miércoles, 1 de septiembre de 2021

Norma ISO 17799 11.3.1 Uso de claves secretas - Pedido de cambio de clave voluntario

En octubre de 2020 se proporcionó información para el Cambio de contraseña en cuenta institucional, 2020/10/06

 

 
Estamos en proceso para alinearnos con la norma Norma ISO 17799, Sistema de Gestión y Seguridad de la Información, se indica
 
 
 
"11.3.1 Uso de claves secretas
Control

Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.

Lineamiento de implementación

Se debiera advertir a todos los usuarios que:

a) mantener confidenciales las claves secretas;

b) evitar mantener un registro (por ejemplo, papel, archivo en software o dispositivo manual) de las claves secretas, a no ser que este se pueda mantener almacenado de manera segura y el método de almacenaje haya sido aprobado;

c) cambio de claves secretas cuando haya el menor indicio de un posible peligro en el sistema o la clave secreta;

d) seleccionar claves secretas de calidad con el largo mínimo suficiente que sean:

1) fáciles de recordar;
2) no se basen en nada que otro pueda adivinar fácilmente u obtener utilizando la información relacionada con la persona; por ejemplo, nombres, números telefónicos y fechas de nacimiento, etc.
3) no sean vulnerables a los ataques de diccionarios (es decir, que no consista de palabras incluidas en los diccionarios);
4) libre de caracteres consecutivos idénticos, todos numéricos o todos alfabéticos;

e) cambio de las claves secretas a intervalos regulares o en base al número de accesos (las claves secretas para las cuentas privilegiadas se debieran cambiar con mayor frecuencia que las claves secretas normales), y evitar el re-uso de reciclaje de claves secretas antiguas;

f) cambiar la clave secreta temporal en el primer registro de ingreso;

g) no incluir las claves secretas en ningún proceso de registro automatizado; por ejemplo, almacenado en un macro o función clave;

h) no compartir las claves secretas individuales;

i) no usar la misma clave personal para propósitos comerciales y no-comerciales

Si los usuarios necesitan tener acceso a múltiples servicios, sistemas o plataformas, y requieren mantener múltiples claves secretas separadas, se les debiera advertir que pueden utilizar una sola clave secreta de calidad (ver d) en el párrafo anterior) para todos los servicios donde se le asegura al usuario que se ha establecido un nivel de protección razonable para el almacenaje de la clave secreta dentro de cada servicio, sistema o plataforma. "


En el literal de se dan unas sugerencias, ahora realicemos la aplicación del cambio de clave considerando que dispone de cuentas en:  Sistema de la UCE: en windows, SIIU, Quipux, Aula Virtual, Correo Electrónico, Sistema Antiplagio... A nivel personal: Gmail, Facebook, Twitter, Linkedin, Dato Seguro
 
Defina una política para establecer su contraseña y valide 

Política:
Longitud contraseña: 8 a 12 caracteres
Caracteres: 2 números, 2 especiales, 1 Mayúscula, 1 minúscula
No caracteres repetidos consecutivos
Periodicidad de cambio de contraseña: 6 meses (o antes si sospecha)
No repiten anteriores: 12 anteriores

En WolframAlpha, puede revisae a calidad de la contraseña
 
 
La página de Oficina de Seguridad del Internauta se encuentar publicado el artículo
 

"En cualquier caso, hay que evitar cometer errores tan comunes como los siguientes:

  1. Reciclar contraseñas: un error muy frecuente es utilizar la misma clave para múltiples cuentas o aplicaciones.
  2. Memorizar contraseñas en función del teclado: muchos usuarios usan el teclado como guía para recordar contraseñas fácilmente (ej.: “123456” o “qwerty”).
  3. Usar expresiones hechas: entre otro de los errores más comunes es el uso como contraseñas de frases como “teamo”, “iloveyou”, “teodio”, etc.
  4. Utilizar aficiones: algunos usuarios fanáticos suelen usar el nombre de sus marcas, deportes, equipos o bandas de música favoritas.
  5. Apuntarlas en notas: aunque se haya creado una clave robusta, nunca se debe dejar por escrito y mucho menos a la vista de cualquiera.
  6. Hacer uso de patrones sencillos: como que la primera letra esté en mayúscula seguida de 4 o 5 en minúscula o usar uno o dos números y finalizar con un carácter especial como un punto o signo de exclamación (Ej.: Perro26!)."

 

Las 200 contraseñas más comunes de 2020

 
 
 
Por favor revise

Sistema de Gestión de Seguridad de la Información, SGSI

Norma ISO 17799, Sistema de Gestión y Seguridad de la Información

La seguridad de la información es un compromiso de todos

En la segunda reunión de CSIRT UCE, de 2021/09/02 de analizó y consideró oportuno que se inicie por un pedido de cambio de contraseña voluntario y se considere desarrollar un proceso obigatorio de forma periódica.

Es necesaeio que la Comunidad Unicersitaria desarrolle conocimiento sobre seguridad informática y lo aplique.

 

Tercera reunión de CSIRT UCE 2021/09/16, revisión capítulo norma ISO 17799


 

No hay comentarios.:

Publicar un comentario

Nota: sólo los miembros de este blog pueden publicar comentarios.