No cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.

Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.

Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.

Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).

Existen multitud de software gestores que cuentan con funcionalidades diversas como:

• La generación automática de contraseñas fuertes y aleatorias
• Sistemas de doble autenticación
• Gestión de la temporalidad de la contraseña (longevidad),
• Filtro de repetición de claves ya obtenidas o simplemente
• Almacenar de forma segura en una base de datos, que a su vez se protege por una password maestra de acceso inicial, para después de forma automática con autoescritura aplicarla junto con el usuario en cualquier acceso.

Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.

Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.

Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:

• Cambio de claves periódicamente (mensual o trimestral dependiendo de la información a la que se pretende acceder).
• No repetir contraseñas antiguas.
• No relacionar claves de acceso con datos o eventos personales (fechas, teléfonos, DNI, matrículas de coche, etc…)
• Diferenciar los sitios de acceso con claves diferentes.
• No almacenar las contraseñas en archivos sin acceso seguro y mucho menos en soporte papel.
• Si el entorno no es seguro, es decir, si estamos conectados a una red Wifi pública o que no está protegida de forma privada o dentro de nuestra corporación, evitar acceder a sitios con nuestro usuario y password.
• Si el equipo no está en un sistema operativo corporativo configurado con usuarios de entorno, y el equipo no es el habitual de trabajo, evitar el acceso, puede ser descifrado con sistemas de validación de pulsaciones de teclado.

Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.

Rocío Bremón

Equipo Govertis