Capacidad de OI: Proceso de seguridad: del nivel racionalizado al dinámico
En esta página
.gif){kind=icon}
Introducción
Requisito: Autenticación de usuario avanzada de dos factores
Introducción
El proceso de seguridad es un elemento clave de la optimización de infraestructura. La seguridad debe formar parte de los criterios de diseño de todos los procedimientos y tecnologías destacados por el modelo de optimización de infraestructura. La siguiente tabla enumera los desafíos de alto nivel, las soluciones aplicables y las ventajas de adoptar el nivel dinámico en el proceso de seguridad.
Desafíos |
Soluciones |
Ventajas |
|---|---|---|
Desafíos para la empresa Falta de cumplimiento normativo para la seguridad de los datos Desafíos de TI Falta de análisis de costos/beneficios Los datos críticos pueden estar en situación de riesgo, a pesar de la autenticación en dos fases No hay una manera formalizada de evaluar y mejorar los servicios |
Proyectos Autenticación de usuario avanzada de dos factores Programas de mejora continua para todos los procesos de seguridad |
Ventajas empresariales La mejora de la seguridad de la información y la protección de identidades ayuda a proteger el negocio frente a amenazas, indistintamente del dispositivo Ventajas de TI Las operaciones de TI proactivas resuelven los problemas antes para evitar reducir la productividad del usuario |
El nivel racionalizado de optimización requiere que la mayoría de las medidas de seguridad necesarias estén en vigor antes de pasar al nivel dinámico. En el nivel dinámico, todos los procesos de seguridad deben seguir la pauta del proceso de administración basado en ITIL/COBIT y participar en programas de mejora continua.
Requisito: Autenticación de usuario avanzada de dos factores
Destinatarios
Debe leer esta sección si no ha implementado planes de directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos.
Introducción
La mayor parte de las organizaciones sabe que es muy importante proteger sus datos y recursos de la pérdida o el daño por robo, error humano o informático, ataque malintencionado o cualquier otra clase de incidencia. Puede llevar a cabo acciones específicas para limitar la posibilidad de pérdidas o daños potenciales. Asimismo, puede establecer directivas y procedimientos para responder y reducir los efectos de la pérdida o daños a su entorno de TI. El nivel dinámico de esta guía se aparta un poco de la autoevaluación en línea de la optimización de infraestructura principal y se centra en la autenticación de usuarios avanzada en dos fases.
En el nivel racionalizado, introdujimos el concepto de autenticación en dos fases y en el nivel dinámico aumentamos la complejidad de la autenticación en dos fases al requerir capacidades avanzadas para tener acceso a datos altamente confidenciales, como el examen biométrico.
Fase 1: Evaluación
La fase de evaluación debe determinar las necesidades de seguridad apropiadas para la organización e identificar de qué procesos y tecnologías de autenticación se dispone actualmente. Los requisitos de seguridad pueden variar mucho de una compañía a otra o de una institución a otra según, por ejemplo, el tamaño, el sector o campo y las leyes o normas regionales. La recopilación de los requisitos de su organización le permitirá definir un proceso de seguridad apropiado.
Fase 2: Identificación
Durante la fase de identificación, examinará las herramientas y los procedimientos de que dispone actualmente en la organización y determinará cuáles son los requisitos de seguridad para la organización. Durante esta fase, recopilará las directivas de autenticación que actualmente están implícitas o aplicadas, además de los componentes de tecnología que ya están en uso o a su disposición. Asimismo, recopilará cualquier requisito externo basado en leyes o normas de su región o sector.
Fase 3: Evaluación y planeación
La fase de evaluación y planeación para el cambio al nivel dinámico de optimización requiere una autenticación firme mediante la autenticación avanzada en dos fases para obtener acceso a datos altamente confidenciales de la organización, como la incorporación de exámenes biométricos.
Autenticación avanzada en dos fases
Los controles de seguridad basados en claves secretas individuales, como las contraseñas, pueden resultar eficaces. Una contraseña larga, compuesta de más de 10 caracteres, en la que se alternen letras, números y signos especiales puede resultar muy difícil de descifrar.
Los sistemas de autenticación avanzados en dos fases superan los problemas de la autenticación asociados a una sola clave solicitando un segundo dato secreto. En la autenticación avanzada en dos fases se usa una combinación de dos de los tres elementos siguientes:
Biometría, como exámenes de retina o huellas dactilares o
Algo que el usuario sabe, como un número de identificación personal (NIP) o
Algo que posee el usuario, como un token de hardware o una tarjeta inteligente.
La biometría puede ser un mecanismo excelente de autenticación. Algunos ejemplos de mediciones biométricas incluyen exámenes de retina, exámenes de características faciales, huellas de la región dígito palmar, huellas dactilares y reconocimiento de voz. Con la biometría, los usuarios tendrán o no que indicar sus identificadores de usuario, pero su autenticación es clara gracias a unas características que sólo ellos poseen. Las organizaciones pueden incorporar un nivel de seguridad adicional con la implementación de la biometría para una autenticación firme. Para obtener información detallada acerca de la autenticación en dos fases, vaya a https://www.microsoft.com/technet/security/guidance/networksecurity/securesmartcards/default.mspx.
Fase 4: Implementación
En la fase de implementación se implementan las mejoras de los procesos de seguridad evaluadas y aprobadas. Es importante llevar a cabo pruebas de funcionalidad, ya que forman parte del refuerzo de la directiva de seguridad y de los simulacros de incendio periódicos para asegurarse de que los procesos de los datos son eficaces.
Más información
Para obtener más información acerca del desarrollo de operaciones de seguridad y estándares de procesos, vaya al portal de orientación de seguridad de Microsoft TechNet en https://www.microsoft.com/technet/security/guidance.
Punto de control: Autenticación de usuario avanzada de dos factores
|
Requisito |
|---|---|
Desarrollo e implementación de una identidad de dos factores avanzada y de directivas de administración de acceso para datos confidenciales. |
.gif)
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel dinámico para la autenticación avanzada en dos fases.
Le recomendamos que siga, además, los procedimientos recomendados adicionales para los procesos de seguridad tratados en el Centro de seguridad Microsoft TechNet.
Ir a la siguiente pregunta de autoevaluación.