Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
          • OP.AAC.1 Identificación
          • OP.AAC.2 Requisitos de acceso
          • OP.AAC.3 Segregación de funciones y tareas
          • OP.AAC.4 Proceso de gestión de derechos de acceso
          • OP.AAC.5 Mecanismo de autenticación
          • OP.ACC.6 Acceso local
          • OP.ACC.7 Acceso remoto
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.ACC Control de acceso
  • OP.AAC.5 Mecanismo de autenticación

OP.AAC.5 Mecanismo de autenticación

Documentos de referencia​

  • Guías CCN-STIC:
    • Guía CCN-STIC-436 - Herramientas de Análisis de Contraseñas
    • Guía CCN-STIC-490 Dispositivos biométricos de huella dactilar
    • Guía CCN-STIC-807 - Criptología de Empleo en el ENS
    • Guía CCN-STIC-827 - Gestión y uso de dispositivos móviles
  • ISO/IEC 27000
    • 27002:2013:
      • 9.2.4 - Gestión de la información secreta de autenticación de usuarios
      • 9.3.1 - Uso de la información secreta de autenticación
      • 9.4.3 - Sistema de gestión de contraseñas
  • NIST SP 800-53 rev4:
    • [IA-2] Identification and Authentication (Organizational Users)
    • [IA-3] Device Identification and Authentication
    • [IA-5] Authenticator Management
    • [IA-7] Cryptographic Module Authentication
    • [IA-8] Identification and Authentication (Non-Organizational Users)
  • Otras referencias:
    • SANS - CIS Critical Security Controls - Version 6.1
      • CSC.5 - Controlled Use of Administrative Privileges
      • CSC.14 - Controlled Access Based on the Need to Know
    • Password Policy, SANS Institute http://www.sans.org/resources/policies/Password_Policy.pdf

Definiciones​

  • Hash o funciones resumen: La función de hashing criptográfico es una función (matemática) en la cual un algoritmo conocido toma un mensaje de longitud arbitraria como entrada y produce un resultado de longitud fija (generalmente denominado “código hash” o “resumen de mensaje”).
  • Personal Identification Number es un número de identificación personal utilizado en ciertos sistemas, como el teléfono móvil o el cajero automático, para identificarse y obtener acceso al sistema. Es un tipo de contraseña.
  • Tokens: Tarjeta o dispositivo electrónico que utiliza un usuario autorizado para acceder a un sistema informático.

Guía de implantación​

  1. Es el mecanismo que permite validar la identidad de un usuario. Es crítico por cuanto la identificación del usuario es, en general, fácilmente accesible.

  2. Típicamente los mecanismos de autenticación recurren:

  • a algo que se conoce (un secreto, por ejemplo, una contraseña)
  • a algo que se tiene (un objeto, por ejemplo, una tarjeta o una llave)
  • a algo que es propio del usuario (características biométricas)
  1. A veces estos mecanismos se emplean por pares para dificultar la falsificación y ganar tiempo frente a la pérdida de alguno de los mecanismos. Como, por ejemplo:
  • una tarjeta + un PIN
  • una tarjeta + una característica biométrica
  • una característica biométrica + una contraseña
  1. Cada mecanismo tiene sus puntos débiles que deben atajarse por medio de normativa y procedimientos que regulen su uso, periodo de validez y gestión de incidencias tales como la pérdida por parte del usuario legítimo.
Factor de autenticaciónEjemplosBajoMedioAlto
Algo que se sabeContraseñas, claves concertadas, PINokcon cautelacon cautela
Algo que se tieneTokens, tarjetasokokcriptográficos
Algo que se esBiometríaokokok
Mecanismos de autenticación según nivel de dimensiones de seguridad

  1. Las credenciales deberán activarse una vez estén bajo control efectivo del usuario (por ejemplo, contraseña temporal de un solo uso) y serán única y exclusivamente para dicho usuario, prohibiéndose su divulgación o uso compartido. Es decir, el usuario deberá reconocer que ha recibido las credenciales y que conoce y acepta las obligaciones que implica su tenencia, en particular, el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.

  2. Las credenciales caducarán con una periodicidad marcada por la política de la organización, aunque la entidad (persona, equipo o proceso) haga uso habitual de ellas.

