La gestión de la seguridad de la información

La información y las tecnologías a través de las que se crea, maneja y transfiere la información son fundamentales. Pese a esa importancia de la información, la realidad es que no hay un grado de concienciación suficiente en las organizaciones para reconocer la información como un activo fundamental. Ni se crea una necesidad de proteger la seguridad de ese activo hasta que tenemos el problema encima.

¿Cuánto tiempo puede funcionar la organización sin que las personas que trabajan en ella puedan acceder a la información?

¿Está la organización preparada para responder a un incidente de seguridad?

La tendencia generalizada es pensar que nunca va ocurrir un incidente de seguridad de manera accidental porque “ya sería mala suerte que esto se quemara o se inundara” y, sobre todo, porque se tiende a subestimar a los usuarios de los sistemas y de los equipos desde los que se trata la información. No se van a robar datos o no se van a borrar por descuido “porque no saben cómo acceder a ellos”. Así que no se establecen medidas para evitar que pase algo.

A alguien le puede parecer exagerado pero no lo es. No es la primera vez que algún trabajador ha instalado una aplicación de descarga de archivos para bajarse películas o música y está compartiendo, accidentalmente, información confidencial de la organización, a través de la aplicación, que no debería compartirse.

Si no resulta suficiente o convincente el argumento de que, proteger la información asegura la continuidad de mi organización, todavía me queda como razón de peso los motivos legales.

Un incidente de seguridad puede provocar una pérdida de datos que infrinja la normativa de protección de datos, por ejemplo. Ya hemos leído más de una vez, en la prensa, que se roban ordenadores en organizaciones. ¿Estaban protegidos esos ordenadores para que no se pudiera extraer información, entre ella, datos de carácter personal de los mismos?

¿Los responsables de las organizaciones están concienciados y han concienciado al personal que trabaja en las mismas, de que no se pueden utilizar los medios informáticos titularidad de la corporación para descargar contenidos de Internet a través de programas de descargas de archivos que puedan infringir los derechos de propiedad intelectual de terceros.

Cuestiones como esas están dentro de un marco de protección de la seguridad de la información y, en definitiva, si falla la seguridad de la información nos estaremos enfrentando, además de a las pérdidas financieras y costes de recuperación, a daños en la imagen de la organización, a denuncias, litigios y multas, a interrupciones de las operaciones, etc.

Por eso es necesario gestionar de manera adecuada la seguridad de la información. Y ¿en qué consiste esa gestión de la seguridad de la información? Fundamentalmente, en garantizar estas tres dimensiones de la seguridad:

- La disponibilidad de la información: asegurar que los sistemas funcionan y que los servicios no son denegados cuando vayan a ser usados.

- La integridad de la información: garantizar que la información está completa y es correcta. Lo cual implica, entre otras cosas, impedir la manipulación de la misma.

- La confidencialidad de la información: garantizar que la información llegue, únicamente, a las personas autorizadas evitando, además, las fugas y filtraciones de la información y los accesos no autorizados.

Esa seguridad tiene que gestionarse de algún modo. Tienen que crearse procedimientos de seguridad, implantarse y debe realizarse un seguimiento continuado de la efectividad de los procedimientos implantados. Ahí es donde entra el concepto del Sistema de Gestión de la Seguridad de la Información (SGSI).

Un SGSI es una herramienta que sirve para proporcionar mecanismos de protección y salvaguarda de la información y de los sistemas que la tratan y procesan de acuerdo con una serie de normas, políticas y procedimientos definidos por la organización.

Existen una serie de normativas para la gestión de la seguridad de la información; la ISO/IEC 27001:2005 es una norma internacional que proporciona un modelo para crear, implantar, mantener y mejorar un SGSI. Y la ISO/IEC 27002 establece un catálogo de controles de seguridad para garantizar la misma. Esta última es una guía de buenas prácticas.

Es decir, la ISO/IEC 27001 define los procesos de la seguridad de la información, “el cómo” para entendernos, y la ISO/IEC 27002 establece los controles de seguridad, “el qué”.

Podemos decir que dichos controles abarcan tres aspectos: jurídicos, tecnológicos y de gestión.

Los aspectos de gestión que recoge la normativa implican, en primer término, la creación de una serie de documentación para regular y formalizar la seguridad de la información en una organización.

La necesidad de proteger la seguridad de la información tiene que surgir desde la dirección o los órganos de gobierno de la propia organización. La concienciación sobre la necesidad de proteger la información, que debe hacerse extensiva a toda la organización, debe partir desde arriba.

