La insignia de una empresa sirve para muchos propósitos, desde la identificación, la concesión de privilegios y el control de acceso. La posesión de una insignia también puede mostrar autoridad, como la insignia de metal que lleva un oficial de policía. Las insignias deben dividirse en dos categorías: control de acceso e identificación. Es cuando se combinan estas dos categorías cuando surgen problemas de seguridad. Las siguientes son las mejores prácticas al implementar identificaciones y placas de control de acceso.
Las insignias de control de acceso deben cumplir con las siguientes pautas:
- Sin logotipo de la empresa: un logotipo de la empresa puede revelar que la insignia otorga acceso al edificio de la empresa que posee el logotipo. Casi todas las empresas con sistemas de control de acceso con credenciales otorgarán a cada empleado acceso a, al menos, áreas comunes.
- Sin nombre de departamento: los nombres de departamento incluidos pueden informar a un adversario a qué partes del edificio pueden acceder con la insignia. Una insignia de mantenimiento puede ser más solicitada que una insignia de ejecutivo de alto nivel. ¿Por qué? Si bien el personal de mantenimiento puede no tener acceso a áreas restringidas sin escolta, es probable que tengan acceso a la distribución de energía eléctrica de la empresa y a las salas de red y servidores.
- Sin nombre completo: un nombre completo en una placa puede dar a los adversarios una ventaja al realizar una investigación de código abierto en una empresa. Un apellido y una primera inicial son suficientes para identificar al propietario de la insignia.
- No hay códigos de color para un acceso diferente: en el ejemplo de la insignia del oficial de policía, el color de la insignia de una compañía muestra autoridad dentro de una compañía. Una insignia dorada puede significar que la persona es administradora, mientras que una insignia negra puede significar que una persona está en el equipo de seguridad. No es necesario distinguir las tarjetas de acceso con una señal visual como el color. Los empleados deben usar una tarjeta de identificación por separado para establecer la autoridad o rango.
Las tarjetas de identificación deben cumplir con lo siguiente:
- ¿Cómo evalúan los sitios web la solidez de su contraseña o si cumple con los requisitos de contraseña?
- ¿Se ha pirateado algún coro antes?
- Alguien hackeó mi cuenta de Wattpad pero no cambió la contraseña, ¿qué debo hacer?
- ¿Cuál sería una buena manera de absorber la productividad de alguien que intenta ejecutar una estafa telefónica de soporte técnico de Microsoft?
- ¿Cuáles son los 4 principales cifrados de cifrado de clave simétrica?
- Confidencial: una insignia con fines de identificación solo debe mostrarse cuando sea necesario y almacenarse en un área segura cuando no se muestre.
- Sin control de acceso: las credenciales de identificación solo deben usarse para identificar a un empleado ante otros empleados y clientes. No deben usarse para otorgar acceso a edificios o sistemas de información.
- No adjunto a la insignia de control de acceso: si se emite una insignia de control de acceso y una insignia de identificación, un empleado no debe tenerlas unidas en el mismo cordón. Esto ayuda a mitigar el acceso no autorizado o la divulgación de información en caso de pérdida del cordón.
- Limite la información en el frente: demasiada información en el anverso de una credencial de identificación podría proporcionar a los adversarios información clave sobre los deberes de una persona en una empresa. El frente de la tarjeta de identificación solo debe contener una imagen y el logotipo de la empresa. Otra información como el nombre, el departamento y el rol debe estar en la parte posterior de la insignia.
Control de acceso e identificación: ¿mejor juntos o no?
Si bien las insignias de control de acceso son similares a las de identificación, tienen dos propósitos distintos. Uno otorga acceso a edificios o instalaciones y el otro otorga privilegios a los empleados. Al implementar una política de credenciales, los equipos de operaciones de seguridad deben considerar el riesgo de seguridad de tener una credencial que permita privilegios y acceso. También deben considerar la información que ponen en las insignias y dónde está la información en el frente o en la parte posterior. Llevar dos insignias puede parecer un dolor, pero las ganancias de seguridad a menudo superan el dolor.