Las contraseñas y su gestión en el lugar de trabajo son en muchas ocasiones el origen de vulnerabilidades en los lugares de trabajo. Irregularidades como que ordenadores tengan una contraseña genérica que todo el mundo sabe o que simplemente se dejen abiertos son prácticas habituales nacidas en la mayor parte de las ocasiones de una mala gestión de las contraseñas.
Los responsables de sistemas deberían poner en práctica una serie de directrices sobre cómo gestionar las contraseñas dentro de los espacios de trabajo y deberían además velar por su aplicación. Contrariamente a lo que podría parecer, estas directrices tienen que buscar la sencillez y no a la complejidad porque, cuanto más compleja es una política de seguridad, más probable es que acabe por no cumplirse. El desafío, por tanto, es aunar seguridad con practicidad. Aquí damos una serie de consejos sobre cómo podemos conseguirlo.
1- Facilitar el almacenaje seguro de las contraseñas
Un usuario tipo puede tener decenas de contraseñas que recordar e, inevitablemente, acabará por apuntarlas en algún lado aunque se le prohíba terminantemente. Así que lo mejor es proporcionarles un método seguro de almacenaje de contraseñas y evitar así que recurrán al clásico post-it pegado en el monitor (algo más común de lo que podría parecer).
El almacenaje de las contraseñas puede ser físico (por ejemplo cajones con llave) o digital (software de gestión de contraseñas) o una combinación de ambos. Lo más importante es que los usuarios tengan claro el sistema que deben usar, que éste sea fácil de implementar y monitorizar su uso.
2- Usar software de gestión de contraseñas
Este tipo de programas pueden ser muy útiles para recordar contraseñas pero hay que tener en cuenta varias precauciones:
- Si se decide usar un software de este tipo, debe ser seleccionado por los responsables de seguridad y no dejarse a la elección de los empleados.
- Estos programas están sujetos a vulnerabilidades por lo que no es aconsejable usarlos para almacenar contraseñas para cuentas especialmente sensibles.
Este tipo de programas pueden resultar muy útiles para almacenar contraseñas de carácter secundario de modo que los empleados se podrán concentrar más en recordar las contraseñas más importantes.
3- Fijar unas reglas claras para escoger contraseña
Se deben fijar una serie de pautas a seguir a la hora de que los empleados creen sus contraseñas. Por ejemplo, no permitir que se usen las mismas contraseñas varias veces, que se usen las mismas contraseñas para asuntos personales y profesionales, etc…
4- Considerar la conveniencia de cambiar con frecuencia de contraseña
El cambio periódico de las contraseñas es una realidad en muchas empresas pero la utilidad de esta práctica está siempre más en duda. Normalmente, los usuarios acaban por recurrir a contraseñas más y más sencillas cada vez que se les pide que las cambien y además se incurre en costes de productividad por olvidos, tiempo empleado en el cambio, etc… Si eliminamos la necesidad de cambiar la contraseña el usuario podrá escoger una contraseña más fuerte y concentrar sus esfuerzos en protegerla.
5- Educar contra el phishing
Una de las técnicas más empleadas para el robo de contraseñas es el phishing y por lo tanto es muy aconsejable realizar una formación a empleados sobre cómo identificar este tipo de ataques en los que se suplanta la identidad de una empresa para mandar un email y pedir el reseteado de una contraseña con el fin de apoderarse de ella.
6- Monitorizar el funcionamiento de las directrices
Si después de diseñar e implementar un plan de protección de las contraseñas, nos seguimos encontrando con que las directrices no son seguidas, tenemos que averiguar dónde está el problema y cómo podemos solucionarlo.
Es posible que el sistema sea demasiado complejo y costoso en términos de tiempo para los empleados o quizá no se ha transmitido de manera adecuada el plan.
Es necesario darnos cuenta de qué es lo que no está funcionando con el fin de atarjarlo