  3. Las credenciales se retirarán y serán inhabilitadas cuando la entidad (persona, equipo o proceso) que autentican:

  • Termina su relación con el sistema
  • Tras un periodo definido de no utilización
  1. Además, debe contemplarse la posibilidad de que las aplicaciones y otros elementos tecnológicos de seguridad de los que se haga uso, sobre todo si se usan productos comerciales, no tengan la capacidad para permitir una adecuada configuración de los mecanismos de autenticación atendiendo al Esquema Nacional de Seguridad y a la categoría del sistema. Por ello deberán tenerse en cuenta las siguientes opciones:
  • Adquirir productos con la capacidad de cumplir los requisitos exigidos.
  • Disponer de otros elementos o medidas previas que suplan las carencias de los productos comerciales (por ejemplo, autenticación contra LDAP o Directorio Activo, máquinas de salto para autenticar en elementos de seguridad con configuración limitada, etc.).
  • Reemplazar las medidas de seguridad por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos y sea aprobado formalmente por el Responsable de la Seguridad, tal como se indica en el Artículo 27 del Real Decreto 3/2010, de 8 de Enero.

Contraseñas (secretos compartidos en general)​

  1. Características:
  • se pueden olvidar
  • a veces los usuarios las escriben abriendo una oportunidad al conocimiento por robo
  • si el número de posibilidades es reducido y el mecanismo de validación permite probar rápidamente, un atacante puede descubrir el secreto a base de pruebas
  • nótese que la revelación de un secreto puede producirse sin el conocimiento de la parte afectada por lo que el ladrón dispone de una amplia ventana de tiempo para actuar maximizando sus oportunidades
  • la principal ventaja es que son baratas de implantar y fáciles de reemplazar en caso de pérdida

  1. Se debe concienciar a los usuarios de los riesgos del uso de contraseñas e instruirles en cómo generarlas y custodiarlas.

  2. La expresión “con cautela” empleada más arriba indica que debemos establecer una política rigurosa de empleo de contraseñas como mecanismo de autenticación. Una política incluye los siguientes elementos:

  • La Política de contraseñas debe formalizarse en normativa [org.2] y procedimientos operativos de seguridad [org.3].
  • Debe diferenciar entre contraseñas de usuario y contraseñas con privilegios de administrador.
  • Debe tener en cuenta si se emplea aisladamente o en combinación con otro factor de autenticación.
  • Debe fijar los procesos de creación, distribución, custodia y terminación.
  • Debe establecer las características (patrones) de las contraseñas para considerarse válidas. Por ejemplo, número de caracteres y conjunto admitido y requerido de caracteres.
  • Debe establecer un periodo máximo de validez y un tiempo mínimo de no repetición (por ejemplo, hay que renovarla al menos cada 6 meses y no se puede establecer una contraseña ya utilizada en los últimos 3 años).
  • Deben detectarse los intentos repetidos de utilización y tratarlos como posibles ataques de descubrimiento por el método de prueba-error. Y debe establecerse un procedimiento de actuación que puede ir desde la introducción de un retardo creciente en el mecanismo de validación, hasta la suspensión cautelar de la cuenta.
  • Debe ejecutarse regularmente una aplicación de descubrimiento de contraseñas por fuerza bruta (password cracker), suspendiéndose de oficio todas las contraseñas rotas.
  • Deben suspenderse las contraseñas que hayan sido utilizadas con éxito en un proceso de autenticación de doble factor, incluso si el segundo factor ha bloqueado el acceso.
  • Deben establecerse planes de concienciación y formación de los usuarios y administradores que emplean contraseñas.
  1. Se debe implementar un procedimiento de resolución de incidencias relacionadas con incidentes relacionados con contraseñas; en particular debe haber un procedimiento urgente de suspensión de cuenta tras un robo.

Claves concertadas​

  1. Las claves concertadas son una variante de las contraseñas, que se suponen más cómodas de establecer para el ciudadano usuario.

