Guía Práctica sobre la Política de Contraseñas Corporativa (las 7 mejores prácticas)

Cada dispositivo, tiene una política de contraseñas. No es algo exagerado, sobre todo cuando los usas para trabajar. A nivel micro, una contraseña de 6 caracteres en el teléfono inteligente es una política de contraseñas en miniatura.

Las contraseñas son importantes para proteger los datos corporativos. Bank of North Dakota (BND), una institución financiera estadounidense del estado, mencionó un sorprendente "81%" de violaciones de datos de empresas causados principalmente por contraseñas débiles.

La seguridad de las contraseñas debe tener una buena estrategia como la primera barrera para resistir los ataques cibernéticos. La empresa puede hacer más con una política de contraseñas corporativa mucho más que un código de acceso como mínimo de 6 caracteres. Siga leyendo y para descubirir cómo configurar una buena política de contraseñas para su compañía. Hablaremos de los requisitos y las herramientas necesarias en este artículo.

1¿Qué es una política de contraseñas corporativa?

Cuando hablamos de una política de contraseñas de empresa, no se trata solo de cuántos caracteres debe tener la contraseña. Esas actividades y herramientas para la administración de contraseñas también deben tenerse en cuenta.

Entonces, ¿qué es una política de contraseña corporativa? Es una estrategia de contraseñas presentada por una compañía y aplicada por los empleados para estandarizar su uso de contraseñas y proteger aún más los activos corporativos. La política debe cubrir los siguientes aspectos:

• Requisitos de configuración de contraseñas
• Normativa para guardar, proteger y administrar contraseñas en dispositivos de trabajo
• Directrices para la gestión de seguridad de contraseñas
• Otros incluyen la educación de los empleados y la respuesta corporativa si se causan pérdidas graves, etc.

Una política de contraseñas corporativa no está escrita en piedra. Las empresas deben revisar y actualizar sus políticas de contraseñas con frecuencia para que las reglas sean efectivas. Las políticas sólidas de contraseñas de la empresa pueden ayudar a controlar las amenazas cibernéticas externas, los accesos no autorizados y las filtraciones de datos causadas por errores humanos. Es fundamental garantizar la confidencialidad, integridad y disponibilidad de los datos de la empresa.

2Paso previo: ¿qué hacer antes de crear una política de contraseñas corporativa?

Antes de crear una política de contraseñas, las compañías deben realizar unos pasos previos para asegurarse que funcionará. Estos son los seis pasos a seguir:

1. Conocer en qué elementos la empresa necesita configurar contraseñas.

La empresa debe recopilar activos corporativos e identificar los que requieren protección con contraseña, como los sistemas OA (ofimática), ordenadores, portátiles, teléfonos inteligentes, aplicaciones de trabajo, etc.

En particular, es esencial priorizar estos elementos en función de su nivel de sensibilidad y el impacto potencial si se ven comprometidos. De esta forma, el equipo de TI puede usar reglas de contraseñas con diferentes puntos fuertes.

2. Consulte los métodos o tecnologías de autenticación de alta seguridad.

El inicio de sesión único (SSO), las contraseñas de un solo uso (OTP), la verificación en dos pasos (2FA) y la autenticación de múltiples factores (MFA) son comúnmente usados. Estos métodos pueden mejorar significativamente la seguridad de las cuentas de usuario y proteger la empresa contra accesos no autorizados.

3. Seleccione las herramientas de administración de contraseñas para su empresa.

Existen bastantes administradores de contraseñas de nivel empresarial en el mercado SaaS. Elija uno verificado después de revisar sus reseñas y pruebas. Un administrador de contraseñas puede ayudar a generar contraseñas complejas y únicas, verificación múltiple, alertas, etc.

Además, puede usar soluciones MDM o EMM para proteger y administrar los dispositivos de la empresa y los dispositivos de los empleados. Esas herramientas protegen tanto los terminales físicos como los datos. Además de, crear una política de contraseñas, restringir el uso de dispositivos y aplicaciones, usando kiosco modo, y la administración remota de flujos de trabajo también está disponible.

• Kiosk Mode
• Administración de aplicaciones
• Geofencing y seguimiento

4. Asigne empleados para que se encarguen de la seguridad y la administración de contraseñas.

Las contraseñas para activos corporativos pueden ser tremendas. Incluso un empleado puede necesitar varias contraseñas durante su trabajo. Por lo tanto, es necesario contar con un equipo especializado para hacerse cargo de la seguridad y la administración de contraseñas.

