El 5 de mayo se celebra el día mundial de la contraseña. Es una jornada que trata de concienciar sobre el buen uso que debemos tener a la hora de garantizar la seguridad de nuestros dispositivos y de nuestra información y datos. Más todavía si se tratan datos personales. Por eso vamos a ver los protocolos básicos que debería seguir cualquier empresa para garantizar su seguridad.

Y esto también se puede aplicar a los empleados en su vida personal, así como autónomos o profesionales. Que alguien obtenga las credenciales de nuestros ordenadores, aplicaciones o servicios en la nube puede suponer un problema de gran envergadura. Eso por no hablar de las posibles multas por fuga o robo de datos personales de terceros en el caso de las empresas.

En Pymes y Autonomos

Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

Cambio frecuente de la contraseña

Tradicionalmente en las empresas el modelo más común para garantizar la seguridad era obligar a los empleados a cambiar la contraseña regularmente. Lo habitual es obligar a un cambio cada mes, sin que se puedan repetir determinados caracteres de la contraseña a la que se sustituye. El problema de este modelo es que en muchos casos los usuarios acaban creando patrones para acordarse por lo que al final no resulta demasiado efectiva.

De hecho el tener que cambiar la contraseña de forma habitual, obligar a que incluya letras, números, signos o mayúsculas al final resulta contraproducente, porque en muchas organizaciones acaban anotadas y pegadas en una nota adhesiva en la pantalla del ordenador.

Lo ideal en estos casos es que la contraseña sea más larga, pero a la vez fácil de recordar, por ejemplo, la estrofa de una canción o una frase o dicho que nos sea fácil de recordar.

Biometría, la mejor alternativa

Si queremos un plus de seguridad podemos optar por la identificación biométrica. En estos casos, será una característica física la que nos ayude a acceder a nuestro ordenador o servicios.

En Pymes y Autonomos

Obligué a mis empleados a fichar con huella dactilar y ahora tengo una multa de protección de datos

Pero tiene algunos inconvenientes. Para empezar, no todos los ordenadores o diferentes servicios nos permiten identificarnos con la huella o nuestra cara, por poner dos ejemplos sencillos.

Además hay que tener en cuenta que es lo que dice el RGPD, ya que son datos de especial protección y antes de implantar este método de identificación deberíamos probar que otros no han funcionado correctamente.

Doble factor de autentificación

En estos casos, quizás la mejor alternativa es utilizar siempre que sea posible el doble factor de identificación, donde además de la contraseña nos puede llegar un mensaje de aprobación a nuestro teléfono o tenemos que desbloquear con una aplicación de seguridad que tenemos instalada en el mismo.

El problema es que no todos los empleados disponen de un teléfono de empresa donde van a llegar estos mensajes o instalar estas aplicaciones. Pero en muchos casos es la mejor manera de evitar problemas, incluso aunque en algún momento nuestras contraseñas hayan quedado expuestas.

Gestores de contraseñas

Por último, hay que mencionar los gestores de contraseñas, aplicaciones que nos permiten generar contraseñas seguras y almacenarlas para no tener que recordarlas. El principal inconveniente es que dependen de una contraseña maestra y si esta se vulnera tendrán acceso a todas nuestras credenciales.

Por supuesto, son mucho más seguras que las contraseñas almacenadas en el navegador, algo que nunca deberíamos hacer. Y nos ayudan a evitar otro de los malos hábitos que tienen muchos usuarios, y que luego trasladan a la empresa, utilizar la misma contraseña para todo.

En Pymes y Autonomos

Qué es un ataque de ransomware a la empresa y qué rescate están pidiendo a las secuestradas

Es aquí cuando la formación en seguridad nos dará ese sentido común, nos enseñará a distinguir riesgos y, sobre todo, a sospechar a tiempo y evitar problemas de seguridad que puedan comprometer datos y continuidad de negocio.

