Bloqueo según la LOPD ................

En el día de hoy me apetece plantearos un aspecto relativo a la LOPD que desde hace mucho tiempo me ronda la cabeza. Al igual que lo hacia el difunto RD 994/1999, el RD 1720/2007 establece en su artículo 98, y dicho coloquialmente, la necesidad de bloquear el acceso reiterado a los SI (niveles medio y alto). Exactamente viene a decir lo siguiente:

Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Por otro lado, según las definiciones (artículo 5) del RD 1720/2007 se considera sistema de información el conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.

Pues bien, esta medida que para todo profesional que más o menos se dedica a esto lo tiene más que claro, creo que requiere de ciertas consideraciones a la hora de cumplir con ella.

Primero de todo hago una pregunta al aire: ¿Cuál es el objetivo básico y primordial que pretende conseguir el legislador? Obviamente, limitar o restringir la posibilidad de accesos no autorizados, pero ........... ahora viene lo interesante: ¿Qué mecanismo considerará válido el legislador?

En este asunto se puede adoptar una solución fácil, digamos de compromiso, o por el contrario, uno se puede complicar la vida de forma notable. A modo de ejemplo os expongo algunas de las cuestiones que me he planteado a la hora de adoptar una solución:

Si hay control de acceso a distintos niveles (equipo, plataforma, aplicación, etc.), ¿cuál es el más indicado para habilitar el control del limite de accesos? ¿en el de equipo? ¿en todos?

¿Se considera válido, por ejemplo, el simple cierre de la aplicación (acceso a datos) o por el contrario debe forzarse el bloqueo de la cuenta del usuario?

En el supuesto de intentos de accesos reiterados en que tanto la cuenta del usuario como el password no son válidos, ¿qué cuenta se debería bloquear? ¿debería bloquearse el equipo entonces?

En el caso de poder bloquear una cuenta o equipo, ¿cómo sería el bloqueo? ¿temporal? ¿cuánto tiempo? ¿5 min.? ¿30 min.? ¿indefinida hasta la intervención del administrador?

Y una vez claro cómo y qué bloquear, ¿cómo se desbloquea? ¿incidencia a soporte usuarios? ¿sistemas de autoservicio (robustos y fiables) que el propio usuario puede desbloquear (preguntas clave)?

Si tuviéramos medidas de control de acceso biométrico (por ejemplo portátiles), ¿que haríamos? ¿bloquear el equipo por completo? Este es un caso especial, puesto que mi criterio es que un ordenador portátil pertenece a un usuario en concreto, por lo que a priori, no encaja que alguien no autorizado intente acceder al mismo.

Otros factores que deben ser considerados también:
Evaluar el impacto que tendrían estas medidas en soporte a usuarios: volumen de incidencias, dimensionamiento equipos, coste, ....
Considerar la posibilidad del bloqueo premeditado por terceros. “Típicas” gracias o bromas entre compañeros y/o otros motivos que no son de carácter lúdico-festivo, es decir, con perdón “mala leche”.
Lo dicho, algo muy fácil de definir pero que su puesta en práctica no es tan trivial como parece. Lamentablemente, en no todos los sitios se dispone de un sistema SSO (Single Sign On), de esta forma la solución a adoptar sería mucho más fácil, rápida y sencilla.



CITA DEL DIA: "Si la seguridad plena no existe, ¿qué hacemos aquí?"

2 comentarios:

rochemc dijo...

Hola,

Este es realmente un tema dificil de concretar... de hecho, se podría considerar un arma de doble filo, ya que si bloqueamos una cuenta por intentos reiterados de acceso fallidos indicrectamente podemos estar provocando un DOS al usuario legítimo...

Gracias por vuestro trabajo, soy muy partidario :)

Edgard dijo...

Hola rochemc, gracias por participar. Pues efectivamente, el bloqueo de la cuenta de forma intencionada por parte de un tercero es bastante común. La verdad es que en entornos normales y corrientes, los que existen en la mayoría de organizaciones basados en usuario/password, hay poco que hacer. Me temo que debería tratarse en "modo forense" (logs y demás) investigando caso por caso.
Saludos,