9.3.1.a
¿Los usuarios siguen buenas prácticas de seguridad en la selección y uso de contraseñas, cumpliendo las siguientes directivas?: - Mantener las contraseñas en secreto. - Pedir el cambio de la contraseña siempre que exista un posible indicio de compromiso del sistema o de las contraseñas. - Seleccionar contraseñas de calidad, de acuerdo a las prescripciones informadas por el Responsable del Activo de Información de que se trate. - Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseñas. - Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”). - Evitar incluir contraseñas en los procesos automatizados de inicio de sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro. - Notificar de acuerdo a lo establecido en capítulo 13 (Gestión de Incidentes de Seguridad), cualquier incidente de seguridad relacionado con sus contraseñas: pérdida, robo o indicio de pérdida de confidencialidad.
Requerimientos inciales:
- Disposición de un encargado que pueda brindar y elaborar informes sobre la información solicitada por el auditor, relacionada con los registros y bases de datos que contienen datos sobre las cuentas de usuario del sistema.
- Acceso al sistema para realizar un registro de una nueva cuenta
- Acceso al medio de comunicación utilizado para reportar un incidente de seguridad relacionado con las contraseañs
- Disposición de un encargado que pueda brindar y elaborar informes sobre la información solicitada por el auditor, relacionada con los registros y bases de datos que contienen datos sobre las cuentas de usuario del sistema.
- Acceso al sistema para realizar un registro de una nueva cuenta
- Acceso al medio de comunicación utilizado para reportar un incidente de seguridad relacionado con las contraseañs
Proc. sustantivo:
Realizar un procedimiento de registro y autenticación donde se verifique:
- Que el sistema pida el cambio de contraseña luego de la primera autenticación
- Que se realize un efectivo cambio de contraseña
- Que se exija cierto nivel de complejidad en la contraseña
- Que no permita cambiar a una contraseña utilzada anteriormente
Proc. cumplimiento 1:
Revisar un informe donde se realize un analisis de que no existan comportamientos extraños de los usuarios relacionados con las contraseñas.
Se analizarían datos como:
- cantidad de cambios de contraseña por usuario
- cantidad de dispositivos desde los que se autenticas los usuarios
- cantidad de tiempo promedio que transcurre un usuario con la misma contraseña en el sistema
Proc. cumplimiento 2:
Revision de la existencia de un documento, panfleto o mensaje que se envia a los usuarios para su concientización respecto
a las buenas practicas relacionadas a las contraseñas.
Realizar un procedimiento de registro y autenticación donde se verifique:
- Que el sistema pida el cambio de contraseña luego de la primera autenticación
- Que se realize un efectivo cambio de contraseña
- Que se exija cierto nivel de complejidad en la contraseña
- Que no permita cambiar a una contraseña utilzada anteriormente
Proc. cumplimiento 1:
Revisar un informe donde se realize un analisis de que no existan comportamientos extraños de los usuarios relacionados con las contraseñas.
Se analizarían datos como:
- cantidad de cambios de contraseña por usuario
- cantidad de dispositivos desde los que se autenticas los usuarios
- cantidad de tiempo promedio que transcurre un usuario con la misma contraseña en el sistema
Proc. cumplimiento 2:
Revision de la existencia de un documento, panfleto o mensaje que se envia a los usuarios para su concientización respecto
a las buenas practicas relacionadas a las contraseñas.
Proceso sustantivo.
Incumplimiento: el sistema no pide el cambio de contraseña luego de la primera autenticación, por lo que existe un incumplimiento parcial.
Impacto estimado: alto, debido al alto riesgo de que la contraseña por defecto sea común y un atacante malicioso tome ventaja de la situación.
Proceso de cumplimiento.
Incumplimiento: no se ha identificado ningún documento, panfleto o mensaje que se envíe a los usuarios para su concientización respecto a las buenas prácticas relacionadas a las contraseñas, siendo el incumplimiento total.
Impacto estimado: alto, debido a que puede ocasionar comportamientos inseguros por parte de los usuarios, como el uso de contraseñas débiles o su compartimiento.
Incumplimiento: el sistema no pide el cambio de contraseña luego de la primera autenticación, por lo que existe un incumplimiento parcial.
Impacto estimado: alto, debido al alto riesgo de que la contraseña por defecto sea común y un atacante malicioso tome ventaja de la situación.
Proceso de cumplimiento.
Incumplimiento: no se ha identificado ningún documento, panfleto o mensaje que se envíe a los usuarios para su concientización respecto a las buenas prácticas relacionadas a las contraseñas, siendo el incumplimiento total.
Impacto estimado: alto, debido a que puede ocasionar comportamientos inseguros por parte de los usuarios, como el uso de contraseñas débiles o su compartimiento.