Otras buenas prácticas para mejorar el uso de la contraseña en la empresa

Por último, si trabajamos como autónomos, pero también en nuestras empresas es muy recomendable separar vida personal y profesional. No compartir información, contraseñas que utilizamos en nuestro día a día en el trabajo. Una norma básica, pero que hay muchos trabajadores que no cumplen.

En Pymes y Autonomos

¿Por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?

Para finalizar, siempre deberíamos  trabajar con el mínimo privilegio, es decir, que en algún momento nuestras contraseñas queden expuestas, no se puedan hacer demasiadas cosas. Si se tienen acceso a la información, pero no instalar un programa que nos capture más información todavía, ya sea para grabar las pulsaciones de nuestro teclado, la pantalla o la imagen y sonido a través de las cámaras.

Hoy es el día mundial de la contraseña. Como siempre este tipo de efemérides están pensadas para concienciar a los usuarios de la necesidad de llevar a cabo buenas prácticas en la protección de sus credenciales, que al fin y al cabo en muchos casos custodian su identidad digital. En las empresas llevamos años utilizando usuario y contraseña para identificarnos en los sistemas y poder trabajar, pero ¿por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?

Si cada vez que he tenido que cambiar una credencial de acceso a una persona me hubieran dado un euro por cada queja expresada: "no se que poner", "¿no puedo poner la de siempre?", "seguro que luego se me olvida", "¿y la tengo que cambiar cada mes?", "¿Tengo que poner mayúsculas, minúsculas y números?", "¿No puedo poner 123456? Seguro que a nadie se le ha ocurrido antes..." y podría seguir hasta el infinito.

En Pymes y Autonomos

Hasta 260 millones para reforzar la ciberseguridad de la pyme

La realidad es que el usuario y la contraseña no es una buena solución de seguridad, pero ¿tenemos otras alternativas mejores? Esta es la cuestión, porque hoy en día es una cuestión que está superada ampliamente en los dispositivos móviles y la biometría.

Sin embargo este tipo de soluciones no se acaban de imponer del todo en las empresas. En parte porque necesitan integrarse en muchos casos con sistemas que ya están en marcha, con aplicaciones de terceros, etc. Y todo esto implica inversión y un alto coste para mejorar la seguridad, algo a lo que muchas empresas tampoco es que presten demasiada atención. Lo mismo podríamos decir de otras soluciones como la autentificación por doble factor. A corto y medio plazo, la contraseña seguirá siendo el método básico de identificación en la mayoría de las organizaciones.

En este sentido la contraseña sigue siendo el método de identificación más utilizado y universal. Existen un buen puñado de buenas prácticas para intentar lograr que sea una fórmula segura, aunque la realidad nos dice que cuanto más complicado se lo pones a los trabajadores, más fácil es que se acaben por apuntar la contraseña en una nota adhesiva en la pantalla de su ordenador.

Por lo tanto hay que llegar a un compromiso entre seguridad y usabilidad. Que sea fácil trabajar, pero que a la vez se pueda hacer de forma segura. Y ante todo, dejar que cada uno trabaje con el mínimo privilegio, es decir, que solo tenga acceso a aquello que necesita, para que en caso de que se produzca una brecha de seguridad se intente aislar el problema.

Por último todo cambia si lo que se busca en la empresa, además de seguridad, es trazabilidad. Que cada usuario conozca su contraseña, pero no la de sus compañeros. Y esto es algo muy habitual, el uso de patrones para crear credenciales, de manera que al final, todo el mundo conoce la contraseña de los demás. En este caso los controles tienen que ser más estrictos, cambiar las contraseñas con más frecuencia, no dejar repetir las últimas, ni admitir la creación de esos patrones.

Cada vez que indico a alguien en una empresa que tiene que crear una contraseña y añado que no puede ser la misma que ya utiliza para iniciar sesión en su ordenador surge un problema. "Es que no se que poner", suele ser la respuesta más habitual. Esto no deja de ser un síntoma de algo que ocurre desde hace tiempo, y es que tenemos un problema con las contraseñas en las empresas y aun no sabemos cómo resolverlo.

