Estándar de seguridad de autenticación

Fecha de publicación original: 2 de enero de 2019

Descripción general

Esta Norma establece los requisitos mínimos relacionados con la Autenticación para los sistemas y aplicaciones de Tecnologías de la Información de las Agencias Participantes.

Objetivo

El Estado de Iowa mantiene diversos datos e información en sus sistemas informáticos, incluyendo, entre otros, información confidencial, información de identificación personal y otra información sensible o regulada. Para proteger estos datos, información y sistemas, es necesario autenticar adecuadamente a las personas antes de otorgarles acceso a dichos sistemas y aplicaciones. Esto garantiza que dichas personas sean las personas autorizadas para acceder a los sistemas y aplicaciones estatales, así como a los datos e información almacenados, procesados y a los que se accede a través de ellos.

Alcance/Aplicación

Esta Norma se aplica a todas las Agencias Participantes y a todo su Personal Estatal. Se recomienda a las Agencias No Participantes que sigan esta Norma y otros Documentos de Gobernanza de TI Empresarial. Esta Norma se considerará adoptada por todas las Agencias Participantes. Las Agencias Participantes podrán adoptar Documentos de Gobernanza que complementen, pero no reduzcan, esta Norma. En caso de conflicto o inconsistencia entre esta Norma y un Documento de Gobernanza adoptado por una Agencia Participante, prevalecerá esta Norma.

Definiciones

Los términos en mayúsculas no definidos en este documento tendrán el mismo significado que el término correspondiente definido en las siguientes fuentes, con sus modificaciones periódicas, en el siguiente orden de prioridad: Capítulo 8B del Código de Iowa, Capítulo 129 del Código Administrativo de Iowa y la Taxonomía de Documentos de Gobernanza de Tecnologías de la Información («Taxonomía»). Además de cualquier otro término definido específicamente en otras secciones de esta Norma, algunos términos utilizados en esta Norma se definen como sigue:

• “Cuenta(s) de administrador” significa una cuenta con privilegios completos o elevados en una computadora, dispositivo, sistema o aplicación.
• “Autenticación” significa el proceso de establecer confianza en la identidad de los usuarios de los sistemas de información a través de uno de los siguientes métodos:
  • Algo que el usuario sabe (por ejemplo, la contraseña);
  • Algo que el usuario tiene (por ejemplo, teléfono); o
  • Algo que el usuario es (por ejemplo, huella digital).
    Denominados colectivamente “Métodos”.
• "Certificado(s) Digital(es)" se refiere a un token de software que contiene los controles de seguridad de la organización de clave privada del usuario. Cualquier intercambio a través de internet se considera remoto.
• “Autenticación multifactor” significa autenticación que utiliza dos o más métodos, por ejemplo, la autenticación de dos factores de Google.
• «Remoto» se refiere a un intercambio de información entre dispositivos conectados a la red donde los controles de seguridad de una sola organización no pueden proteger la información de forma fiable de extremo a extremo. Cualquier intercambio a través de internet se considera remoto.
• “Cuenta(s) del sistema” significa una cuenta que permite la conexión directa de dos o más sistemas de TI o aplicaciones con el fin de compartir datos y otros recursos de información.
• “Cuenta(s) de usuario” significa una cuenta con privilegios limitados para una computadora, dispositivo, sistema o aplicación.

Elementos

1. Compartir/Mostrar

• Las cuentas de usuario se asignarán a una sola persona, no a un grupo o entidad.
• La información de autenticación, incluidas, entre otras, las contraseñas, no se compartirá con otro personal estatal (incluidos, entre otros, compañeros de trabajo, gerentes o personal de la mesa de ayuda), personal ni ningún otro tercero.
• La información de autenticación, incluidas, entre otras, las contraseñas de las cuentas de usuario, no se mostrará abiertamente, y los sistemas y aplicaciones se configurarán para enmascarar las contraseñas durante el ingreso.

