La seguridad en Internet se ha convertido en una preocupación primordial. Establecer una política de contraseñas sólida es esencial para proteger los activos y la información de una empresa. La elección de contraseñas seguras y la implementación de buenas prácticas en la gestión de contraseñas se han vuelto fundamentales para evitar amenazas como el acceso no autorizado, el robo de datos y los ataques cibernéticos.
En este hablaremos de algunos consejos y recomendaciones clave para crear una política de contraseñas efectiva que fortalezca la seguridad de tu empresa. Desde la elección de contraseñas robustas hasta la educación de los empleados, descubrirás estrategias prácticas para establecer una política de contraseñas sólida que proteja tu negocio en el entorno digital en constante evolución.
¿Qué es una política de contraseñas en una empresa?
Una política de contraseñas en una empresa es un conjunto de directrices y reglas establecidas para determinar los requisitos y estándares relacionados con las contraseñas utilizadas por los empleados y usuarios en los sistemas y servicios de la empresa. Esta política establece las pautas para la creación, gestión y uso seguro de las contraseñas, con el objetivo de fortalecer la seguridad de los activos digitales y proteger la información confidencial de la organización.
Una política de contraseñas típica puede abarcar aspectos como la complejidad de las contraseñas, los requisitos de longitud, la frecuencia de cambio, la prohibición de contraseñas antiguas, la utilización de autenticación de dos factores (2FA) o en varios MFA, la gestión segura de contraseñas y otras medidas relacionadas con la seguridad.
El propósito de una política de contraseñas en una empresa es establecer estándares claros y prácticas recomendadas para ayudar a prevenir el acceso no autorizado, los ataques cibernéticos y el robo de datos.
Cómo crear una política de contraseñas en una empresa
Como hemos visto, crear una política de contraseñas adecuada para una empresa es fundamental para fortalecer la seguridad de todas las cuentas e informaciones que manejamos a diario.. Aquí hay algunos pasos clave que puedes seguir para desarrollar una política de contraseñas efectiva:
Evalúa las necesidades y riesgos de tu empresa
Antes de comenzar a establecer el plan de contraseñas para tu empresa, debes comprender los riesgos de seguridad a los que puede someterte y, por supuesto, a los que se puede enfrentar tu empresa a diario. Debes dejar claro qué apartados y sistemas debes reforzar e identificar las posibles amenazas. Por ejemplo, debes hacer que tu departamento de contabilidad cuente con un acceso reforzado a las cuentas bancarias para que no se ejecute ningún tipo de robo o suplantación de identidad.
Complejidad de las contraseñas
Recuerda siempre que las contraseñas deben tener una longitud y composición óptima. Al menos deben tener una longitud de 8 caracteres e incluir cierta complejidad, combinando mayúsculas, minúsculas, números y caracteres especiales.
Cambio periódico de contraseñas
Establece una política que requiera que los empleados cambien sus contraseñas regularmente. Un intervalo de cambio recomendado es cada 90 días. Esto ayuda a garantizar que las contraseñas no se utilicen durante períodos prolongados y así reducir el riesgo de acceso no autorizado.
Prohibición de contraseñas antiguas
Impide que los empleados reutilicen contraseñas anteriores. Esto evita que las contraseñas comprometidas en el pasado sigan siendo válidas y refuerza la seguridad.
Autenticación de dos factores (2FA)
Se requiere la activación de la autenticación de dos factores siempre que sea posible.
Restricciones en intentos fallidos de inicio de sesión
Implementa mecanismos que limiten los intentos fallidos de inicio de sesión. Esto protege contra ataques de fuerza bruta y evita que los atacantes adivinen contraseñas probando múltiples combinaciones.
Almacenamiento seguro de contraseñas
Las contraseñas deben almacenarse de manera segura utilizando métodos de cifrado y hashing adecuados.
Educación y concientización
- Conciencia a tus empleados: Educa a los empleados sobre la importancia de utilizar contraseñas seguras y facilítales pautas claras sobre cómo crear y proteger sus contraseñas. Promueve la concientización sobre las amenazas cibernéticas, el phishing y las prácticas de seguridad en línea.
Acceso basado en roles y privilegios
- Se establecerán permisos y niveles de acceso apropiados para garantizar que los usuarios solo tengan acceso a los recursos necesarios.
Auditorías regulares
- Realiza auditorías regularmente: Lleva a cabo auditorías periódicas para evaluar el cumplimiento de la política de contraseñas y detectar posibles vulnerabilidades. Estas auditorías también permiten identificar áreas de mejora y oportunidades de tomar medidas correctivas si se detectan violaciones de seguridad.
Actualizaciones y revisiones
Mantén la política actualizada: La tecnología y las amenazas de seguridad evolucionan constantemente, por lo que es esencial revisar y actualizar periódicamente la política de contraseñas para asegurarse de que esté alineada con las mejores prácticas actuales y los requisitos cambiantes.
Hazte con un buen gestor de contraseñas
Cada vez que nos registramos en un servicio, estamos creando una cuenta nueva que nos pide una contraseña y un usuario. Normalmente, tendemos a dar siempre la misma contraseña, poniendo en riesgo nuestra información. Si un pirara informático se hace con una de tus contraseñas, podría tener acceso a absolutamente todo.