Las empresas que llevan un control más estricto obligan a cambiar la contraseña de acceso a ordenador y aplicaciones en la nube que utilicen los empleados cada mes. Además suelen tener condicionantes como que incluya mayúsculas, símbolos y una longitud mayor de 8 caracteres, por poner alguna de las más comunes.

En Pymes y Autonomos

Cinco consejos para proteger adecuadamente tus contraseñas

A mayor exigencia de complejidad, menos seguridad en la práctica

Si se quiere exigir más se obliga que no se pueda repetir según el patrón de la última. Es decir, si la última que pusimos fue Manolo21?, no podremos poner el mes siguiente Manolo22?. Parece una buena idea no repetir ni crear un patrón, aunque a efectos prácticos no está nada claro que esto contribuya a generar mayor seguridad, puesto que suelen acabar apuntadas en una libreta o en el peor de los casos una nota adhesiva en la propia pantalla.

Si se permite la creación de patrones al final cualquier usuario de la oficina suele conocer la contraseña de acceso de sus compañeros. Esto tiene una parte buena en lo que se refiere a la usabilidad o poder trabajar en otros puestos que no son los habituales. Pero una nefasta en lo que a la trazabilidad se refiere. No sabemos quién ha entrado o ha hecho un cambio en un documento, borrado un dato, etc. Porque sabemos el usuario, pero al ser "públicos" no se puede asegurar quién hizo qué.

Por eso algunos expertos en seguridad prefieren ser menos estrictos en lo que a la complejidad de las contraseñas se refiere. No generar patrones por defecto en las compañías, pero a cambio que las contraseñas se configuren como frases de paso largas. Por ejemplo, mejor que Manolo21? utilizar pablitoclavounclavito, fácil de recordar y lo suficientemente extensa para que sea complicada de adivinar.

De la biometría a las tarjetas de identificación con chip

Lo cierto es que hay que llegar a un compromiso entre usabilidad y seguridad. En este sentido el uso de algo que solo tenga el propio usuario podría ser la solución. La biometría, ya sea un lector de huellas digitales, el uso de tecnologías de reconocimiento facial es una de las soluciones que harían que solo el propio usuario tenga acceso a la información.

Hay otras soluciones, como puede ser una tarjeta criptográfica, similar al DNIe, con un chip que tiene un certificado o la información necesaria para el inicio de sesión. Si la tarjeta está insertada podemos iniciar sesión, si se desconecta al bloquearse el equipo dejamos de tener acceso.

Ambas soluciones implican disponer de un hardware, lector de huellas, cámara biométrica o lector de tarjeta que por lo general no está disponible en la mayoría de las pymes. Y ponerlo en marcha requiere de una inversión que luego en muchos casos no deja de ser una solución parcial. Sobre todo porque muchas de las aplicaciones que utilizan en su día a día los empleados que también requieren de credenciales de acceso no aceptan el uso de esa huella o esa tarjeta criptográfica. Y al final volvemos de nuevo al usuario y la contraseña.

Por no hablar de que el almacenamiento de estos datos personales biométricos está especialmente protegido por el RGPD. Y en muchos casos existen dudas de los expertos de la obligación de utilizarlos como método de identificación, ya que primer habría que demostrar que otros como el usuario y la contraseña no se han utilizado de forma adecuada por los empleados.

Algo parecido suponen las llaves de seguridad, unas memorias USB especiales que sirven como factor de doble autentificación. Es decir, no basta solo con usuario y contraseña, si no tenemos el USB no accedemos. El problema en este caso sigue siendo que no es una solución universal y multidispositivo.

¿Son los gestores de contraseñas la solución?

