Día Mundial del Cambio de Contraseña: Un llamado a la acción

El 1 de febrero se celebra el Día Mundial de Cambie su Contraseña, que se estableció en 2012 para fomentar la conciencia sobre las buenas prácticas de gestión de contraseñas. No es ningún secreto que el error humano es la principal causa de filtraciones de datos: un estudio de 2022 realizado por Foro Económico Mundial descubrió que el 95% de los problemas de ciberseguridad se deben a errores.

Dado que las amenazas cibernéticas siguen multiplicándose, es más importante que nunca que las empresas tomen medidas preventivas para mitigar el riesgo humano, incluida la mejora de la gestión de contraseñas.

La importancia de una buena gestión de contraseñas

Las contraseñas son la primera línea de defensa en ciberseguridad: las llaves de nuestra puerta de entrada digital. Por lo tanto, hacer cumplir una buena gestión de contraseñas es un componente fundamental de cualquier estrategia de gestión de riesgos empresariales. Las contraseñas débiles y fáciles de adivinar aumentan el riesgo de violaciones de datos exitosas, lo que permite a los piratas informáticos acceder a correos electrónicos privados, redes y datos corporativos y de clientes confidenciales.

Violaciones de datos también crean riesgos reputacionales y financieros. La IBM Costo de una filtración de datos 2023 El informe encontró que el costo promedio global de una filtración de datos para una empresa fue de 4.5 millones de dólares, un aumento del 15% desde 2020.

El daño reputacional también puede tener un impacto significativo. En 2018, El precio de las acciones de Facebook se desplomó en más de 100 mil millones de dólares después del incidente de violación de datos que involucró a Cambridge Analytica. British Airways sufrió una caída en la puntuación de reputación y el precio de las acciones después de una violación de datos en 2018 en la que los piratas informáticos accedieron a la información personal y financiera de casi 500,000 clientes.

Además, una buena seguridad de las contraseñas puede ayudar a mejorar el cumplimiento de Normativas de protección de datos como la UE General. Reglamento de Protección de Datos (GDPR) y estándares de seguridad de la información como ISO 27001,.

Desafíos de la gestión de contraseñas

En un mundo ideal, cada empleado tendría una contraseña única para cada inicio de sesión. En la práctica, recordar varias contraseñas diferentes no es práctico y puede provocar fatiga en las contraseñas. Hacer cumplir la política de contraseñas también puede resultar complicado. Un buen lugar para comenzar es configurar reglas del sistema para la longitud de las contraseñas y exigir que las contraseñas se actualicen después de un cierto período de tiempo.

Mejores prácticas para la gestión de contraseñas comerciales

Las organizaciones pueden asegurarse de seguir las mejores prácticas de seguridad de contraseñas de varias maneras:

Longitud y complejidad de la contraseña

Considere establecer requisitos para que las contraseñas tengan entre 12 y 20 caracteres, con una variedad de caracteres en minúsculas y mayúsculas, caracteres especiales y números para mayor seguridad. un estudio de Instituto CyLab de Seguridad y Privacidad de la Universidad Carnegie Mellon descubrió que requerir una fuerza mínima y una longitud mínima de 12 caracteres creaba un buen equilibrio entre seguridad y usabilidad.

Actualizar políticas

Si bien el Día Mundial del Cambio de Contraseña es un recordatorio oportuno para actualizar las contraseñas, no debería ser el único momento en el que se cambian las contraseñas. La empresa de software de seguridad McAfee recomienda cambiar las contraseñas cada tres meses.

Reutilización de contraseña

Puede resultar tentador para los empleados utilizar la misma contraseña para varias cuentas dentro de su entorno de trabajo. Sin embargo, esto aumenta el riesgo de apropiación de cuentas. Si un actor de amenazas tiene acceso a una cuenta con esa contraseña, efectivamente tendrá acceso a todas ellas. La capacitación y educación de los empleados pueden ayudar a mitigar este riesgo al desalentar la reutilización de contraseñas.

Herramientas de gestión de contraseñas

Ya sean independientes o incluidas en los navegadores, estas herramientas están diseñadas para cerrar la brecha entre seguridad y usabilidad, al almacenar y recuperar de forma segura contraseñas seguras y únicas para cada sitio y aplicación. Sin embargo, es esencial tener en cuenta que si un pirata informático obtiene acceso a la herramienta de administración de contraseñas, podrá comprometer todas las contraseñas almacenadas en ella.

Implementación de autenticación multifactor

Autenticación de múltiples factores (MFA) requiere que el usuario proporcione dos (o más) formas de verificación para acceder a una cuenta. Por ejemplo, MFA puede requerir que el usuario inicie sesión con su nombre de usuario y contraseña, y luego proporcione una contraseña de un solo uso (OTP) enviada por mensaje de texto a su teléfono. El usuario debe proporcionar tanto su contraseña como la contraseña de un solo uso para acceder a la cuenta, agregando una capa adicional de seguridad.

Hay varios tipos de MFA:

OTP y OTP basadas en tiempo

Las OTP son una forma sólida de MFA y se pueden enviar a través de aplicaciones de autenticación, administradores de contraseñas o mensajes de texto (SMS). Una vez que se utiliza la contraseña, ya no es válida para su uso nuevamente. Las contraseñas de un solo uso basadas en el tiempo (TOTP) agregan una capa adicional de seguridad porque solo son válidas por un período de tiempo limitado.

Usar OTP y TOTP con una aplicación de autenticación o un administrador de contraseñas es más seguro que recibirlos por SMS. Los mensajes de texto son susceptibles a piratería de SIM, ataques de interceptación e ingeniería social.