2. Nombres de usuario/contraseñas

• Las contraseñas administrativas e iniciales predeterminadas para todas las computadoras/dispositivos, sistemas y aplicaciones se deben cambiar durante la configuración/uso inicial.
• Los números de seguridad social u otros números de identificación similares no se utilizarán como identificación de usuario o contraseña.
• Las contraseñas deberán ser:
  • Al menos ocho (8) caracteres para cuentas de usuario (excepto para dispositivos móviles, consulte Estándar de seguridad de dispositivos móviles empresariales).
  • Al menos diez (10) caracteres para cuentas con privilegios elevados, como cuentas de administrador o cuentas de sistema.
  • Compuesto por una mezcla de números, letras mayúsculas y minúsculas, con al menos un carácter especial.
• Las contraseñas NO deben ser:
  • Compuesto por una sola instancia de una palabra del diccionario. Se permite la concatenación de varias palabras del diccionario (se recomiendan tres [3] o más).
  • Compuesto o que incluye, total o parcialmente, el nombre de un usuario o un nombre de usuario/inicio de sesión.
  • La misma contraseña utilizada por el usuario en cualquier sistema/aplicación personal (por ejemplo, banca, compras, redes sociales).
  • Se muestra cuando se ingresa.
• Cambios de contraseña.
  • Cambios de contraseña : Las contraseñas deben cambiarse siempre que el usuario tenga una creencia razonable de que su contraseña puede haber sido comprometida.
    Por ejemplo, si:
    • El usuario, ya sea en el ámbito laboral o en su vida personal, ha sido recientemente objeto de un ataque de phishing u otro evento cibernético;
    • El usuario ha perdido un dispositivo, ya sea proporcionado por el Estado o personal, en el que se encontraba almacenada su contraseña u otras contraseñas similares, o que contenían información que de otro modo podría usarse para discernir una contraseña;
    • La contraseña ha sido o es razonable que haya sido robada.
  • Cuentas de sistema y administrador. Las contraseñas de las cuentas de sistema y administrador deben cambiarse al menos cada noventa (90) días.
  • Reutilización. Si se cambia alguna contraseña, la nueva debe ser sustancialmente diferente de las seis (6) contraseñas anteriores utilizadas en relación con esa cuenta.

3. Autenticación multifactor

• Se utilizará la autenticación multifactor para conexiones de red remotas (por ejemplo, VPN o escritorio remoto) y tareas de administrador remoto.
• Se utilizará la autenticación multifactor para todas las cuentas de correo electrónico basadas en la nube en relación con todos los usuarios con un teléfono celular emitido por el Estado.
• La autenticación multifactor incluirá un ID de usuario y una contraseña/PIN más uno o más de los siguientes:
  • Certificado Digital;
  • Token\Tarjeta inteligente;
  • Biometría; o
  • Código de autorización de un solo uso (por ejemplo, códigos preimpresos, códigos enviados por mensaje de texto, Google 2-step, correo electrónico o llamada telefónica).

4. Cifrado

Las contraseñas y la información de recuperación de contraseñas se cifrarán en reposo y en tránsito, tanto dentro como fuera de la Agencia Participante.

5. Intentos de inicio de sesión fallidos

Las cuentas de usuario y de administrador se bloquearán tras cinco (5) intentos de inicio de sesión fallidos consecutivos. Dichas cuentas permanecerán bloqueadas hasta que sean restablecidas por una persona autorizada a través de una cuenta de administrador.

6. Restablecimiento/Recuperación de cuenta

Antes de que un administrador pueda restablecer/recuperar una cuenta/contraseña en nombre de un usuario u otro administrador, el usuario o administrador para quien se busca la recuperación/restablecimiento de la cuenta deberá ser verificado como la persona autorizada para acceder a/usar dicha cuenta.

• Los administradores de cuentas NO solicitarán la siguiente información de verificación:
  • Número de seguro social.
  • Número de identificación del empleado.
  • El apellido de soltera de la madre o respuestas a preguntas personales, como "¿cuál fue tu primer coche?", cuyas respuestas se pueden encontrar fácilmente a través de las redes sociales o la ingeniería social.
• Los administradores de cuentas pueden solicitar y confirmar o implementar los siguientes métodos para verificar la identidad de un usuario. Deben utilizar al menos dos (2) métodos de verificación, incluyendo, a modo de ejemplo:
  • Solicitar al usuario que envíe un mensaje de texto desde un teléfono celular emitido por el Estado proporcionado a ese usuario específico;
  • Solicitar al usuario que realice una llamada desde un teléfono emitido por el Estado y proporcionado a ese usuario específico;
  • Solicitar al usuario que envíe un correo electrónico desde una cuenta de correo electrónico emitida por el Estado y proporcionada a ese usuario específico;
  • Solicitar al usuario que su supervisor/gerente realice cualquiera de las acciones anteriores y a través de dicha comunicación confirmar la identidad del usuario que inicia la solicitud;
  • Solicitar al usuario que proporcione una respuesta a un secreto de búsqueda (algo que el usuario tiene) distribuido previamente al usuario.