Una solución de compromiso pueden ser los gestores de contraseñas. Se trata de programas que con una contraseña maestra, esta es su principal debilidad, nos permiten almacenar contraseñas seguras para diferentes servicios. Los podemos utilizar tanto en PC como en smartphone. Permiten crear credenciales diferentes para cada uno de los lugares donde nos tenemos que identificar.

En Pymes y Autonomos

La gestión de claves de acceso en la empresa y por qué tenemos que utilizar un gestor de contraseñas

Podemos crear contraseñas aleatorias sin necesidad de recordarlas, desde un acceso WiFi a la identificación en el inicio de sesión del ordenador del trabajo o de la banca online. La principal debilidad está en que en caso de descubrir nuestra contraseña maestra todas quedan expuestas.

No hay solución, al menos a corto plazo

Con todo esto no existe una solución estándar que reúna las dos condiciones, usabilidad y seguridad. Y sobre todo no existe un modelo que sea exportable entre el ordenador, aplicaciones instaladas, aplicaciones web, etc. Esto suma dificultad a encontrar una solución adecuada para diferentes plataformas y dispositivos.

A esto se suma que muchas empresas no son especialmente celosas de la seguridad y mantienen una política un tanto relajada en este sentido. Si a esto le sumamos que no existe una formación adecuada en riesgos o los peligros para la empresa de tener una mala política en este sentido. Al final el resultado es que aplican los mismos criterios que en su vida personal. De esta manera no es raro que la misma contraseña se utilice para todo o que 123456 o qwerty sean contraseñas habituales.

Imágenes | Schluesseldienst | TheDigitalWay en Pixabay

A pesar de que todo el mundo es consciente de la importancia de proteger de forma adecuada las contraseñas de los sitios web que visitan y las aplicaciones que lo utilizan, lo cierto es que son pocos los usuarios que lo hacen correctamente.

Una encuesta realizada por Bilendi el año pasado afirmaba que el 59 por ciento de las personas utilizan la misma contraseña para la mayoría sus cuentas online, mientras que tan solo un tercio (35 por ciento) utiliza una contraseña diferente para cada cuenta. Por eso, los expertos recomiendan seguir una serie de consejos para proteger adecuadamente las contraseñas de los usuarios.

Utiliza una contraseña diferente para cada sitio web

Aunque sea complicado recordar varias contraseñas por la enorme cantidad de webs en la que estamos registrados, lo ideal sería utilizar diferentes contraseñas para diferentes aplicaciones.

De este modo, una potencial vulnerabilidad en alguno de los sitios que pusiese en peligro alguna de nuestras contraseñas no tendría impacto sobre el resto.

Que las contraseñas sean largas, fuertes y seguras

En la actualidad, no hay prácticamente ningún sitio web que no exija en el registro utilizar un tipo de contraseña fuerte y segura, con al menos una mayúscula, una minúscula, un número y un carácter alfanumérico. Y, además, que tenga una extensión mínima de 8 caracteres-

El objetivo es ponérselo difícil a los hackers, para que no puedan adivinar la contraseña por fuerza bruta. De hecho, muchos análisis afirman que para desbloquear una contraseña larga, fuerte y segura son necesarios varios años.

En Pymes y Autonomos

La ciberseguridad en la pyme y la sensación de falsa seguridad

Dos cuentas de correo electrónico diferentes

Aunque la mayoría de consejos recaen en la estructura de una contraseña, lo cierto es que también podemos proteger nuestros datos a través del usuario del login. Es decir, utilizar un par de cuentas de correo electrónico diferentes según el sitio.

Además, también es recomendable tener registrada más de una cuenta de correo electrónico en los sitios que sea posible hacerlo. De esta forma, si una cuenta se ve comprometida entonces siempre es posible recuperarse.

Doble autenticación

La doble autenticación es una técnica que permite a los usuarios utilizar un medio adicional a la contraseña para acceder a una determinada página web, como un SMS de móvil, un mensaje lanzado a la app o elementos biométricos, como el rostro o la huella dactilar.

