Icono del sitio Cloud Center Andalucía

Fortaleciendo la Seguridad Digital: Estrategias Efectivas para la Gestión de Contraseñas

Índice de contenidos

Gestión de contraseñas

Hoy día, la forma más común de autenticación en un sistema consiste en proporcionar un nombre de usuario y una contraseña. El problema con las contraseñas es que una vez que se pierden o se revelan dejan de ser seguras. En cualquier servicio técnico son muy habituales los incidentes de acceso no autorizado causados por problemas relacionados con la gestión de contraseñas: incidentes en los que las contraseñas fueron reutilizadas en otros sistemas más débiles y se filtraron, contraseñas fácilmente adivinadas debido a información personal disponible en Internet o contraseñas y patrones comúnmente utilizados, contraseñas con el valor predeterminado cuando se instaló el software (o el firmware) inicialmente o contraseñas almacenadas en ficheros de texto plano a los que tuvo acceso un atacante. En esta estadística no entran ya las contraseñas vulneradas por estar escritas en un soporte físico a la vista de todos porque ha pasado a la categoría de accidentes de personas con necesidades especiales.

 

Gestionando el acceso y la identidad

El control de acceso y la gestión de la identidad (AIM) es una de las medidas de seguridad primordiales, aquellas sobre las que pivotan todo el sistema de seguridad. Es muy importante utilizar la herramienta adecuada. Y aquí es donde entra el gestor de contraseñas, probablemente la solución más eficaz que permitirá a nuestro personal trabajar con contraseñas únicas y fuertes. Es una herramienta de bajo coste que puede tener un alto impacto y valor siempre y cuando se implemente correctamente.

La correcta utilización de un gestor de contraseñas, combinada con la autenticación multi factor (MFA), evitará la inmensa mayoría de los incidentes de acceso no autorizado, reduciendo las posibilidades de suplantación de identidad o robo de credenciales.

 

Seleccionando el gestor de contraseñas

En primer lugar, debemos seleccionar cuidadosamente la herramienta que vamos a utilizar, y lo haremos equilibrando las necesidades funcionales del usuario final con los requisitos de seguridad de la organización.

Nuestra recomendación es comenzar preseleccionando un reducido grupo de productos con las funcionalidades de seguridad que necesitas y, posteriormente, escoger el gestor de contraseñas de la preselección que mejor se adapte a las necesidades funcionales de los compañeros.

 

¿Local o en la nube?

La primera gran decisión a la que te enfrentas es si el gestor almacena las contraseñas en la nube o en tu propia infraestructura. Como siempre, la nube nos ofrecerá mayor accesibilidad, sencillez de configuración y mantenimiento. La instalación en local evita tener que depositar la confianza en un tercero, mayor libertad (y complejidad) en la configuración y una menor accesibilidad (lo que no tiene por qué ser negativo), por ejemplo, para trabajadores remotos.

 

Requisitos de seguridad

Decidido el alojamiento, seguimos con los requisitos de seguridad propiamente dichos:

 

Necesidades funcionales de usuario final

No sería extraño que estos requisitos funcionales elevasen el riesgo, simplemente por el aumento de la superficie de ataque de la herramienta, pero estas funcionalidades también facilitarán su adopción, que es el objetivo final. De ahí que antes hablásemos de equilibrio entre las necesidades funcionales del usuario final y los requisitos de seguridad. Algunas de las necesidades funcionales más habituales suelen ser:

 

El equipo de seguridad debería probar varios gestores de contraseñas con esto en mente y luego realizar una prueba de validación con un grupo de usuarios antes de imponer una herramienta para todos.

 

En resumen:

  1. Decide si quieres almacenar las contraseñas en la nube o en tu infraestructura.
  2. Valida los requisitos de seguridad.
  3. Valida los requisitos funcionales de tus compañeros.
  4. Identifica el producto que cubre todas tus necesidades.
  5. Realiza una prueba de validación.

 

Implantando el gestor de contraseñas

Podríamos pensar que una vez seleccionada la herramienta ya está hecho lo más difícil, pero no; en realidad, ahora comienza lo divertido 🙂 Implantar un gestor de contraseñas no consiste en distribuir un software acompañado de un mandato divino. El proyecto de implantación implica instalarlo y configurarlo correctamente, bastionarlo, definir y ejecutar una política de actualización, formar y acompañar a todos los empleados de la compañía que, por su parte, deben entenderlo, dominarlo y utilizarlo ampliamente. Empezamos:

 

Opciones de configuración

En lo que respecta a la configuración, las opciones más interesantes suelen ser:

 

Guía y acompañamiento

Necesitaremos guías de referencia con toda la información que ayude a comprender cómo instalar, configurar y utilizar la herramienta. Estas guías también deben explicar el propósito de nuestras decisiones. También es muy importante que estas guías estén redactadas con un lenguaje y formato amigable para su audiencia. Esto probablemente nos obligue a elaborar varios documentos que, de distinta forma, transmitan el mismo mensaje, las mismas ideas clave.

 

Sin embargo, no podemos quedarnos en las guías de referencia. Si bien son necesarias y debemos incentivar su consulta, va a ser necesario acompañar a los usuarios en el proceso de adopción. La gestión de contraseñas puede ser intimidante, con el añadido de que es un proceso muy sensible. Deberíamos planificar sesiones individualizadas, o al menos con grupos reducidos, que incluyan a todo el personal. Debemos estar muy presentes en el proceso de instalación, configuración e importación de claves, momento en el que podemos adoptar una posición más reactiva.

 

Métricas del éxito de la implantación

Independientemente de la herramienta utilizada, el proceso de implantación de un gestor de contraseñas es muy similar en la mayoría de las organizaciones, al igual que su evaluación. Los siguientes hitos se pueden adoptar con pequeños ajustes:

 

Si cumplimos todos estos hitos y registramos una mejora en los chequeos periódicos (aumenta paulatinamente el número de contraseñas junto al porcentaje de contraseñas robustas) podemos afirmar que la implantación del gestor de contraseñas en la organización ha sido un éxito.

 

Salir de la versión móvil