Algunas tareas de las que pueden realizar son la detección de vulnerabilidades, la revisión de registros de contraseñas, el restablecimiento de contraseñas y las solicitudes de cambio, el control de emergencias como la pérdida de dispositivos y la capacitación.

Con un equipo dedicado, la organización puede garantizar que los empleados sigan las políticas de contraseñas. Y esto puede ayudar a prevenir filtraciones de datos y mejorar la posición general de seguridad.

5. Estipular los requisitos de creación y guardado de contraseñas de los empleados.

Esto hace que las personas sean más conscientes de la seguridad de las contraseñas y les anima a crear contraseñas más complejas y complicadas.

6. Crear un plan de implementación para la política de seguridad de las contraseñas corporativas.

Planificar la estrategia, qué hacer y el personal responsable del trabajo. El plan también debe contener pautas detalladas sobre las mejores formas de usar contraseñas y las consecuencias para los empleados que deben seguirlas.

3Las 7 mejores prácticas de políticas de contraseñas para mejorar la seguridad empresarial

Prepárate para los pasos previos. Es el momento de tomar acción. Revisa las mejores prácticas para una buena política de contraseñas. En esta lista te enseñamos lo que debe cumplir tanto la empresa como los empleados, y cómo la empresa puede garantizar la implementación.

1Cree contraseñas con al menos 10 caracteres.

La longitud recomendada de una contraseña es de 10 caracteres o más, Esto hace que sea más difícil de descifrar (Fuente: www.security.org).

Hay muchas fuentes en línea que dicen que las contraseñas de 8 dígitos son las mejores. Se basa principalmente en el sistema operativo de los dispositivos. Sin embargo, según Statista, hoy en día, una máquina puede descifrar una contraseña de ocho caracteres en 22 minutos.

Cuanto más larga sea la contraseña, más difícil será de descifrar y más segura será. Este gráfico puede hacer que la relación sea más sencilla.

Fuente: Tabla de contraseñas de Hive Systems

Pero eso no significa que los empleados deban establecer un código secreto sin restricciones. Al crear una contraseña para el trabajo, debe tener en cuenta la dificultad de la memoria. No querrá tener que restablecer su contraseña todos los días porque no puede recordarla.

Además, también debe tener en cuenta los límites de longitud de la contraseña en los dispositivos de trabajo. Establecer una contraseña con una longitud adecuada es la mejor opción. Los dispositivos Android pueden almacenar hasta 16 caracteres, mientras que los dispositivos iOS tienen 6 dígitos de forma predeterminada. En los equipos con Windows se pueden definir de hasta un máximo de 14 caracteres. Si quieres saber más sobre la política de contraseñas recomendada en dispositivos móviles, aquí tienes un consejo.

2Contener caracteres de varias categorías en la contraseña.

La complejidad es otra forma de mejorar la seguridad de las contraseñas de la empresa. Una contraseña segura debe contener letras mayúsculas, letras minúsculas, números del 0 al 9 y caracteres especiales.. Sugerir a los empleados que cumplan con los requisitos al crear contraseñas para evitar que sean fáciles de adivinar o que sufran ataques de fuerza bruta.

Entonces, ¿cómo es una contraseña segura? Estas son algunas de las mejores prácticas de complejidad para una contraseña:

• Z6jk3%ec4@
• #Zjn6a$7rO
• EM%ub4!2v5

Un probador de seguridad en línea será eficiente si desea comprobar la seguridad de la contraseña. Haga clic aquí para empezar a probar.

3Evite el uso de caracteres repetidos en la contraseña, pero use frases de contraseña en su lugar.

Los atacantes pueden adivinar o descifrar rápidamente contraseñas que utilizan caracteres o patrones repetidos. Por lo tanto, para evitar esto, los empleados no deben incluir más de 2 caracteres identicos (p.ej., 111 o aaa) o más de 2 caracteres consecutivos (p.ej., 123 o abc) en las contraseñas del trabajo.

La frase de contraseña (passphrase), palabras con una expresión semántica, es una práctica recomendada de la política de contraseñas de empresa que es fácil de recordar pero difícil de descifrar, como "Miloismydog."

4Restablezca las contraseñas de la empresa solo si es necesario.