Utilizando la doble autenticación, los usuarios están más protegidos. Aunque otra persona disponga de la contraseña, necesitará algún elemento adicional que, por lo general, no va a tener a su disposición, como el móvil del usuario. Esto dificulta su acceso.

Gestor de contraseñas

Los gestores de contraseñas son programas y aplicaciones específicos que almacenan toda la información de los usuarios y las contraseñas de forma segura. Sirven, además, como asistentes tanto para crear contraseñas nuevas como para recordarlas en los sitios al momento de acceder.

Se recomienda utilizar un gestor de contraseñas, aunque con mucho cuidado. Si alguien conociera la contraseña de este gestor, tendría acceso a todas las contraseñas de los diferentes sitios en los que puede acceder el usuario.

Hay dos tendencias mayoritarias a la hora de recordar las contraseñas. La más habitual es poner a todo la misma contraseña, sin importar si es la página de registro de una tienda online en la que compramos, una red social o el acceso al ordenador de la oficina. En otros casos se opta por dejarla apuntada en una nota, generalmente pegada en la pantalla. Y así llevamos años. Pero hoy en día se hace imprescindible utilizar un gestor de contraseñas.

Porque es la única manera de mantener una mínima separación entre servicios personales y profesionales, pero también que el fallo de seguridad no comprometa toda nuestras credenciales y nos veamos obligadas a cambiarlas, o lo que es peor, sufrir un problema de seguridad, un secuestro de cuentas, etc.

En Pymes y Autonomos

La nube tiene un problema de seguridad y está en las contraseñas de los usuarios

Y si no establecemos una barrera mínima todos estos problemas serán vasos comunicantes y un problema en nuestra cuenta de una red social con la que nos identificamos en un servicio cuyas contraseñas han quedado expuestas supone un grave riesgo al final para el ordenador del trabajo.

Pero es que además podemos trasladar el problema de una empresa a otra. Un error de este tipo puede afectar a un empleado que ya no está en nuestra organización, pero esta vulnerabilidad afectar a alguna cuenta que se mantenga ya que es habitual que no exista la disciplina necesaria para revocar accesos.

Un gestor de contraseñas nos puede hacer la vida mucho más fácil en este sentido. Los datos de acceso se almacenan y podemos tenerlos a mano en el ordenador, en el móvil para poder registrar contraseñas de forma automática, complejas, largas y casi imposibles de recordar. El gestor se encarga de hacerlo por nosotros. Solo tenemos que tener la disciplina necesaria para mantener la contraseña maestra segura, cambiarla cada cierto tiempo y no utilizarla en ningún otro servicio.

La otra opción es tirar de libreta de claves, como se ha hecho toda la vida. Lo malo es que si tenemos que renovarlas de forma periódica, al final no tenemos muy claro si la que hemos apuntado es la nueva o la que ya tenemos caducada. Hoy en día no es una solución aceptable.

Imagen | carlosalbertoteixeira

Comodidad vs. seguridad, una batalla que lleva años luchando con los usuarios y no necesariamente tiene que ver con la tecnología. Llevamos años de malas prácticas, de guardar la llave de la puerta de casa debajo del felpudo por si acaso nos la hemos olvidado... Y eso se traduce también en nuestro día a día con la tecnología. Por eso guardar la contraseña en el navegador no es una buena idea en la empresa.

Para empezar porque estas contraseñas implican que cualquiera que ponga la dirección de nuestra aplicación online de facturación, por ejemplo, puede acceder a la misma con nuestro usuario o contraseña. Pero además, basta con realizar una sencilla búsqueda en Internet para llegar al almacén de claves de cualquier navegador donde están almacenadas todas en texto, con lo cual cualquiera podría verlas.