En este sentido, lo mejor para una empresa es usar alguno de los mejores gestores de contraseñas del mercado. Un gestor de contraseñas es tremendamente importante para una empresa, pasa tener la máxima seguridad en cada uno de tus accesos, además de evitar algunos pasos previos como estos:
- Son capaces de establecer contraseñas automáticas seguras, combinando letras mayúsculas, minúsculas, signos y números.
- Establecen longitudes de contraseñas adecuadas.
- Pueden avisarte cuando pasa «X» tiempo de que va a cambiar las contraseñas por seguridad.
- Prohíbe usar contraseñas ya utilizadas en el pasado.
De esta manera, podrás olvidarte un poco de todo. El gestor de contraseñas se encargará de almacenar todos los accesos de todos tus empleados bajo una contraseña maestra. Esta sí que corre por cuenta de cada usuario.
Evita usar los gestores de contraseñas de los navegadores web, pues no son todo lo seguros que nos gustaría.
| VENTAJAS DE USAR UN GESTOR DE CONTRASEÑAS | DESVENTAJAS DE USAR UN GESTOR DE CONTRASEÑAS |
| Maximizas la seguridad de tu empresa. | Algunas páginas web bloquean la opción de autocompletar. |
| Nadie debe recordar ninguna contraseña salvo la maestra. | |
| Ayudan e proteger las cuentas de las prácticas de phishing. | |
| Notifican cuando un sitio web ha sido víctima de violación de datos. | |
| Notifican si alguna de tus contraseñas se encuentra en una base de datos de contraseñas robadas. | |
| Por supuesto, identifica contraseñas débiles y las refuerza. |
Ten en cuenta los tipos de autenticación
Aquí nos referimos sobre todo a la autenticación de múltiples factores o MFA. Se trata de un método que requiere que el usuario proporcione dos o más factores de verificación para obtener acceso a algun lugar (una aplicación, una VPN…)
Esta medida reduce notablemente el robo de cuentas y contraseñas en grandes empresas, pero también en `pymes. Aquí tienes algunos de los mejores softwares de autenticación multifactorial que puedes instalar en tu empresa.
Estos softwares actúan de diferentes maneras, solicitándote siempre una verificación además de tus credenciales de acceso. De esta manera, el sistema podría pedirte alguno de los diferentes métodos de autenticación de múltiples factores:
- Insertar un código recibido por SMS o correo electrónico.
- Insertar un código que llega a través de una notificación push a tu móvil.
- Autenticación biométrica (huella dactilar o reconocimiento facial).
- Contraseña de un solo uso (TOTP): .
- Llaves de seguridad.
Single Sign On, muy útil para empresas
Single Sign-On (SSO) es un procedimiento de autenticación que simplifica el acceso a múltiples plataformas y recursos en una empresa. Ofrece características clave como una gestión sencilla, sincronización de contraseñas e información de usuario, mejora de la seguridad de la red y las aplicaciones.
Te pongo un ejemplo claro. Imagina que entras en Amazon y haces clic en «Iniciar sesión», pues este sistema te dará la opción de iniciar dicha sesión con la cuenta de la empresa y evitarás introducir usuarios y contraseñas nuevas que puedan verse comprometidas por actividades fraudulentas en la web.
La importancia de las llaves de seguridad
Este procedimiento se tiene en cuenta en la autenticación de múltiples factores, pues se trata de un dispositivo de almacenamiento como un pen drive o un disco duro que almacena datos seguros y que ciertas sesiones nos pueden pedir que lo conectemos al PC como método de autenticación.
De entre las llaves existentes, podemos destacar a Yubico. Se trata de un protocolo de autenticación que normalmente se implementa en las claves de seguridad de hardware. Al usar Yubico, este genera la identificación y una clave secreta. El funcionamiento es sencillo, al iniciar sesión, la plataforma te otorga una contraseña de un único uso para evitar pérdidas.
Ejemplo de Nitrokey con una cuenta de Google
Pero ahí no acaba todo, también tenemos Nitrokey y su llave de seguridad. Para ejemplificar el buen funcionamiento que tiene, veamos un caso práctico con una cuenta personal de Google.
- Lo primero que tenemos que hacer es entrar, en este caso, al navegador, y pinchar sobre nuestro perfil (símbolo redondo con una «D») para pulsar sobre «Gestionar tu cuenta de Google«.
- Ahora entramos en el apartado de «Seguridad» y en el apartado de «Llaves de seguridad«, que funciona como otro método de autenticación.
- Una vez dentro, pulsamos sobre «Añadir llave de seguridad«.
- Si nuestro ordenador la ha detectado, aparecerá el siguiente mensaje sobre continuar con la instalación y debemos darle a «Aceptar«.
- Ahora es cuando le damos un nombre a la llave. En mi caso, «Nitrokey 3«
- Y listo, como verás a continuación, la llave ya figura en la seguridad de nuestra cuenta de Google y lo tendremos como un potente recurso de autenticación para iniciar sesión.
Conclusiones
Crear una política de contraseñas efectiva es crucial para salvaguardar la seguridad de una empresa en el entorno digital actual. Mediante la implementación de una política sólida, que incluya requisitos de complejidad, cambios periódicos, prohibición de contraseñas antiguas y la adopción de autenticación de dos factores, las empresas pueden fortalecer su postura de seguridad y mitigar los riesgos asociados con contraseñas débiles o vulnerables.
Sin embargo, efectuar una política de contraseñas en pequeñas y medianas empresas puede bastar con hacer uso de un gestor de contraseñas bueno, herramientas de autenticación de múltiples factores, llaves de seguridad y el procedimiento Single Sign On.