¿Con qué frecuencia deben los empleados actualizar sus contraseñas de trabajo? La respuesta es que no sea con frecuencia, sino cuando exista riesgo de filtración.

De acuerdo a Business Insider, muchos expertos en ciberseguridad presentan esta política de restablecimiento de contraseña y creen que una contraseña segura es más útil que cambiar las contraseñas. Posiblemente, restablecer las contraseñas con demasiada frecuencia puede aumentar la posibilidad de reutilizarlas, haciéndolas más vulnerables a los ataques de internet.

Por lo tanto, la empresa debe tener una lista de situaciones en la política de contraseñas corporativas sobre cuándo restablecer las contraseñas. Por ejemplo, cuando existe una vulnerabilidad conocida o sospecha, cuando un empleado se va o el dispositivo se pierde.

5Identifique malos hábitos de contraseñas y prohíbalos.

La mayoría de los empleados no se dan cuenta de los graves problemas de no guardar las contraseñas. Las empresas deberían hacer un favor y hacer una lista de 'que no hacer'.

Prácticas recomendadas de la política de contraseñas para regular el comportamiento de los empleados

No compartir contraseñas en el trabajo.

Esto es bastante común entre los empleados. Una encuesta de Beyond Identity, el 41,7% de los empleados han compartido sus contraseñas de trabajo. ¿A quien? Pues entre otros, a compañeros de trabajo y proveedores, pero también a familiares y amigos.

La verdad es que es difícil para la empresa seguir y controlar a otros para que no difundan sus contraseñas, especialmente aquellos que no trabajan en la oficina. La pérdida de cuentas podría suceder en un abrir y cerrar de ojos.

No envíe contraseñas por correo electrónico ni mensajes.

Hablando de violaciones de datos, los correos electrónicos y los mensajes de texto son las fuentes más importantes de sufrir estafas en línea. ¿Qué pasa si los empleados envían contraseñas a través de esos medios? La pérdida de datos está practicamente asegurada.

No guarde las contraseñas en el navegador ni añada una defensa adicional.

Por supuesto, guardar contraseñas en un navegador es muy útil en el trabajo. Pero cuando el dispositivo es robado, se convierte en un problema. Los ladrones pueden entrar fácilmente en el sistema de la empresa. Lo mejor es recordar a los empleados esta brecha de seguridad.

Seguramente, algunos empleados no harán caso si la empresa les dice que no guarden las contraseñas en el navegador. Para hacer que cumplan con la política, la empresa debe usar la administración de dispositivos móviles en su política de contraseñas corporativa como medida de seguridad adicional.

No usar la misma contraseñas de trabajo para todas las cuentas.

Una política de reutilización de contraseñas es imprescindible en una empresa. Algunos empleados usarán la misma contraseña para sus cuentas y los dispositivos de trabajo. Según un informe de Visual Objects, el 63% lo hace.

Fuente: Visual Objects

Aunque es menos complicado para los empleados hacerlo, es un riesgo para la empresa. Porque cuando se descifra una contraseña, la empresa perderá datos usando la misma contraseña. Por lo tanto, la empresa debe restringir a los empleados la reutilización de contraseñas.

Una herramienta MDM, como AirDroid Business, permite a los administradores de TI hacer que se cumpla la política de contraseñas en los dispositivos y cambiarlas según los requisitos de la empresa.

6Hacer cumplir la política de contraseñas corporativas mediante el uso de un administrador de contraseñas o herramientas de administración de dispositivos.

Estar pendiente de los empleados para que usen las contraseñas correctamente no es suficiente. Las empresas deben hacer un buen uso de las herramientas de administración de políticas de contraseñas para garantizar que la política de contraseñas de la empresa funcione de forma correcta y efectiva.

¿Cómo pueden beneficiarse las empresas? Estas son algunas de las mejores prácticas.

Configure una política de bloqueo de cuenta para intentos fallidos de inicio de sesión.

Un proveedor MDM puede ayudarle a proteger los dispositivos de la empresa bloqueando los accesos no verificados. El equipo de TI puede configurar el número de intentos para acceder con una contraseña. Si se supera, el dispositivo se restaurará de fábrica.

Hacer cumplir los requisitos de configuración de contraseñas.