Muchas empresas piensan que por estar en un entorno de confianza no tienen que preocuparse. Al fin y al cabo son sus propios compañeros los que se pueden sentar en un momento dado en su ordenador. Pero no se trata ya de eso, de que alguien con mala intención quiera acceder con nuestras claves, sino de lo que un ataque puede obtener en nuestro ordenador.

Mantener un listado con claves de acceso para diferentes lugares, una hoja de Excel o un simple bloc de notas puede parecer buena idea, pero no lo es. En caso de una intrusión que pretenda robar datos es algo que estamos poniendo en bandeja para los ciberatacantes. Y es algo cada vez más habitual, ya sea por desconocimiento o por una mala práctica.

Por eso si queremos mantener un sistema de este tipo tenemos tres opciones. Cifrar los documentos de contraseñas con un programa específico, de manera que ante un acceso indebido no pueda obtener los datos. Otra alternativa es buscar un gestor de contraseñas, que se encargue de mantener la información cifrada, ya sea en nuestro ordenador o sincronizada con la nube. La última opción es la más sencilla, la libreta donde se apunta todo y se guarda en un cajón con llave.

En Pymes y Autónomos | Día de la contraseña, ¿por qué la seguridad se convierte en un incordio?

Imagen | Nguyen Nguyen

Hoy es el día mundial de la contraseña, que se viene celebrando tradicionalmente el primer jueves de mayo desde 2013. Cuando se celebra un día mundial de... es porque es necesario reivindicar la importancia de algo, la necesidad de un mayor conocimiento sobre este asunto, en este caso las contraseñas. Pero ¿por qué la seguridad se convierte en un incordio?

Seamos sinceros. Para la mayoría de los empleados en un ambiente profesional la contraseña no deja de ser un incordio. Si se obliga a tener un mínimo de caracteres, a no repetir contraseñas o a cambiarlas cada mes el resultado es que para muchos resulta imposible aprendérselas y acaban por apuntarlas en una nota adhesiva en la pantalla del ordenador.

No era ese el objetivo perseguido al aumentar la complejidad en el uso de contraseñas. Además estamos penalizando la usabilidad, al obligar a poner las credenciales para acceder al ordenador, a aplicaciones, etc. Y tenemos a un usuario poco colaborativo y concienciado con la seguridad que comienza a ver como un incordio. Por supuesto ni hablamos de bloquear el usuario después de x intentos infructuosos.

Si dejamos que se pongan contraseñas sencillas o se utiliza un mismo patrón para toda la empresa, tampoco cumplen con el objetivo. Porque resulta que todo el mundo conoce la contraseña de los demás. Bien, cualquiera puede trabajar en un momento dado en otro equipo, pero se pierde el objetivo de que cada uno tenga un acceso único.

Por eso creo que esto es un problema irresoluble. Y además porque la seguridad está mal planteada desde la base. Tiene que ser algo sencillo para el usuario, que no necesita de grandes conocimientos técnicos, pero que le identifique de forma unívoca sin que sea un problema ni tenga que estar constantemente recordando credenciales.

Y aquí existen diferentes soluciones, que pasan por el uso de tarjetas criptográficas, donde cada usuario tiene su certificado. Se introducen en el lector correspondiente, muchas organizaciones lo incluyen en sus teclados y se puede acceder al sistema, aplicaciones, etc. El problema es que no todas facilitan la integración con este tipo de sistemas.

Tampoco con los biométricos, que es la otra alternativa solvente. La única forma de estar seguros es la huella dactilar, que es el más habitual, para iniciar sesión en un ordenador, acceder a determinada sala o entrar en una aplicación. Hoy en día ya lo hacemos desde el móvil de forma intuitiva, por lo que en el mundo de la empresa tampoco debería ser problema.

En Pymes y Autónomos | Así ponemos en riesgo cada día los sistemas y datos en nuestro puesto de trabajo

Imagen | freeGraphicToday

La seguridad de la información en las empresas es algo que muchas organizaciones no acaban de tomarse del todo en serio. Se trata muchas veces de potenciar la usabilidad, la comodidad, para que cualquiera pueda acceder a cualquier equipo para trabajar o hacerlo desde casa con información que nos hemos llevado para ello. Por eso es habitual poner en riesgo cada día los sistemas y datos en nuestro puesto de trabajo.

