sábado, 19 de febrero de 2011

LA IMPORTANCIA DE LAS CONTRASEÑAS.

El mundo en el que vivimos es cada vez más complejo y cada vez más dependiente de la tecnología, vamos a ver un ejemplo de como afecta la seguridad o la falta de ella a nuestra vida cotidiana a través de la actuación de los que nos tienen que proteger.


El sistema SIGO de la Guardia Civil


SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema en funcionamiento desde 2005 tiene como función fusionar toda la ‘información de interés policial’ en un solo punto, integrado con otros sistemas de función operativa del mismo cuerpo, como la base de datos INTPOL y otras aplicaciones policiales (SAEX, SAID, bases de datos de ADN,…). Este sistema permite desde hace 5 años un mejor funcionamiento de la Benemérita.



LAS VENTAJAS DEL DATO ÚNICO

"Las ventajas del dato único se aprecian mejor con un ejemplo, en el que las palabras subrayadas serían módulos de SIGO: los datos sobre un hecho delictivo que haya ocurrido y sus entidades relacionadas (personas, vehículos, objetos...), recogidos a través de una denuncia o grabando el hecho, se emplearán para enviar la novedad a los destinatarios ya predefinidos para ese tipo de hecho, para crear el señalamiento, en su caso, y para realizar las distintas diligencias del atestado (expedientes). Estos datos, una vez introducidos, serán accesibles desde consultas y por último, serán trasvasados diariamente a SAEX para que sirvan y computen a efectos estadísticos"
Fuente: guardiacivil.org


Contraseñas


Existen contraseñas (passwords, claves, palabras de paso) de diferente tipo, seguras (alfanuméricas con mayúsculas/minúsculas y caracteres especiales), inseguras (solo minúsculas), buenas (>8 caracteres), de longitud justa (=8 caracteres), malas (<8 caracteres), temporales (tokens), pin (4 números/3 intentos)… Pero si algo tienen normalmente en común es que son personales.

La función de las mismas son las famosas AAA: Autenticación, Autorización y Contabilidad (Accounting). Básicamente, la de controlar que solo aquellas personas que tienen esa contraseña puedan acceder a la información o sistema/s que protege, aparte sirve para asegurar una contabilidad de las acciones que hacen los autorizados, así te haces además responsable de un posible mal uso de esos accesos o información conseguida. Si no tienes tu contraseña no tienes permiso de acceso, si lo deseas, pide una mediante el proceso adecuado.


Las buenas prácticas


En lo que ha contraseñas se refiere, yo, como todo el mundo, recomiendo, que sean de más de 8 caracteres alfanuméricos con minúsculas, mayúsculas, números y caracteres especiales, se han de cambiar cada cierto tiempo, este depende de la importancia de lo que protege la contraseña, puede ser de un solo uso, de una semana o no cambiarla en un año y no repetir contraseñas importantes en diferentes sistemas. Personalmente, añado a estas recomendaciones que las claves que usemos han de tener algún significado para nosotros, así evitamos olvidos o tener que apuntarlas en un papel o fichero claves.txt protegido con una clave más débil, que al final sería la que importa. ¡Ojo! Que ese significado no sea evidente, tengamos algo de cordura… Y como última recomendación es que son personales e intransferibles.

La Guardia Civil, gestiona el acceso al sistema SIGO mediante el uso de tarjetas inteligentes personales…



Las consecuencias 


Hace poco, en un periódico y en diversos foros, se publicó una noticia que une los anteriores tres puntos. Dos agentes de la Guardia Civil fueron cesados por seguir las buenas prácticas antes nombradas al no ceder sus contraseñas del sistema SIGO a militares pertenecientes al Ejército de Tierra. Los agentes estaban destinados en el Mando de Adiestramiento y Doctrina (MADOC) del Ejército de Tierra.


"Sus labores estaban enmarcadas en el CESEGET, el Centro de Seguridad del Ejército de Tierra, órgano responsable de la dirección de las actividades relativas a la seguridad de las Unidades, Centros y Organismos de Tierra. Una unidad formada por guardias civiles y suboficiales y tropa del Ejército.
Según ha podido saber El Confidencial Digital de fuentes militares, el Ejército de Tierra transmitió a la Dirección General de la Guardia Civil que el motivo de este cese en destino era la “pérdida de confianza” en ambos agentes por parte del mando del CESEGET, sin especificar -más detalles. 
……………………
En 2009, otros dos guardias civiles fueron cesados por el mismo motivo, y otros tres agentes de una Subinspección General estuvieron a punto de correr el mismo destino. Un mando de alta graduación intercedió por ellos y finalmente mantuvieron su puesto.

En otra ocasión, según el relato de las fuentes consultadas, un agente de la Guardia Civil y un cabo 1º del Ejército estuvieron “a punto de llegar a las manos” por este motivo. El hecho ocurrió en Madrid, y fue necesaria la intervención de un mando de la Benemérita para evitar males mayores."
Fuente: El Confidencial Digital


Ante todo, avisar que de lo que sale en la prensa, radicalmente, no me creo la mitad y de la otra mitad dudo un cincuenta por ciento. Pero la noticia es importante, por varios motivos, el primero bien por esos agentes que protegían una base de datos importante para la seguridad del Estado, el segundo mal por los mandos del ejército de tierra, si sus soldados necesitan acceso a esa base de datos establezcan los protocolos necesarios para que cada uno tenga su propia contraseña y nivel de acceso, si no la necesitan, espero que si la historia es como se escribe sean, al menos, aleccionados de lo que es la seguridad de la información, de los datos personales, de datos importantes para la seguridad nacional y de por qué una contraseña no puede ser cedida.

Desde este blog, y a título personal, mi apoyo a esos dos guardias que cumplieron debidamente con su deber. Con una Guardia Civil así, estamos algo mejor en un panorama de ciberguerra. Con unos militares que intentan conseguir una contraseña de una base de datos importante como sea... Bueno... Hay quien diría que también estamos algo mejor.
Fuente: areópago21.

No hay comentarios: