Cómo mejorar los sistemas de defensa para controlar la seguridad informática
Por José Luis Blanco, profesor de Spain Business School:
Partimos de una máxima. La mejor defensa es aquella que aun siendo robusta, es transparente para el usuario.
Sin embargo, no en todos los casos es posible alcanzarla, pero por supuesto una defensa en la que el usuario no pueda trabajar por su rigidez no es efectiva, porque se pierde el primer objetivo, la productividad.
La defensa perfecta o máxima es difícil de conseguir porque es muy cara. Pensemos en la seguridad de una casa. La máxima resultaría excesivamente cara. Es por ello que como en otros ámbitos de la vida se debe estudiar la relación coste/beneficio y rentabilidad/riesgo para tomar la mejor decisión y adaptarla así al sistema. Para ello, nos podemos basar en un conjunto de políticas y sistemas que mejoren la información para la toma de decisiones:
–Monitorizar la red: es una política basada en escuchar el tráfico de datos para poder intervenir en el menor tiempo posible ante un ataque. Esa monitorización de red se suele hacer con programas llamados sniffer.
–La política de directorio: se basa en un punto desde el cual se controla o dirige los accesos de una persona a diversos recursos. En la actualidad un usuario se identifica mediante usuario y clave al inicio, y luego quiere acceder a un conjunto de recursos atendiendo a un nivel de seguridad definido. Que dicha función se pueda hacer de una forma sencilla, es gracias a la política de directorios que lo definen y da acceso a los sitios.
Un directorio es una base de datos de usuarios o recursos con información de los mismos. Como la estructura de información es siempre la misma (usuarios y recursos en un sistema) se establece un modelo de datos en forma de árbol que permite una rápida localización de los mismos y un intercambio de éstos de una manera sencilla. Se define por tanto un conjunto de reglas, de protocolos para la transferencia de información y hablamos así de directorio activo. Existen un conjunto de estándares en directorio activo, como LDAP definido por Microsoft u OpenLDAP como proyecto abierto, pero no profundizaremos en ellos al no ser un ámbito de los fundamentos.
El principal sistema de defensa es la “clave”, y para determinar una correcta política de claves debemos definir:
–Tamaño de clave. Se debe exigir una longitud mínima, a tener obligatoriamente clave en todas las cuentas, a realizar combinaciones lógicas de letras y números, etcétera.
–Renovación de clave. Una clave es efectiva mientras no sea perenne. Debe ser obligatorio cambiarla con una periodicidad definida.
–Bloqueo de cuentas. Para evitar intentos masivos, debe ser bloqueada una vez superado el número de reintentos definidos. Por ejemplo cinco.
–Claves aleatorias. Es la mejor forma de realizar una clave pero dificulta enormemente su recordatorio. Puede ser utilizada como primera clave de usuario.
–Frases de paso. Es una buena opción para ayudar a recordar la contraseña y así poner claves más complejas en los sistemas.
Con los avances tecnológicos existen nuevas formas de identificación de seguridad. Son los conocidos como sistemas biométricos. Por ejemplo, acceder al sistema mediante huella digital, escáner de iris, etcétera. Cada vez son más habituales y empiezan a ser usados incluso por teléfonos móviles.