Y lo cierto es que la mayoría de las empresas piensan que por tener una empresa familiar, donde todos se conocen, no están obligadas a cumplir con unas mínimas precauciones. Y se relaja toda medida de seguridad, que se ven por otra parte como un incordio, algo que molesta, más que una medida de protección ante cualquier problema, tanto interno como externo.

Las contraseñas, ese incordio en el trabajo

El ejemplo más común son los equipos sin bloquear cuando el usuario se marcha o abandona su puesto durante unos minutos. Y cualquiera puede llegar a dicho puesto y ponerse a revisar datos de clientes. Pensamos que porque la empresa sea pequeña y todo el mundo se conozca no va a pasar nada. Pero muchas veces el control se toma desde fuera, con un ataque que al no tener que poner la contraseña lo pone realmente fácil.

Algo similar ocurre cuando las contraseñas están anotadas en una nota adhesiva o que todo el mundo conoce. Y de esta forma se invalida cualquier trazabilidad en el acceso a los documentos que se pueda programar. Si todo el mundo conoce los datos del resto, no sirve de nada intentar investigar quién accedió a qué documento o datos de clientes que no deberían haber salido a la luz.

Lo mismo ocurre con el uso de contraseñas demasiado sencillas. Tiene que existir un mínimo de complejidad, que no sean para todos los trabajadores siguiendo el mismo patrón. No se trata de hacer que la contraseña sea como si un gato se hubiera paseado por encima del teclado, pero sin unos mínimos al menos de longitud.

Esos datos que salen de la empresa sin ningún control

Si hablamos de datos sin control, es habitual pasar información corporativa a un USB o disco virtual en la nube o a través mensajería instantánea. Y sin ningún tipo de cifrado. En el caso de los discos virtuales es aún más grave porque muchas veces se intercambia información con clientes o empresas, que pueden verse afectadas por un problema de seguridad que propagan a través de dicho disco a la nuestra.

Más habitual todavía es ver documentación por encima de las mesas al alcance de todos. En muchos sitios no se guarda ni siquiera en las cajoneras. De esta forma basta que de forma accidental alguien deje sus cosas en una mesa para a la hora de recoger llevarse una carpeta que no corresponde con datos confidenciales de clientes que deberían estar protegidos.

Y por último en algunos casos nos olvidamos de eliminar documentación sin destructoras de papel. O la obsesión por el reciclado de documentos nos lleva a dejar datos de clientes en manos de otros. Y esto puede resultar bastante peligroso. Y lo peor de todo es que no existe una cultura de la seguridad que se vaya creando.

En Pymes y Autónomos | La seguridad en la empresa no solo es responsabilidad de los informáticos

Seguridad vs. usabilidad es uno de los grandes debates de nuestro tiempo. Cada vez tenemos más contraseñas, accedemos a más lugares que requieren unas credenciales, servicios online, financieros, etc. También en la empresa. Por eso muchos acaban anotando las contraseñas en un bloc de notas en el ordenador, lo que supone un grave error.

No tengo nada en contra de este tipo de gestión, lo que no acaba de convencerme es el modelo digital. Si vamos a guardar las contraseñas en claro, sin cifrar, estarán mucho más seguras si tenemos una libreta en un cajón de nuestra mesa que si están en un bloc de notas dentro del propio ordenador, como afirman muchos expertos en seguridad. Porque un fallo de seguridad puede hacer que un atacante se haga con todas ellas.

Si no queremos perder usabilidad, mejor que guardar las contraseñas en el navegador es utilizar algún gestor de contraseñas. Esto tiene un aspecto positivo y otro negativo. Lo bueno es que podemos generar contraseñas diferentes para cada sitio, sin tener que recordarlas y siendo contraseñas fuertes, complicadas de romper. El punto débil es que tenemos todos los huevos en la misma cesta.