Con la política MDM, Los administradores de TI pueden configurar políticas de contraseñas y aplicarlas a los dispositivos, como la complejidad y la longitud de la contraseña. Además, los administradores pueden crear una contraseña de pantalla de bloqueo que el usuario del dispositivo no podrá cambiar.

Bloqueo de pantalla o borrado automático de los datos del dispositivo.

Otra función de seguridad de MDM son las alertas. En AirDroid Business, la empresa puede configurar condiciones de activación, como el estado de movimiento del dispositivo, cuendo el dispositivo salga de un rango geográfico específico, cuando se coloca o retira la tarjeta SIM, las aplicaciones en uso, etc.

Configurar MFA o 2FA.

Medidas de autenticación adicional están disponibles para añadir aplicaciones instaladas, correos electrónicos, sitios web, servicios de almacenamiento en la nube y otros.

Guía para principiantes de AirDroid Business MDM

Descargar

Si quiere obtener más información sobre las características de la solución MDM y la compatibilidad de dispositivos, haga clic aquí.

7Educar a los empleados sobre la creación y protección de contraseñas.

Enseñe a los empleados sobre cómo crear contraseñas seguras y evitar malos hábitos de contraseñas. Además, anime a los empleados a usar administradores de contraseñas para proteger las contraseñas del trabajo. Si la empresa va a utilizar soluciones de administración de dispositivos, es necesario informar y explicar a los empleados con antelación. De lo contrario, la monitorización y las actividades de cumplimiento pueden llevar a problemas de privacidad.

4¿Por qué las empresas necesitan una política de contraseñas corporativa?

● Mejorar la seguridad de los datos

Los datos corporativos son un activo importante. Son tan importantes que pueden determinar el destino de la empresa. El número de empresas que han quebrado debido a violaciones de datos es mayor de lo esperado.

La contraseña, es la primera defensa para evitar la pérdida de datos, por lo tanto, juega un papel crucial. Y las empresas pueden mejorar aún más la seguridad con una política integral de contraseñas.

● Facilite la gestión de cuentas y contraseñas

Con una política que seguir, los empleados pueden proteger mejor sus cuentas de trabajo y contraseñas, y además crear conciencia. El personal de administración responsable también puede manejar de forma eficiente la pérdida de contraseñas y otros problemas.

● Cumplimiento regulatorio

Algunas industrias tienen regulaciones legales que requieren que las empresas cumplan la política, como sanidad. Una política de contraseñas corporativa es parte de las medidas de seguridad empresarial.

5¿Cómo hacer que se cumpla la política de contraseñas en los dispositivos de la empresa con MDM?

Para aplicar una política de contraseñas en dispositivos propiedad de la empresa, puede usar AirDroid Business. Estos son los pasos a seguir:

Preguntas frecuentes

¿Cuáles son algunas pautas permitidas de la política de contraseñas corporativas?

Antonio Enriquez

Algunas pautas permitidas de las políticas de contraseñas corporativas incluyen las del Instituto Nacional de Estándares y Tecnología (NIST), la Organización Internacional para la Estandarización (ISO) y el Centro para la Seguridad en Internet (CIS).

¿Cómo puede el empleado proteger la contraseña en el lugar de trabajo?

Antonio Enriquez

Los empleados pueden proteger sus contraseñas en el lugar de trabajo creando contraseñas seguras, no compartiéndolas con otros, no enviando contraseñas en correos electrónicos y mensajes de texto. Haga clic aquí para saber más.

¿Cuáles son los riesgos potenciales de una empresa que no se toma en serio la política de contraseñas de la empresa?

Antonio Enriquez

Puede conducir a violaciones de datos, sanciones legales y daños a la reputación de la empresa.

¿Qué herramientas y tecnologías se pueden utilizar para mejorar la seguridad de las contraseñas?

Antonio Enriquez

inistradores de contraseñas, las soluciones MDM y EMM, la autenticación biométrica y la autenticación multifactor pueden usarse para hacer que las contraseñas sean más seguras.

¿Con qué frecuencia se deben cambiar las contraseñas?

Antonio Enriquez

Los cambios de contraseña deben basarse en las políticas y la evaluación de riesgos de la empresa. Haga clic aquí para saber más.

¿Cómo educar a los empleados sobre la política de contraseñas corporativas?

Antonio Enriquez

Las empresas pueden impartir sesiones de formación, comunicación y recordatorios sobre la importancia de las contraseñas seguras, así como otros eventos.