FGC Security
Fortalece la Seguridad de tu Empresa: Claves para Implementar una Política de Contraseñas Robusta
FGC Security
mayo 20, 2024
3:31 am
El primer paso para proteger los sistemas y datos es utilizar contraseñas fuertes para prevenir el acceso no autorizado. Aquí te entregamos algunas recomendaciones para que puedas implementar una política de contraseñas robusta en tu negocio.
Imagen de contraseña robusta

Cada vez son más comunes las noticias sobre empresas grandes y pequeñas que sufren ataques cibernéticos y robos de datos. Muchos de estos ataques son exitosos debido a configuraciones deficientes de seguridad, como el uso de contraseñas débiles o fáciles de adivinar, que los cibercriminales descubren y con ellas logran acceder a las cuentas, datos y sistemas de una organización.

Por esto, para proteger tu información personal y la de tu empresa, es crucial utilizar contraseñas fuertes e implementar políticas que aseguren que estas se van a cumplir.

Aquí te mostramos una guía de referencia de cómo puedes empezar para establecer una:

1. Establece y configura los requisitos para contraseñas robustas

Asegúrate de que todos los sistemas en tu empresa cuenten con configuraciones de contraseñas robustas, dígase: que sean largas, de al menos 12 caracteres, combinando letras mayúsculas, minúsculas, números y símbolos.

Cuanto más larga y compleja sea la contraseña, más difícil será de descifrar. Se recomienda usar Frases de Contraseña (passphrase) en lugar de usar una sola palabra (password). Por ejemplo: “MiCafe@FavoritoEsEl2!" es mucho más seguro que "Caf3cito123!" 

2. Evita el uso de cuentas compartidas 

De nada sirve que implementes una política robusta de contraseñas, si varias personas comparten y usan una misma cuenta de usuario o que todos conocen la contraseña. Debes asegurarte que cada persona tenga una cuenta única e intransferible, que facilite la asignación de responsabilidad de la persona para cumplir con las prácticas de seguridad. 

3. Prohibición de Reutilización de Contraseñas:

Establece una política que prohíba a los empleados y terceros reutilizar contraseñas que hayan sido usadas anteriormente o en otros servicios y plataformas. Esto ayuda a evitar la propagación de daños si una contraseña se ve comprometida en otro lugar. 

Puedes suscríbete a plataformas de notificación de cuentas y contraseñas comprometidas como haveibeenpwned, que envía una alerta cuando alguna contraseña o dirección de correo de tu empresa han sido robadas.

4. Implementa mecanismos de Autenticación de Dos Factores (2FA o MFA)

Además de las contraseñas robustas, la autenticación de dos factores añade una capa extra de seguridad. Esto puede implicar algo que el usuario sabe (una contraseña) y algo que el usuario tiene (un mensaje de texto con un código enviado a su teléfono), haciendo mucho más difícil para un ciberdelincuente acceder a las cuentas en caso que consiga o adivine la contraseña del usuario. 

5. Limita los Intentos de Acceso Fallido y Contraseña Errónea:

Es importante limitar el número de intentos fallidos de ingreso de contraseñas erróneas antes de bloquear temporalmente una cuenta. Esto ayuda a prevenir los ataques de fuerza bruta donde un atacante intenta múltiples combinaciones de contraseñas hasta que da con la correcta.

6. No es necesario cambiar periódicamente las Contraseñas:

Si, puede que esto sea extraño de escuchar, pero si un usuario cuenta con una contraseña robusta y cuenta con mecanismos 2FA, no hay necesidad de cambiarla si no tienes sospechas de que ha sido comprometida. De hecho esto es lo que recomienda NIST en el SP 600-63B

7. Revisión periódica de uso de cuentas y contraseñas: 

Puedes Implementar herramientas y procedimientos para validar la robustez y el cumplimiento de las políticas de contraseñas. Por ejemplo: la verificación periódica de que todas las cuentas cumplen con los estándares de seguridad establecidos, identificar cuentas que podrían haber sido comprometidas, buscar “cuentas en desuso” o la famosa prueba de “desvinculados activos” que busca usuarios activos en los sistemas de personal desvinculado o que ya no presta servicios a la empresa.

Debes activar los logs de auditoría de accesos y usuarios, para que quede un registro de las actividades que hacen los usuarios o lo que intentan hacer con las contraseñas, como fecha de último cambio o último intento de ingreso fallido al sistema. 

8. Educación Continua y Sensibilización sobre Seguridad: 

Asegúrate de qué tus empleados y proveedores entiendan la importancia de usar contraseñas robustas.

En el plan de capacitación de seguridad a tus empleados, más allá de la capacitación inicial, proporcionales también comunicaciones regulares sobre las mejores prácticas de seguridad y las amenazas emergentes. Esto ayuda a mantener la seguridad como una prioridad constante para todos en la organización. 

Una práctica es entregarles guías de referencia del uso de contraseñas seguras, como por ejemplo, a través de recordatorios indicándoles: “Evita usar la Información Personal al crear contraseñas, porque si usas el nombre de la empresa, tu fecha de nacimiento, el nombre de tus hijos, mascotas o cualquier otra información personal, se pudieran adivinar fácilmente”.

9. Implementa un gestor de identidades o SSO

Un gestor de identidades o soluciones de Single Sign-On (SSO), talse como Okta, Microsoft Entra o Google Identity, son una excelente recomendación para empresas de cualquier tamaño. Ya que permite la gestión y autenticación de usuarios de forma centralizada y les permite a los usuarios iniciar sesión en múltiples sistemas y aplicaciones utilizando su cuenta corporativa, facilitándoles el proceso de acceso y mejorando la seguridad al reducir el número de contraseñas que el usuario debe recordar y gestionar. 

Desde el punto de vista de la empresa es mucho más fácil gestionar a cuáles sistemas tiene acceso un usuario, lo que te puede ayudar también en el proceso de gestión de identidades y accesos. Además, los gestores de identidades y las soluciones SSO suelen incluir medidas de seguridad adicionales como la autenticación multifactor, lo que refuerza la protección contra accesos no autorizados. 

10. Utiliza un Gestor de Contraseñas: 

Los gestores de contraseñas pueden generar y almacenar contraseñas complejas por ti. Solo necesitas recordar una contraseña maestra, lo que simplifica mucho la gestión de múltiples cuentas. Existen algunos en el mercado que permiten a los empleados de la empresa almacenar y gestionar las contraseñas e inclusive algunos datos confidenciales, como números de tarjetas de crédito. 

Eso sí, NUNCA guardes contraseñas en el navegador web.

11. Procedimientos de Respuesta a Incidentes: 

Es importante que te prepares para cuando ocurra un incidente de compromiso de contraseña, para lo cual deberías desarrollar y documentar procedimientos claros de respuesta ante incidentes que deben incluir pasos específicos sobre cómo reaccionar ante una filtración de contraseñas, cómo notificar a los afectados y cómo mitigar el daño. 

Comentarios finales

No permitas que tu empresa sea vulnerable a ataques por no tener políticas de contraseñas adecuadas. Toma medidas hoy mismo para fortalecer tus defensas en ciberseguridad y así proteger a tu negocio.

Si necesitas asistencia para desarrollar o implementar una política de contraseñas eficaz, contáctanos. Nuestro equipo está listo para proporcionarte las herramientas y el conocimiento necesario para proteger tu negocio.

Category : Ciberconsejos para PYME
Tags : Ciberseguridad ciberseguridad para pymes; Consejos Contraseñas

Deja una respuesta