7. Entrenamiento

El personal estatal, incluidos, entre otros, directores, funcionarios, empleados, pasantes y miembros de juntas y comisiones, y el personal del proveedor recibirán capacitación sobre concientización en seguridad que cubra contraseñas, ingeniería social/phishing, amenazas de malware e informes de incidentes.

8. Almacenamiento

• Las tarjetas inteligentes y los tokens no se deben almacenar con el ordenador o dispositivo móvil correspondiente al que desbloquean o permiten el acceso.
• Los tokens o tarjetas inteligentes deberán estar protegidos cuando no se utilicen
• A excepción de la información de autenticación de la cuenta de administrador de emergencia en copia impresa, que se almacenará en un área cerrada y segura y restringida a personas autorizadas, la información de autenticación no se escribirá.
• Los usuarios no deberán utilizar la función “recordar contraseña” ni ninguna otra función similar en ningún navegador web ni en ningún otro sistema o aplicación.
• Los usuarios no deberán utilizar ningún “guardián de contraseñas”, “monedero de contraseñas” u otro software o aplicación similar, a menos que dicho software haya sido aprobado previamente por el Departamento de Administración, División de Tecnología de la Información (DoIT) para su uso por parte de las Agencias Participantes.

9. Galletas

Siempre que sea posible, las cookies se configurarán para que caduquen.

10. Deshabilitar cuentas

Las cuentas de usuario y las cuentas de administrador se deshabilitarán cuando:

• El usuario abandona su empleo o se encuentra en licencia administrativa.
• Las cuentas están inactivas durante más de noventa (90) días.

11. Tiempo de espera por inactividad

• Las cuentas de usuario expirarán después de quince (15) minutos de inactividad, lo que requerirá que el usuario vuelva a autenticarse para acceder a la cuenta.
• Las cuentas de administrador expirarán después de cinco (5) minutos de inactividad, lo que requerirá que el usuario vuelva a autenticar su contraseña para acceder a la cuenta.

12. Registro

El registro de los intentos de autenticación, ya sean exitosos o fallidos, se realizará de acuerdo con el Estándar de registro empresarial.

13. Proveedores/Contratistas

Las agencias que utilicen Contratistas o Personal de Proveedores deberán hacer que el cumplimiento de esta Norma sea una obligación contractual de dichos Contratistas o Personal de Proveedores.

Enmienda

Esta Norma se revisará al menos cada dos (2) años y se modificará según sea necesario. Esta Norma podrá modificarse a discreción exclusiva del CIO, considerando las recomendaciones y aportaciones del TLG y sus diversos subcomités.

Aplicación

Esta Norma se aplicará de conformidad con las reglas 11-25.11 y 11-117.11 del Código Administrativo de Iowa y las secciones 8B.21(1)(d), (f) y (h), 8B.23(1), 8B.23(1) y 8B.24(1) del Código de Iowa, según corresponda. Si se detecta una infracción o incumplimiento de esta Norma, la Oficina podrá, a modo de ejemplo:

• Prohibir o limitar de otro modo el uso por parte de una Agencia Participante de los Contratos celebrados por la oficina;
• Remover o excluir al personal estatal de una agencia participante de participar en subcomités de gobernanza de TI, grupos de trabajo o grupos de trabajo establecidos, organizados o administrados por la Oficina;
• Informar sobre dichas violaciones o incumplimientos al departamento de administración, la oficina del gobernador o el auditor del estado;
• Recuperar los honorarios administrativos proporcionales a cualquier aumento de honorarios en que haya incurrido la Oficina u otros organismos participantes como resultado de la violación o el incumplimiento.

Exención/Variación

Las reglas 11—25.11(2) y 11—117.11(3) del Código Administrativo de Iowa, así como el artículo 8B.21(5), del Código de Iowa, prevén exenciones o excepciones a los Documentos de Gobernanza de TI. Las solicitudes de exención o excepción a cualquiera de los requisitos de esta Norma deberán presentarse por escrito a la Oficina, de conformidad con los requisitos de dichos estatutos y reglas, según corresponda.

Resolución de disputas

Si surge una disputa entre la Oficina y una Agencia Participante relacionada con el cumplimiento, la administración o la aplicación de este Documento de Gobernanza de TI, dicha disputa se resolverá según lo dispuesto en la sección 679A.19 del Código de Iowa.