Por eso, desde los órganos de gobierno de la entidad se deben establecer y aprobar una serie de políticas, normativas, procedimientos, instrucciones y normas de uso en las que se documente cómo se gestiona la seguridad de la información en la entidad, con carácter general, y para cada uno de los supuestos específicos que lo precisen.

Esas políticas, en la medida en que les afecte, deben darse a conocer al personal que trata la información.

La labor de formación y concienciación del personal está detrás de todo el proceso de implantación de un SGSI, así como el establecimiento de responsabilidades de las personas que tratan con la información y del modo en que deben hacerlo.

Además es necesario el establecimiento de medidas concretas como puede ser la firma de acuerdos de confidencialidad con el personal que trata la información de la entidad, que reflejen las necesidades de la misma para la protección de la información.

La necesidad de seguridad debe calar en las personas que tratan con la información. Y eso se consigue formándoles y dándoles a conocer las normativas e instrucciones definidas por la entidad para el tratamiento de la información.

Es más, es necesario establecer medidas coactivas para que los usuarios de los sistemas no quebranten la seguridad de los mismos. No debemos olvidar que, en la mayoría de los casos, la seguridad se vulnera desde dentro. Casos de trabajadores que, cuando son despedidos y para perjudicar a la empresa, borran una base de datos, “despistes” en el tratamiento de la información (Se ha podido leer en la presa que, en Reino Unido, apareció en un parking una llave USB con datos de contribuyentes británicos), uso de llaves USB personales en los equipos de la entidad que acaban introduciendo virus en los sistemas. Son casos que suceden con demasiada frecuencia.

Por otro lado, si son terceros los que, para la prestación de servicios a la entidad, tratan información de la misma, deberán suscribirse los correspondientes acuerdos con estos acerca del tratamiento que deben llevar a cabo sobre la información para cubrir los requisitos de seguridad de la misma.

La gestión de la seguridad de la información requiere una evaluación y una auditoría continua para comprobar que la implementación de los controles es efectiva, que las medidas de seguridad son eficaces y, en su caso, ampliarlos o modificar dichos controles.

Asimismo la gestión de la seguridad implica llevar un control de las incidencias que se producen para que se pueda agilizar la reacción ante dicha incidencia con el objetivo de reducir los daños que esta pueda producir, reaccionar de manera coordinada y obtener evidencias que permitan introducir los cambios necesarios para que la incidencia no se vuelva a producir.

Los aspectos tecnológicos para garantizar la seguridad de la información se centran en cuestiones como la seguridad física para proteger los accesos a las instalaciones, oficinas y despachos, así como a los equipos que tratan la información; en la seguridad de las redes; seguridad en los controles de acceso a los sistemas que albergan la información; seguridad de los contenidos; gestión de copias de seguridad, etc.

Y, los aspectos jurídicos, se centran en la adaptación a la normativa que le sea aplicable a la entidad de que se trate. Normativas como la Ley Orgánica de Protección de Datos, la Ley de Propiedad Intelectual, la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos o la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, por ejemplo.

En definitiva, estamos viendo que la seguridad de la información se consigue implementando toda una serie de controles que incluyen políticas, procedimientos, instrucciones, guías, funciones de hardware, funciones de software, etc.

Ahora bien, para seleccionar los controles que propone la ISO/IEC 27001 y saber cuáles son necesarios, es preciso realizar, con carácter previo, un análisis de riesgos para ver qué amenazas afectan a la información de la entidad y a los sistemas que tratan dicha información, y qué impacto puede suponer esa amenaza para las tres dimensiones que mencionábamos antes: la confidencialidad, la integridad y la disponibilidad.

Eliminar de manera absoluta los riesgos para la seguridad que afectan a una organización es básicamente imposible, la organización debe asumir un nivel de riesgo aceptable y, a partir de ahí, gestionarlo con la selección e implantación de los controles que sean necesarios.

La implantación de un sistema de gestión de la seguridad de la información implica un proceso de mantenimiento y mejora continua. Puesto que las circunstancias en la entidad pueden cambiar, por ejemplo, por la adquisición de nuevos equipos o la prestación de nuevos servicios de manera electrónica, los requisitos de seguridad necesarios para la entidad también pueden variar.

Por eso la norma ISO/IEC 27001 establece un modelo basado en un ciclo de vida PLAN, DO, CHECK, ACT. (Planificar, hacer, verificar actuar) que plasma, precisamente, ese proceso de mejora continua.

