Serie de Artigos TIC – Ciberseguridade orientada a empresa: Dobre factor de autenticación e copias de seguridade

Martes, 17 Agosto 2021

Seguimos coa serie de artigos sobre “Ciberseguridade orientada a empresa”, unha colección de ferramentas de software libre e consellos que nos axuden a mellorar a ciberseguridade da nosa empresa.

Na primeira entrega sobre ciberseguridade, fixemos unha pequena introdución a este tema e falamos en profundidade sobre a xestión dos contrasinais, recomendando varios xestores de contrasinais de software libre que nos gustan especialmente.

Neste segundo artigo, falaremos dos sistemas de dobre factor de autenticación (2FA) e das copias de seguridade, e a súa importancia fronte a unha catástrofe dixital.

Dobre factor de autenticación (2FA)

Todo o mundo está familiarizado co método de usuario/contrasinal para acceder a moitos servizos online, pero non é o máis seguro posible.

A autenticación ou verificación en dous pasos (abreviado como 2FA) é un sistema que agrega un nivel adicional de seguridade ao proceso de acceso ás contas en liña. O usuario ten que identificarse de 2 maneiras diferentes: require dun código obtido a partir dunha aplicación ou dun token USB, ou dunha tarxeta de coordenadas, ou dunha mensaxe SMS, ou dunha pegada (tamén valería o iris, a voz ou o rostro do usuario), ademais dun contrasinal para acceder ao servizo.

Desta forma, a verificación unívoca da túa identidade está vinculada a que o usuario ten que “saber algo” (nome do usuario e contrasinal), ademais de “ter algo” (código obtido dunha aplicación, mensaxe…) ou «ser algo» (datos biométricos).

Os sistemas de dobre factor son máis recomendables que usar soamente os contrasinais, pero non son infalibles (pero os atacantes terán que traballar moito máis para poder vulnerar o sistema).

Por desgracia, non todos os servizos admiten o 2FA. TwoFactorAuth é unha web onde verificar se un servizo admite o segundo factor de autenticación.

Uso da dobre autenticación

Formas de usar 2FA:
– A través dun SMS, a opción menos segura.
– A través de aplicacións dedicadas ou hardware, que xeran un código de verificación refugable válido durante uns segundos. Combina facilidade e seguridade. Podemos usalo no smartphone cunha aplicación de autenticación dedicada ou a través de chaves de seguridade.

Existe un estándar aberto chamado OATH que é o utilizado por tokens baseados en hardware ou en software. Os tokens baseados en hardware son como unha tarxeta cun display, xeran unha clave para cada ocasión.

Tamén hai tokens baseados en software que xeran contrasinais dun só uso OTP como os que utilizan unha app no móbil ou unha aplicación no computador de sobremesa.

Algunhas destas aplicacións e app’s son:

– andOTP (app de software libre para Android)
– FreeOTP (app de software libre para Android e iOS)
– Authenticator (plugin de software libre para usar nos navegadores Firefox ou Chrome)

A alianza FIDO especificou un protocolo estándar U2F aberto, escalable e interoperable para que os servizos en liña poidan incorporar un segundo factor, utilizando criptografía de clave pública, vía un token, un dispositivo confiable ou chave de seguridade de autenticación física que se conecta vía USB ou NFC.

Copias de seguridade

Temos que estar preparados de cara a unha catástrofe dixital (virus, descoidos, fallos de discos duros, incendios, inundacións, cifrados non desexados…) onde podemos perder datos importantes da empresa. Unha boa política de seguridade pasa por contar con unha ou varias copias de seguridade dos nosos datos.

As copias de seguridade deben facerse con regularidade e almacenalas en dispositivos distintos a aquel no que se atopa a información orixinal. Para reducir o espazo ocupado polas copias de seguridade pódense comprimir os datos.

Tipos de copias de seguridade:
– Backup completo. Faise unha copia completa de toda a información. É o máis sinxelo pero tamén o menos eficiente.
– Backup incremental/diferencial. Trátase de copiar unicamente aqueles datos que foron modificados respecto ao backup anterior, aforrando unha importante cantidade de espazo.

Algunhas solucións libres para as copias de seguridade:

– Grsync, interface gráfica para rsync, ferramenta de software libre para a copia de seguridade diferencial e de sincronización de arquivos, multiplataforma. Rsync é unha ferramenta moi coñecida para as copias de seguridade en sistemas GNU/Linux, que fornece as necesidades de copiar un grupo de arquivos e cartafoles.
– BackupPC, software libre de copia de seguridade de disco a disco cun frontend baseado na web. O servidor multiplataforma funciona en calquera servidor baseado en GNU/Linux, Solaris ou UNIX. Non é necesario ningún cliente, xa que o servidor é en si mesmo un cliente para varios protocolos que son manexados por outros servizos nativos do sistema operativo do cliente. BackupPC incorpora un cliente de bloque de mensaxes de servidor (SMB) que pode utilizarse para realizar copias de seguridade de recursos compartidos en rede de computadores con Windows. Soporta NFS, SSH, SMB e rsync.
– Bacula, sistema de copia de seguridade informática de software libre para redes heteroxéneas. Deseñado para automatizar as tarefas de copia de seguridade que a miúdo requirían a intervención dun administrador de sistemas ou un operador informático. Bacula é compatible con clientes de copia de seguridade de GNU/Linux, Windows e macOS, e cunha serie de dispositivos de copia de seguridade profesionais, incluídas as bibliotecas de cintas.
– FreeFileSync, programa de software libre utilizado para a sincronización de arquivos. Dispoñible en Windows, GNU/Linux e OS X. O proxecto está apoiado por doazóns. Soporta sistemas de arquivos locais e recursos compartidos de rede, é capaz de sincronizarse con dispositivos FTP, FTPS, SFTP e MTP.

Como vedes, é recomendable contar con boas políticas de autenticación dos usuarios e copias de seguridade, dentro da nosa estratexia de seguridade informática empresarial.

Esperamos que esta colección de ferramentas de software libre e consellos vos axuden a mellorar a ciberseguridade na vosa empresa.

Recordade que para complementar esta serie de artigos, publicaremos dentro dunhas semanas unha serie de podcast sobre ciberseguridade, onde entrevistaremos a especialistas da materia. Esperamos que vos gusten.

Xunta

Xunta de Galicia, Información mantida e publicada na internet pola Xunta de Galicia

Atención á cidadanía - Accesibilidade - Aviso legal - Mapa do portal