Del pos-it en la pantalla al 1234 en Internet, así fallamos con la seguridad de los accesos

Del pos-it en la pantalla al 1234 en Internet, así fallamos con la seguridad de los accesos
1 comentario

No es raro que en muchas empresas se vea el usuario y la contraseña de acceso al ordenador pegado en una nota adhesiva en la pantalla del mismo. Esto llevado al mundo de la nube y los accesos desde Internet se traduce en contraseñas muy sencillas y fáciles de adivinar tipo 123456. Ambas prácticas ponen en riesgo la seguridad de la empresa, de sus datos y del acceso a la información.

Tradicionalmente en la empresa se ha apostado por una protección perimetral, es decir, se protegía el acceso desde el exterior a los equipos de la empresa, tanto a nivel informático como físico. De esta forma tener un pos-it con la contraseña pegada no parecía un grave problema. La cuestión es que esta laxitud en la seguridad la estamos llevando también a la nube, y hoy en día la protección perimetral no tiene tanto sentido, ya que se necesita acceder desde cualquier lugar o dispositivo para trabajar.

1234 no es una contraseña segura

Para los empleados parece que la seguridad de los accesos supone un incordio. Si se cambia de forma habitual la contraseña, normalmente cada mes, y se establecen restricciones para que no puedan repetir las últimas o tenga que tener mayúsculas, minúsculas y números, al final acaba en la nota adhesiva o no se pone demasiado celo en buscar una contraseña fuerte.

Esta política es peligrosa dentro de la empresa, pero al fin y la cabo está más o menos controlado quien accede a las instalaciones. Si trasladamos esta misma cuestión a la nube, supone que hemos anotado en un bloc de notas o en un documento de texto nuestras contraseñas de acceso, por lo que ante un problema de seguridad de nuestro portátiles o equipos de casa desde los que accedemos dejamos al descubierto dichas credenciales.

Además en muchas ocasiones es la propia organización la que no cambia con regularidad las contraseñas en la nube. Depende de los servicios que utilice o de las formas de acceso, pero en muchos casos no existe una fórmula que exija cambiar la clave cada mes o definir políticas de seguridad como la autentificación en dos pasos que añaden un extra de seguridad.

En control de la identidad, clave para la seguridad de la empresa

El nuevo perímetro de seguridad es el control de credenciales

De esta forma el control de indentidad se ha convertido en el nuevo perímetro de las empresas, siendo uno de los pilares básicos para su seguridad. Es necesario disponer de los medios técnicos que permitan la trazabilidad y sean proporcionales al volumen de información y tamaño de nuestra organización.

Para ello es necesario definir la política corporativa de seguridad, que debe seguir el principio del mínimo privilegio, es decir, un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus funciones. Esto debe ser también válido tanto si se trabaja desde la oficina, como si se hace desde casa o desde cualquier otro lugar.

Es necesario integrar la gestión de las identidades y acceso de los servicios accesibles desde el exterior, en las políticas de seguridad como el correo electrónico corporativo o el acceso de usuarios a través web o colaboradores vía VPN que se identifican en nuestros servicios y acceden a nuestros datos.

Muchas empresas tienen miedo de dar el salto a la nube por si alguien accede a sus datos, pero tal y como tienen planteada hoy la seguridad de sus sistemas, es más sencillo hacerlo con las credenciales de un usuario que accediendo al datacenter donde se guardan o interceptando la comunicación.

En Pymes y Autónomos | Las contraseñas están más seguras en la agenda de papel que en una hoja de cálculo

Imagen | Juan J. Martínez

Temas
Comentarios cerrados
Inicio