La propia norma define este ciclo de la siguiente manera:

· Planificar: creación del SGSI. Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información para obtener resultados acordes con las políticas y objetivos generales de la organización.

- Hacer: implementación y operación del SGSI. Implementar y operar la política, controles, procesos y procedimientos del SGSI.

- Verificar: supervisión y revisión del SGSI. Evaluar y, en su caso, medir el rendimiento del proceso e informar de los resultados a la dirección para su revisión.

- Actuar: mantenimiento y mejora del SGSI. Adoptar las medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI, para lograr la mejora continua del SGSI.

La seguridad de la información no se puede dejar al arbitrio de la suerte y del “nunca pasa nada” porque estamos viendo a diario que siempre acaba pasando algo.

En conclusión, la gestión de la seguridad de la información es un proceso de mejora continua que no se puede dar nunca por concluido puesto que las circunstancias cambian y las amenazas que afectan a la información varían también.

Fuente: http://www.microsoft.com/business/smb/es-es/legal/gestion-seguridad.mspx

©2010 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad

Administración de la memoria

Estimados lectores les dejo un estracto respecto a uno de los mayores inconvenientes que se les presentan a los usuarios, respecto del rendimiento de sus PCs/Notebooks. Esto hacen, en general, los Sistemas Operativos a la hora de administrar la memoria. Iré detallando mas sobre este tema en nuevas publicaciones.

Administración de la Memoria.

La memoria es fundamental para la operación de cualquier computadora moderna. Curiosamente nuestras aplicaciones cada vez necesitan más y más de este recurso, pero ¿por qué? Una respuesta es el tamaño de las aplicaciones, pero recordemos que los sistemas operativos son los encargados de proveer un ambiente donde estas aplicaciones se ejecuten; por lo tanto, para que la idea de administración de procesos sea factible, tenemos que contar con la memoria para cargar nuestros programas, y también serán necesarios mecanismos que optimicen el uso de este recurso esencial.

Los sistemas operativos ofrecen un mecanismo para que el software acceda a la memoria. En el enfoque más sencillo, la memoria entera de la computadora se dedica a los programas. Este enfoque es el más común en sistemas de una sola tarea (solo un programa se ejecuta a la vez). Incluso en este caso, existirán porciones de la memoria designados para ciertos propósitos (variables, áreas para las rutinas del SO, mapeo del hardware, memoria de video, etc.). Con el hardware de soporte para memoria virtual, los sistemas operativos pueden darle a los programas la ilusión de tener la memoria entera para ellos (o incluso dar la ilusión de que hay más memoria de la que en realidad exista, usando el espacio en disco), cuando en realidad el SO está moviendo continuamente programas en la memoria y asignando dinámicamente la memoria cuando se necesita. Para comprender la ejecución de programas, es necesario estudiar el funcionamiento del servicio que hace posible que las instrucciones y datos puedan ser manipulados. La memoria es una colección de elementos (bytes o words), cada uno con su propia dirección. La interacción con la memoria se lleva a cabo por medio de una secuencia de lecturas o escrituras a direcciones específicas.

El CPU intercambia datos de forma intensiva con la memoria. En un ciclo típico de instrucción, por ejemplo, primero se obtiene una instrucción de la memoria; la instrucción es entonces decodificada y puede causar que los operandos sean traídos de la memoria. Después de ejecutar la instrucción sobre los operandos, los resultados pueden ser almacenados en la memoria.

Es importante notar que la unidad de memoria lo único que ve es un conjunto de direcciones de memoria; no sabe como son generadas (el apuntador a instrucción, indexado, etc.) o para que se van a usar (instrucciones o datos). De acuerdo a esto, podemos ignorar como un programa genera una dirección de memoria, y solo interesarnos por las secuencias de direcciones de memoria generadas por el programa en ejecución.

Asignación de direcciones

Para referenciar una parte especifica de la memoria, se necesita la ubicación de dicha parte de memoria. Esto es lo que se conoce como direcciones físicas.
En los programas, las ubicaciones de memoria a las que se hace referencia son llamadas direcciones lógicas, porque una dirección especificada por un programa puede o no ser la dirección física correcta.

