El administrador del sistema de mi empresa está solicitando nuestras contraseñas para una auditoría de ISO y mi soporte de operaciones de TI VP dice que es obligatorio para SGSI (ISO27001).
¿Puede alguien confirmar si esto es cierto?
Esto no es cierto. Además del hecho de que un administrador de sistemas debe poder cambiar su contraseña cuando sea necesario, probablemente no cumpla con los controles que dicen cumplir.
Es su trabajo asegurarse de que haya controles en torno a las contraseñas, pero es responsabilidad de los usuarios mantener sus contraseñas confidenciales.
Todas las contraseñas de administrador compartidas deben ser administradas de forma centralizada por su administrador de sistemas.
¡Absolutamente no!
ISO 27001 requiere administración de contraseñas y requiere tener políticas de contraseña. Alguien en su compañía está interpretando esto como la necesidad de inspeccionar todas las contraseñas de forma clara para garantizar que cumplen con la política de contraseñas.
Pero esta es una manera terrible de hacer esta auditoría. La tecnología debe estar implementada para obligar a las personas a cumplir con las políticas de contraseña cuando crean contraseñas, no para inspeccionarlas manualmente una vez que se crean.
Hay una gran variedad de fallas si quieren auditar las contraseñas observándolas ...
De ( enlace ) hay un resumen sobre las contraseñas de los usuarios:
Responsabilidades del usuario (subsección A.9.3)
Esto es muy corto subsección (con un solo control) que requiere que defina cómo el los usuarios mantendrán su información de autenticación en secreto (por ejemplo, proteger sus contraseñas). Esto se hace generalmente a través de algún documento como el Política de uso aceptable, que define reglas como éstas: no escribir las contraseñas hacia abajo, no las revele a nadie, no use el misma contraseña en diferentes sistemas, etc.
En esencia, si un usuario revela su contraseña, la compañía no pasa la auditoría.
Su contraseña es más importante de lo que solía ser su firma en los viejos tiempos. Porque en los viejos tiempos su firma podría ser falsificada, pero ahora los días su contraseña es invisible (al menos en teoría).
Su contraseña autentica su ID de usuario. Su ID de usuario le otorga ciertos poderes, pero restringidos, dentro de las áreas de su empresa. Los controles contables requieren la separación de funciones. Por ejemplo, un usuario que aprueba pedidos de compra no puede aprobar la recepción de productos. Un usuario que aprueba la recepción de productos no puede aprobar facturas de proveedores.
Si un delincuente (o auditor ISO27001 o persona de TI) tenía acceso a las tres contraseñas, podría configurar una cuenta de proveedor falsa, configurar una orden de compra falsa, configurar el recibo falso de bienes y pagar fondos a la cuenta del proveedor falso.
Esto es contra el SGSI. Estoy ISO27001 certificado de auditoría y definitivamente no está allí. Tienes dos grupos de contraseñas:
Esta podría ser la auditoría de la política de "no compartir su contraseña con nadie", pero nunca hay nunca una razón para entregar su contraseña. Para garantizar que se aplique la política de contraseñas, es posible que solo puedan forzar nuevas contraseñas dentro de las reglas de la política.
Puede encontrar esta pregunta en ServerFault de algún uso: enlace
Estoy de acuerdo con otros comentarios aquí que sugieren que si esto es lo que "requieren", es mejor que restablezcan todas las contraseñas a algo que hayan elegido, y que pasen esa información a su auditor (en el mundo real, deberían hacerlo). No estaré dando contraseñas al auditor).
Revisando Wikipedia ( enlace ), puedo ver una sección sobre la administración de contraseñas, que comienza diciendo :
La administración de contraseñas se ocupa de las reglas de asignación, regulación y cambio de contraseñas de la organización
Sospecho que el énfasis debe estar en las "reglas", no en las "contraseñas".
Tiempo de respuesta controversial ...
Lo importante ... Nuestra auditoría nos obliga a documentar las contraseñas que otras personas deberían tener legítimamente, nos obliga a documentar quién debe poder iniciar sesión en ciertos sistemas de alta seguridad, y nos exige tener una Manera de proporcionar contraseñas a las personas. El detalle clave es que no requiere que lo hagamos de forma directa o clara.
Supongamos que tiene un sistema interno de administración de contraseñas que se cifra en reposo, se encripta en tránsito, el acceso a los registros de auditoría y aplica el acceso restringido ... este es un método aceptable para el manejo de contraseñas 27001. La auditoría 27001 dice que necesita compartir una contraseña con alguien, pasa por eso.
Entonces, ¿qué tipo de contraseñas deberías compartir? Lo menos posible.
Básicamente, las buenas políticas exigen el almacenamiento de contraseñas suficiente para que la única persona bloqueada en algo si un empleado es golpeado por un autobús es ese empleado. Por lo tanto, la auditoría puede pedirle a alguien que se asegure de que las contraseñas de root para los servidores de la compañía estén almacenadas en algún lugar como una política a prueba de fallas ... no puede pedirle que almacene sus credenciales personales de AD o helpdesk.
En pocas palabras, las contraseñas solo se deben compartir con alguien si existe una necesidad justificada de que esa persona también inicie sesión en esa cuenta, y si esa necesidad no se puede satisfacer a través de un método que no requiere que usted proporcione dicha información. contraseña. Si ambos puntos no están satisfechos, plantee un problema de cumplimiento con el comité de seguridad de la compañía.
Esperemos que proporcione una visión un poco más realista y no binaria del tema. Existe una razón para proporcionar contraseñas, es bastante importante saber por qué alguien cree que debe proporcionarlas antes de responder sí o no a la solicitud.
Para ser justo, mi trabajo consiste en manejar y / o configurar contraseñas de administrador primario para recursos corporativos de vez en cuando. La mayoría de las personas auditadas por 27001 no tienen esa responsabilidad de trabajo.
Por supuesto que no, como lo señalan otras respuestas. Sus primeros esfuerzos deben ir a cambiar la mente del solicitante.
Si, a pesar de sus esfuerzos, está obligado a proporcionar su contraseña, obtenga esa solicitud por escrito.
Luego puede responder, también por escrito, que le proporcionará al solicitante esta información en un sobre sellado y que a partir de ese momento no será responsable de ninguna acción realizada a través de esta cuenta, cuya contraseña acaba de hacerse pública en el solicitud de gestión.
Es probable que en el pasado haya aceptado (directa o indirectamente) que está a cargo de la cuenta, a la que se accede mediante una contraseña que usted es la única que debe saber. Probablemente también haya aceptado que no compartiría esta cuenta.
Pueden y deben crear un programa en el que ingrese su contraseña actual y verifique si cumple con los requisitos ISO. El programa también podría verificar la base de datos para verificar si la contraseña es realmente suya.
Cualquier otra cosa es una locura y, de hecho, hace que su contraseña sea inútil si es accesible para muchas personas, aunque los administradores probablemente puedan acceder a sus cuentas de una forma u otra. Quién sabe para qué usas tu contraseña.
En la actualidad, todo el software de SO incluye métodos para aplicar reglas de contraseña más estrictas, incluidas las que se utilizan para la seguridad del gobierno. Inspeccionar las contraseñas en sí mismas es un anatema para una buena seguridad.
Lea otras preguntas en las etiquetas passwords password-management iso27001