4. Identificación automática de terminales
Es una técnica que puede utilizarse si resulta importante que la sesión
solo pueda iniciarse desde una terminal informática o una ubicación
determinada.
Puede resultar necesario aplicar protección física a la terminal.
5. Procedimientos de conexión de
terminales
Sólo usuarios autorizados.
No dar mensajes de ayuda.
Validar la información de conexión, sólo cuando se completen la totalidad
de los datos.
Limitar el número de intentos de conexión no exitosos.
Limitar el tiempo máximo y mínimo para la conexión.
Desplegar la siguiente información:
Fecha y hora de la última conexión
Detalles de los intentos de conexión no exitosos desde la última
conexión.
6. Identificación y autenticación de usuarios
Todos los usuarios deben tener un ID único. A fin de rastrear las
actividades hasta llegar al responsable.
Sólo en ciertas circunstancias se puede usar un ID compartido.
Una combinación de tecnologías y mecanismos vinculados de manera
segura tendrá como resultado una autenticación más fuerte.
7. Sistema de administración de
contraseñas
Imponer el uso de contraseñas
individuales.
Permitir cambiar la contraseña
Selección de contraseñas de
calidad.
Imponer cambios en las
contraseñas.
Mantener un registro de las
contraseñas previas.
No mostrar las contraseñas en
pantalla.
Almacenar en forma cifrada las
contraseñas.
Modificar las contraseñas
predeterminadas.
8. Uso de utilitarios del sistema
Uso de procedimientos de autenticación
para utilitarios.
Separación de los utilitarios y el
software.
Limitación de uso de utilitarios.
Autorización de uso de utilitarios.
Registro de todo uso de utilitarios.
9. Alarmas Silenciosas
Provisión de alarmas silenciosas para los usuarios que podrían ser
objetos de coerción.
Debe basarse en una evaluación de riesgos.
10. Desconexión de terminales por tiempo muerto
Las terminales inactivas en ubicaciones de alto riesgo, o que sirven a
sistemas de alto riesgo deben apagarse después de un periodo definido de
inactividad.
Esta herramienta debe limpiar la pantalla y desconectar tanto la aplicación
como la red.
El lapso por tiempo muerto debe responder a los riesgos de seguridad del
área y de los usuarios del terminal.
11. Limitación del horario de conexión
La limitación del periodo durante el cual se permiten las conexiones de
terminal a los servicios informativos reduce el espectro de oportunidades
para el acceso no autorizado.
Utilización de lapsos predeterminados.
Limitación de los tiempos de conexión al horario normal de oficina.