Básicamente hay tres formas diferentes de que las direcciones lógicas sean mapeadas a direcciones físicas, lo cual es llamado ligado de direcciones (address binding). Estás técnicas de ligado dependen de los métodos de administración de memoria que el SO de la computadora use y el hardware disponible:

1. Ligado de direcciones a tiempo de compilación. Cuando al compilar se conoce la dirección absoluta, el compilador escribe la imagen exacta del código que se cargará en la memoria. Esta técnica genera código absoluto, es decir, que las direcciones están previamente en su lugar, y cuando el programa es ejecutado, las ubicaciones lógicas 000 - 999 de hecho corresponden a las direcciones físicas 000 - 999. Por ejemplo, consideremos un sistema simple donde el SO reside en las direcciones físicas 000 - 500, por lo que cualquier programa tendría que comenzar en la dirección 501. Un programa que tiene el espacio de direcciones lógicas 000 - 999 podría ser modificado para que sus direcciones lógicas correspondan con las direcciones físicas 501 - 1500. Si el programa se compiló para una dirección específica, pero tiene que ser cargado en una dirección diferente de arranque, entonces el programa tendrá que ser recompilado. Los sistemas modernos no usan este método por no ser flexible.

2. Ligado de direcciones a tiempo de carga. Si la dirección de inicio del programa no se conoce a tiempo de compilación, entonces el compilador generará código relocalizable. A tiempo de carga, cuando el sistema conoce el lugar donde se colocará el programa, el ligado de tiempo de carga podrá mapear las direcciones lógicas del programa (p.ej. 000-999) a las direcciones físicas correspondientes (p.ej. 501-1500 o 1000-1999), dependiendo de la situación de la carga
(DOS trabaja de esta forma).

3. Ligado de direcciones a tiempo de ejecución. Si la dirección de inicio de un programa va a ser alterada durante su ejecución, entonces el ligado deberá ser postergado hasta el momento en que se ejecute. Las direcciones físicas son generadas durante la ejecución agregando el valor de las direcciones lógicas a un registro de desplazamiento (offset register). De nuevo, suponiendo que las direcciones lógicas del programa son 000-999, puede asignarse el valor de
501 al registro de desplazamiento para hacer referencia a las direcciones físicas 501-1500. Así, cuando la dirección base del programa se cambia de 501 a 2001, el valor del desplazamiento se cambia de 501 a 2001. Este técnica se usa si el sistema operativo usa swapping (pasar procesos a disco para hacer espacio en la memoria), lo que ocasiona que un proceso sea cambiado de posición durante su ejecución. En este caso se usa hardware especial para mejorar el rendimiento.

El programa de usuario sólo ve direcciones lógicas; es la unidad de administración de memoria (MMU) quien se encarga de traducirlas transparentemente a direcciones físicas. La gracia es que el compilador puede generar código absoluto, pensando que el programa se va a cargar siempre en la posición 0, y en realidad el ligado de direcciones se hace a tiempo de ejecución.
La unidad de administración de memoria (MMU) La unidad de administración de memoria (MMU) es un dispositivo de hardware que traduce direcciones virtuales en direcciones físicas. Típicamente la MMU es parte del CPU, aunque en algunos sistemas es una parte independiente.

Las direcciones generadas por el CPU, después de cualquier indexación u operación realizada por los modos de direccionamiento, es llamada dirección virtual, y la dirección transformada por la MMU es llamada dirección física.

La MMU incluye una pequeña cantidad de memoria que contiene una tabla que relaciona las direcciones virtuales y las direcciones físicas; esta tabla es llamada TLB (Translation Lookaside Buffer). Todas las peticiones de datos son enviadas a la MMU, la cual determina si los datos están en la RAM o es necesario extraerlos de un medio de almacenamiento secundario. Si los datos no están en memoria, la MMU genera una interrupción de fallo de página (page fault interrupt).

La MMU soporta el manejo de esquemas de memoria virtual como alojamiento continuo, paginación, segmentación y segmentación con paginación.

Fuente: "Diseño y Simulación de Sistemas Operativos". EUGENIO JACOBO HERNÁNDEZ VALDELAMAR.

Contacto

Nelson Ressio

· Edad: 39 · Sexo: Hombre · Sector: Tecnología · Profesión: Programador de Sistemas · Ubicación: Concordia : Entre Ríos : Argentina · Clip de audio

Datos personales

Programador de Sistemas Dedicado a la realización de Software de Gestión Empresarial desde hace mas de 20 años.
eMail: nelson.ressio@gmail.com

Intereses

· Informática · Programación · Matemática · Estadística y Probabilidades · Aplicaciones de Gestión · Empresa · Control de Gestión · Redes de datos · sistemas operativos por dentro · Creación de música Techno

Películas favoritas

· Saga Stars Wars · Star Trek · Terminator 1, 2 y 3 · Día de la Independencia · Contacto · MIB · Animaciones Pixar · DreamWorks · etc.