  2. Se entienden por claves concertadas códigos generados previa identificación y autenticación del ciudadano por otros medios. Jurídicamente, el ciudadano expresa su voluntad de utilizar este mecanismo en el proceso de solicitud. Las claves concertadas deberán garantizar que el usuario no puede ser suplantado, ni por otro usuario, ni por la propia Administración. Para ello deberán:

  • ser razonablemente robustas frente a ataques de adivinación, tanto por estar asociadas a datos ampliamente conocidos del ciudadano, como por falta de aleatoriedad suficiente en la generación
  • ser razonablemente robustas frente a ataques de diccionario
  • ser razonablemente robustas frente a ataques de fuerza bruta; es decir, deben disponer de suficiente entropía
  • impedir que el ciudadano pueda ser suplantado por su contraparte en la Administración
  • seguir un procedimiento de generación que garantice la autenticidad del ciudadano
  • seguir un procedimiento de comunicación al interesado que garantice que llega a la persona correcta
  • disponer de un procedimiento de comunicación de pérdida o robo que suspenda inmediatamente la operatividad de la clave
  • disponer de procedimientos de custodia de los datos de firma y verificación de la firma durante el período de validez de la información firmada, incluyendo los instantes de tiempo en que se genera, se suspende y se extingue la validez de la clave concertada

  1. A fin de garantizar la robustez, la Administración deberá recurrir a generadores aleatorios que proporcionen suficiente entropía (que hayan tantas claves posibles que sea imposible probarlas todas una por una).

  2. Es responsabilidad del usuario custodiar dichas claves de forma segura.

  3. El proceso de generación debe garantizar la identidad del sujeto y dejar evidencia documental de las pruebas de identidad empleadas.

  4. El procedimiento de distribución debe garantizar que sólo se le facilita al titular legítimo. Por ejemplo:

  • usando una red privada virtual cifrada y autenticada (mp.com.2 y mp.com.3)
  • por doble canal; ej. Internet + teléfono móvil
  • por escrito en sobre cerrado
  1. Deben generarse de forma aleatoria para:
  • resistir ataques de adivinación
  • resistir ataques de diccionario

Llaves o tarjetas​

  1. Características:
  • se pueden perder, accidental o deliberadamente
  • se pueden robar
  • se pueden hacer copias
  • en general, son caras y difíciles de reemplazar en caso de pérdida o deterioro
  1. Uso habitual:
  • autenticación frente a terminales (logon)
  • acceso remoto y establecimiento de canales seguros
  • activación de dispositivos criptográficos
  • uso de dos o más tarjetas de activación
  • acceso a instalaciones

  1. Parece natural que se potencie el uso del DNI electrónico como mecanismo de autenticación de la persona. Este dispositivo proporciona medios de autenticación criptográficos acreditados. Frente a su uso no autorizado se protege con un PIN de activación. Nótese que el DNI electrónico sólo está capacitado por política para identificar a la persona; el resto del sistema de control y registro de acceso debe implementarse aparte.

  2. Otras tarjetas de la administración pueden proporcionar funciones de autenticación del usuario asociadas a las funciones propias de su cargo en el organismo.

  3. En sistemas de nivel Alto, se deben utilizar elementos criptográficos hardware que utilicen algoritmos y parámetros acreditados por el Centro Criptológico Nacional. La Guía CCN-STIC-807 Criptografía (claves de autenticación y certificados electrónicos) indica los tipos de clave pública y funciones hash que se pueden utilizar para los diferentes niveles (bajo, medio y alto).

Biometría​

  1. Características:
  • normalmente no son secretas, y su robustez depende de que no se pueda suplantar al usuario; esto depende mucho del mecanismo concreto, pero algunos permiten técnicas de reproducción un tanto avanzadas.
  • en general los dispositivos son costosos
  • es difícil de reemplazar en caso de pérdida del control por parte del usuario legítimo
  1. Uso habitual:

  • En la autenticación frente a terminales:

    • reconocimiento de huella dactilar
    • reconocimiento facial
    • como doble factor se puede usar una contraseña o un PIN

  • En el acceso a locales o áreas:

    • reconocimiento de la mano
    • reconocimiento del iris o del fondo del ojo
    • como doble factor se puede utilizar una tarjeta o un PIN
Previous
OP.AAC.4 Proceso de gestión de derechos de acceso
Next
OP.ACC.6 Acceso local
  • Documentos de referencia
  • Definiciones
  • Guía de implantación
    • Contraseñas (secretos compartidos en general)
    • Claves concertadas
    • Llaves o tarjetas
    • Biometría
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)