Para las empresas comienza a ser un servicio imprescindible, sobre todo para mantener todas las contraseñas seguras, cifradas, sin que un problema de seguridad suponga un problema a corto o largo plazo. Y aquí no solo hablamos de problemas que afecten a nuestra empresa, sino también a servicios que utilizamos. Si siempre usamos la misma contraseña y hay una brecha de seguridad, afectará a todos los servicios.

De todas formas tenemos que aprender a custodiar mejor las contraseñas en el trabajo. Lo mismo que hemos aprendido a custodiar nuestro PIN de la tarjeta, las credenciales de acceso tienen que ser secretas. No pueden ser conocidas por el resto de compañeros ni estar apuntadas en una nota adhesiva al lado de nuestro ordenador. Y siempre que se pueda acceder a través de nuestro certificado digital.

En un mundo cada vez más digital debemos empezar a tomarnos en serio de una vez por todas la seguridad de nuestros datos, de la información que tenemos en las empresas. Por supuesto los datos personales de clientes tienen que estar más protegidos por las cuentas que nos trae. Las sanciones del nuevo RGPD que entra en vigor en Mayo pueden acabar con el cierre de nuestra compañía.

En Pymes y Autónomos | Año nuevo, contraseñas de acceso nuevas

Ayer nuestros compañeros de Genbeta nos contaban como el autor del documento de seguridad de referencia en lo que respecta a las políticas de creación de contraseñas y su gestión en las empresas cree estar equivocado. No por obligar a cambiar de clave de acceso cada tres meses y obligar a poner mayúsculas, minúsculas o signos son más seguras. Hay que llegar a un compromiso entre usabilidad y seguridad a la hora de crear una política de contraseñas.

Si se obliga al usuario a introducir todas estas características en su contraseña, evitar que se repitan x caracteres al renovarlas, hace que los empleados acaben por volverse descuidados, que no se acuerden de la clave que pusieron ayer y acaben por apuntarla en una nota adhesiva sobre la pantalla. Al final el efecto que se consigue es el contrario al deseado. En lugar de mejorar la seguridad, se facilita el acceso.

Por eso muchas organizaciones no aplican estas restricciones de políticas de contraseña a la hora de gestionar los accesos de los usuarios. Además hay que tener en cuenta que para muchas de ellas la confidencialidad o la trazabilidad no son esenciales. La posibilidad de que cualquier trabajador acceda al ordenador de un compañero para realizar determinadas tareas está por encima de la privacidad.

De este modo se acaba por crear un patrón para todos los puestos de trabajo, asociado a su número de puesto, de extensión de línea telefónica, etc. Al final, salvo casos puntuales todos saben la contraseña de todos. Esto también tiene el inconveniente de que cuando ocurre algo y se quiere averiguar quién ha borrado un archivo, o modificado un documento, el resultado no será nunca concluyente.

Además recuerdo a un jefe que tuve que al poco de entrar me facilitó sus contraseñas. Sólo vas a poder trabajar más gracias las claves de acceso, recuerdo que me dijo. Y no dejaba de tener razón, dada la relación de confianza que existía en nuestro departamento. Y esta es la relación que existe en la mayoría de las pymes.

Al final todas las restricciones suponen una clave que la mayoría de la gente no puede recordar pero que a la hora de detener un ataque por fuerza bruta, no son tan complicadas para un ordenador. Por eso la tendencia actual se mueve hacia contraseñas más largas, como frases de paso, que sean sencillas de recordar, pero por su longitud complicadas por la cantidad de combinaciones posibles, de adivinar para los ordenadores que intenten un ataque.

En Pymes y Autónomos | Día Mundial de la Contraseña, ¿necesitamos reivindicar mejores prácticas? Imagen | TBIT