias. En su requisito 3 pide proteger los datos del titular de la tarjeta que fueron almacenados y en el requisito 7 restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio, con el objetivo de que se limite el acceso a los componentes del sistema a aquellos individuos cuyas tareas necesitan de ese acceso. Para esto recomienda un sistema de control de acceso automático.
En el requisito 8 pide asignar una ID exclusiva a cada persona que tenga acceso por computadora, empleando al menos uno de los métodos siguientes para autenticar a todos los usuarios: algo que el usuario sepa, algo que el usuario tenga, algo que el usuario sea. Además sugiere incorporar la autenticación de dos factores para el acceso remoto (acceso en el nivel de la red que se origina fuera de la red) a la red de empleados, administradores y terceros.
Los lineamientos del FFIEC (Federal Financial Institutions Examination Council) son recomendaciones para que las entidades financieras evalúen el riesgo en las transacciones electrónicas y como se pueden mitigar con la aplicación de sistemas de autenticación. Este estándar incluye un apartado sobre los programas de seguridad por capas que deberían implementar las entidades financieras para garantizar la seguridad en las transacciones basadas en servicios a través de Internet. Dentro de los controles que sugiere esta norma se encuentra precisamente el uso de sistemas de doble autenticación utilizando diferentes dispositivos.
La Ley Sarbanes–Oxley, regulación impuesta a las empresas que participan en el mercado financiero estadounidense, sugiere que para cumplir con los lineamientos de seguridad se implemente COSO, el cual posee cinco componentes de control. El tercero de estos, Actividades de Control, trata entre otras cosas sobre el control de los sistemas de procesamiento electrónico de datos, dentro de los que destacan los controles sobre la seguridad lógica. Destaca los sistemas de autenticación para proteger los sistemas contra el acceso y uso no autorizados.
El NIST (National Institute of Standards and Technology) provee entre otras, las recomendaciones para implementar sistemas de autenticación. La seguridad en la autenticación, la divide en cuatro niveles, de los cuáles el tercer nivel hace referencia a la protección de acceso a la red de forma remota mediante factor de múltiple autenticación. Este estándar reúne, además, las características que deben tener los sistemas para garantizar la seguridad en la autenticación, describiendo su uso y tipos de acuerdo al factor de protección elegido (credenciales, tokens, procesos de autenticación, assertions).
Finalmente, la norma certificable ISO 27001, quizá la más conocida, es un estándar para implementar y certificar un sistema de gestión de la seguridad de la información. De los pilares básicos de la norma ISO 27001 el dominio de control A.11 está relacionado con el control de acceso. Precisamente el control A.11.4 está asociado con el acceso a la red, cuyo objetivo es prevenir accesos no autorizados.
Especialista de Awareness & Research