Música favorita

· Techno/Rave/Dance/Hip Hop/Rap y clásica (Beethoven · Mozart · Vivaldi · etc. · etc.).

Libros favoritos

· Cualquiera relativo al àrea de TI y al desarrollo de software.

Mis Sitios:

TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES EL MUNDO DE LA MUSICA ELECTRONICA - DJ QUBIT

Sitios que sigo:

Barrapunto BBCMundo.com Ciencia y Tecnología http://ciencia.nasa.gov/ Clarin.com Ultimo Momento EL MUNDO DE LA MUSICA ELECTRONICA - DJ QUBIT Engadget en español FayerWayer Genciencia Gizmodo ES Musica electronica - Honduras Noticias Evaluamos.com Tendencias 21 Yahoo! Noticias: Tecnologia

Términos de uso y privacidad, contacto

1. Información legal:

Todas las páginas webs y blogs publicados por Nelson Ressio, email: nelson.ressio@gmail.com, a partir de este punto el autor, cumplen y aplican los presentes términos de uso y privacidad.

2. Condiciones de acceso y utilización:

El contenido de los blogs y páginas webs del autor corresponde a opiniones personales y hace uso de su libertad de expresión junto con informaciones de otras fuentes las cuales son nombradas debidamente en cada publicación. No constituyen normas que puedan sustituir a las diferentes actividades profesionales, es propiedad intelectual del mismo. El autor no asume ninguna responsabilidad derivada del uso incorrecto, inapropiado o ilícito de la información aparecida en sus blogs y páginas web. En cuanto a los contenidos de los enlaces que contienen dichos blogs y páginas web, el autor no asume responsabilidades de ningún tipo ... Ningún material de descarga presentado en el sitio está alojado en Blogger. Los enlaces remiten a páginas externas a Blogger donde se alojan los materiales de forma gratuita y sin ánimo de lucro y al sólo y único fin de difundir la información … este sitio y su administrador no se hacen responsables del mal uso o fraudulento de la información presentada …

2.1 Publicación de comentarios:

El autor moderará los comentarios y no asume ninguna responsabilidad en cuanto al contenido de los mismos. En todo caso, el usuario que publique un comentario será el único responsable de las manifestaciones falsas o inexactas que realice y de los perjuicios que cause al autor o a terceros por la información que facilite. Los usuarios que deseen publicar comentarios en los blogs del autor deben disponer de una cuenta en alguno de los siguientes servicios web: Google, OpenID, ...... Los datos personales facilitados a la hora de crear dicha cuenta son gestionados por estos servicios web y dicha gestión es totalmente independiente de la gestión de los blogs realizada por el autor. El autor no asume ninguna responsabilidad en cuanto al uso que hagan estos servicios web de dichos datos. Las páginas webs del autor no admiten la publicación de ningún tipo de contenido (Post) por parte de los usuarios.

2.2 Obligación de hacer un uso correcto de los contenidos:

Los usuarios se comprometen a abstenerse de reproducir, copiar o distribuir los contenidos de los blogs y páginas web del autor. No obstante, quedan autorizados a hacer mención de los mismos enlazando la URL donde los encontraron. El usuario deberá abstenerse de obtener e incluso de intentar obtener los contenidos empleando para ello medios o procedimientos distintos de los que, según los casos, se hayan puesto a su disposición a este efecto o se hayan indicado a este efecto en las páginas web donde se encuentren los contenidos o, en general, de los que se empleen habitualmente en Internet a este efecto siempre que no entrañen un riesgo de daño o inutilización de los servicios y/o de los contenidos.

3. Subscripción vía email:

Algunos blogs del autor permiten recibir los artículos publicados en el correo electrónico de los usuarios subscritos a dicho servicio. Esta funcionalidad es gestionada por FeedBurner Inc. y está sujeta a los términos de servicio y privacidad indicados por dicha compañía en el momento de la subscripción. El envío de los artículos se realiza después de que los usuarios hayan facilitado su correo electrónico y autorizado el envío de los mismos. En ningún caso el autor hará un uso indebido de dichos correos electrónicos.