Envíe un correo electrónico a MFA

Email MFA implica que la segunda forma de autenticación del usuario se envía a su dirección de correo electrónico. Esta forma de MFA, si bien es fácil y accesible para los usuarios, plantea riesgos similares a los de las OTP de SMS en caso de que un pirata informático tenga acceso a la cuenta de correo electrónico a la que se entrega el código.

AMF biométrica

Usos biométricos de MFA reconocimiento facial, un escaneo de huellas dactilares o un escaneo de iris para validar la identidad del usuario y puede ser una forma sólida de autenticación. Se usa comúnmente en teléfonos móviles, ya que el usuario puede configurar datos biométricos en lugar de usar un número de identificación personal (PIN) para desbloquear el teléfono e incluso usarlos para acceder a aplicaciones seguras como autenticadores y aplicaciones de banca personal.

Si bien la MFA biométrica es una de las formas de autenticación más sólidas, los usuarios aún pueden ser susceptibles si les roban sus datos biométricos. A diferencia de las contraseñas, estos datos no se pueden restablecer ni cambiar.

Educación de los empleados y aplicación de políticas

Una de las principales barreras para mejorar la seguridad de las contraseñas es el riesgo de error humano. La educación de los empleados es fundamental para garantizar que todos en la organización conozcan los riesgos asociados con una mala gestión de contraseñas y sus responsabilidades en materia de ciberseguridad. Sin embargo, también es esencial proporcionar soluciones que permitan al personal concentrarse en su trabajo y evitar la fatiga de las contraseñas.

Entrenamiento de ciberseguridad

Invertir en capacitación de los empleados en materia de ciberconciencia puede ayudar a mantener la empresa segura y garantizar que el personal pueda detectar e informar otros riesgos, como intentos de ataques de phishing. Muchas plataformas de capacitación dedicadas permiten a las organizaciones impartir cursos en toda la empresa, monitorear quién ha completado la capacitación requerida y enviar automáticamente recordatorios por correo electrónico a los rezagados.

Política de contraseñas

Desarrolle una política de contraseñas alineada con las mejores prácticas y comunique esa política en toda la empresa. Esto se puede hacer junto con la capacitación en ciberseguridad para ayudar a todos en la empresa a comprender la toma de decisiones detrás de la política y mejorar el cumplimiento de los empleados.

Las políticas podrían especificar la longitud mínima de la contraseña, la complejidad, los tipos de caracteres permitidos y otros elementos. Como se mencionó, el equipo de TI también puede configurar los dispositivos de los empleados para que requieran actualizaciones después de un cierto período de tiempo, como 90 días.

Cómo pueden ayudar ISO 27001 y otros marcos

Los marcos de seguridad de la información como ISO 27001 y regulaciones como el GDPR exigen que las empresas tomen medidas en materia de seguridad de las contraseñas.

Por ejemplo, el RGPD exige que las empresas procesen datos personales de forma segura utilizando "medidas técnicas y organizativas apropiadas", mientras que ISO 27001:2022 El Control 5.17 del Anexo A requiere que la información de autenticación se mantenga segura. La guía de control también establece que los usuarios deben seleccionar contraseñas seguras y difíciles de adivinar que cumplan con los estándares de la industria:

● Las contraseñas no deben basarse en información personal que pueda obtenerse fácilmente, como nombres o fechas de nacimiento.
● Las contraseñas no deben basarse en información que pueda adivinarse fácilmente.
● Las contraseñas no deben contener palabras o secuencias de palabras que sean comunes.
● Utilice caracteres alfanuméricos y especiales en su contraseña.
● Las contraseñas deben tener un requisito de longitud mínima.

Cinco pasos para mejorar la política de contraseñas

1) Auditar la política de contraseñas actual

Revise la política de contraseñas existente de la organización. ¿Es necesario actualizarlo o mejorarlo? Si no existe una política de contraseñas vigente, desarrolle una que se ajuste a los estándares de la industria.

2) Comunicarse en toda la empresa

Asegúrese de que todo el personal conozca las políticas de contraseñas nuevas o actualizadas. Defina la política y por qué es esencial, y considere capacitar a los empleados en conjunto. Las organizaciones también deberían considerar la posibilidad de capacitar a los gerentes para que puedan defender la política ante otros.

3) Implementar herramientas de administración de contraseñas

Elija herramientas de administración de contraseñas aprobadas. El uso de una herramienta de gestión alivia la carga de recordar varias credenciales diferentes para diferentes cuentas, lo que mejora la probabilidad de que los empleados la acepten.

4) Utilice MFA

Implemente MFA como una forma adicional de autenticar usuarios y mitigar el riesgo de phishing.

5) Invierta en la educación de los empleados

Capacite a los empleados para que sigan una política de contraseñas nueva o actualizada y enséñeles sobre el uso de herramientas de administración de contraseñas y MFA. Esto puede mejorar la aceptación y ayudar al personal a comprender la importancia de una buena gestión de contraseñas.

Es hora de tomar acción

En nuestro mundo digital, es más importante que nunca que las empresas hagan un balance de su ciberseguridad. El Día Mundial de Cambie su Contraseña sirve como un llamado a la acción para los líderes empresariales. Ahora es el momento de identificar proactivamente áreas de vulnerabilidad, incluidas políticas de contraseñas deficientes, y reducir el riesgo que representan las ciberamenazas para las empresas, los datos y, por extensión, las personas.

¿Listo para tomar medidas para proteger su negocio y mejorar la administración de contraseñas? Descubra cómo nuestra solución de sistema de gestión de seguridad de la información (SGSI) puede ayudar a su organización a mejorar la postura de seguridad y alinear la política de contraseñas con potentes marcos de seguridad de la información.