La definición de contraseñas seguras “strong password” es una necesidad imperativa para habilitar accesos seguros tanto a la información personal en las redes sociales, cuentas de correo, internet banking, así como los sistemas y recursos de red empresarial.
La definición de contraseñas seguras reduce los riesgos asociados al acceso no autorizado, manipulación y destrucción de información de forma accidental o deliberada y la protege de una posible divulgación no autorizada.
Sin embargo, el uso de contraseñas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la información de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores:
• Definición de contraseñas seguras o complejas.
• Educación y cultura de seguridad en la protección de contraseñas.
• Controles complementarios al uso de contraseñas seguras.
• Controles en la transmisión y almacenamiento de contraseñas.
Muchas personas son de la opinión que la definición de contraseñas seguras no es funcional dado el número de contraseñas que controlan, la dificultad que tienen para definirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de “smartphones”.
Esta situación trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseñas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en ficheros planos en los ordenadores e incluso en el sitio de trabajo visible a cualquier persona.
No obstante, la situación mencionada puede ser solventada empleando técnicas para la definición de contraseñas seguras y estableciendo esquemas de formación y concienciación de usuarios cuyo objetivo es eliminar el uso de contraseñas de fácil deducción mientras permite al usuario la definición de las mismas de forma robusta y fácilmente memorizables.
Para alcanzar el objetivo planteado, es importante considerar los siguientes aspectos entorno a la definición correcta de contraseñas seguras:
• Deben poseer un mínimo de ocho (8) caracteres, constituida por letras mayúsculas, minúsculas, números y al menos un (1) carácter no alfanumérico.
• No usar palabras en ningún idioma, dialecto, argot, o que puedan estar presentes en diccionarios.
• No usar información personal como nombres de familiares, mascotas, etc. o fechas de cumpleaños y aniversarios.
• No usar acrónimos, palabras o frases relacionadas con la universidad o el trabajo.
• No usar términos informáticos, comandos, sites o nombre de aplicaciones o software.
Las técnicas para la definición de contraseñas seguras, no son suficientes para proteger la confidencialidad e integridad de la información, por ello es necesario incurrir en un programa de concienciación y cultura de riesgo que contemple los siguientes aspectos:
• No compartir o revelar las contraseñas a ninguna persona, lo cual incluye familiares, amigos, compañeros de trabajo, jefes o supervisores, entre otros.
• Las contraseñas no deben ser mostradas, almacenadas, escritas ni transmitidas en texto claro.
• No revelar las contraseñas en ningún cuestionario o formato físico ni on-line.
• No delegar o compartir contraseñas durante vacaciones o permisos.
• Definir contraseñas distintas para cada sistema. Principalmente, las contraseñas a emplear en redes sociales (twitter, facebook, linkedin, etc.), sistemas de correo electrónicos, aplicaciones corporativas, internet banking, entre otros.
• Al sospechar que una cuenta de usuarios está comprometida, debe ser reportado inmediatamente al personal responsable. Se debe bloquear la cuenta de usuario para investigaciones si es requerido y forzar la definición de una nueva contraseña.
Aún cuando el usuario tiene consigo la responsabilidad de definir contraseñas seguras y protegerlas de su divulgación, es necesario contar con controles complementarios al uso de contraseñas para reforzar la disponibilidad, integridad y confiabilidad de la información. Lo más apetecible por un intruso dado el factor determinante para un acceso efectivo a la información, son las contraseñas. Por ello, deben ser distintas para cada ambiente tecnológico.
Sin embargo, cada día las amenazas son mayores y difíciles de controlar, por lo que las vulnerabilidades y riesgo de acceso no autorizado a la información son mayores.
En este sentido, los controles de seguridad para la protección de la información catalogada como “crítica” o “secreta”, tienden a ir más allá de la contraseña, por tal motivo es necesaria la incorporación de otros mecanismos de seguridad.
En este sentido Crowe Horwath PLM Auditores, ofrece servicios de consultoría relacionados con las áreas de definición de políticas de seguridad informática enmarcadas en el área de gestión integral de riesgo GIR, generando una mayor seguridad y fiabilidad de la información.
Para cualquier aclaración sobre el particular pueden ponerse en contacto con nosotros, pudiendo dirigirse a Yazomary García, Responsable de la División de Auditoría y Consultoría de Sistemas de Información, a través de la siguiente dirección de correo: yazomary.garcia@crowehorwath.es