4. Uso de cookies y web beacons:

El acceso a los blogs y páginas web del autor puede implicar la utilización de cookies y web beacons. Las cookies son pequeñas cantidades de información que se almacenan en el navegador utilizado por cada usuario para que el servidor recuerde cierta información que posteriormente únicamente el servidor que la implementó leerá. Las cookies tienen, generalmente, una duración limitada en el tiempo. Los web beacons o web bugs son gráficos que se insertan en los blogs o páginas web para controlar quien los lee. Ninguna cookie o web beacon permite que pueda contactarse con el número de teléfono del usuario, su dirección de correo electrónico o con cualquier otro medio de contacto. Ninguna cookie o web beacon puede extraer información del disco duro del usuario o robar información personal. La única manera de que la información privada de un usuario forme parte del archivo cookie es que el usuario dé personalmente esa información al servidor. Aquellos usuarios que deseen bloquear o restringir las cookies, o que quieran ser preguntados antes de su generación, pueden configurar su navegador a tal efecto.

6. Vigencia:

Se podrán modificar los términos y condiciones aquí estipulados, total o parcialmente, publicando cualquier cambio en la misma forma en que aparecen estas condiciones generales. La vigencia temporal de estas condiciones generales coincide, por lo tanto, con el tiempo de su exposición, hasta que sean modificadas total o parcialmente, momento en el cual pasarán a tener vigencia las condiciones generales modificadas.

7. Legislación aplicable y competencia jurisdiccional:

Todas las controversias o reclamaciones surgidas de la interpretación o ejecución de los presentes términos de uso y privacidad se regirán por la legislación Argentina, y se someterán a la jurisdicción de los Juzgados y Tribunales que correspondan.

¿Que es la autenticación fuerte?

¿Alguna vez escuchó hablar de la autenticación fuerte?

Muchas personas asimilan ese concepto de autenticación con el de dispositivos OTP (One Time Password), también conocidos como tokens.

El token es un dispositivo electrónico que genera para sus usuarios una secuencia aleatoria de números cuya validez dura sólo unos segundos.

Combinada con un PIN (Personal Identification Number), que debe memorizarse, esta secuencia de números compone la contraseña del usuario.

La autenticación es una manera de asegurar que la persona que se está identificando en un sistema es realmente quien dice ser. Es decir, es un modo de comprobar su identidad.

Todos los días, cuando usted llega a su trabajo y enciende la computadora, probablemente vea una pantalla de autenticación que le solicita su nombre de usuario (su identificación) y su contraseña (autenticación del usuario) para que tenga acceso a los recursos de la red. Y este es el sistema de autenticación de su empresa, que se basa en algo que "usted sabe": la contraseña.

Un sistema de autenticación puede basarse en tres factores básicos:

1. Algo que la persona sabe: contraseña, PIN, número de un documento personal, nombre de algún pariente, etc.

2. Algo que la persona posee: credencial, tarjeta magnética, token, etc.

3. Algo que la persona es: impresión digital, reconocimiento facial, voz, iris, retina, etc.

Se habla de autenticación fuerte cuando un sistema de autenticación utiliza por lo menos dos de los tres factores citados arriba. De este modo, si uno de los factores se ve comprometido, todavía existe un segundo factor que garantiza la seguridad.

Los tokens son conocidos como dispositivos que proveen autenticación fuerte, dado que por más que el usuario pierda el dispositivo, si otra persona se apodera del token extraviado, todavía necesita conocer el PIN para poder autenticarse.

Si bien los dispositivos de OTP permiten la autenticación fuerte, hay muchos otros sistemas que utilizan esta técnica para garantizar la seguridad de sus usuarios. Por ejemplo, cuando usted va a un cajero electrónico para retirar dinero, se le solicita que inserte su tarjeta magnética (algo que usted tiene) y que ingrese su contraseña (algo que usted sabe).

Por esta razón, es necesario ser muy cuidadoso con los sistemas que no proveen autenticación fuerte (credencial de entrada al edificio, login de acceso a la red, contraseña en sitios de Internet, entre otros.), ya que en caso de ser comprometidos, cualquier persona podrá hacerse pasar por usted instantáneamente. Y nunca desatienda ninguno de los dos factores en sistemas que proveen autenticación fuerte, porque es la única manera de garantizar un poco más de seguridad a su identidad.

Fuente:

Walber Alexandre de Castro
Consultor de Seguridad de la información
CISSP – CCNA – ITIL - JNSS.SA – LPI - Security Officer
Global Crossing Brasil – Datacenter & Security