Cada vez las empresas, entidades u orgarnizaciones utilizan más infraestructuras informáticas para el desarrollo de las actividades, como suelen ser los programas informáticos de gestión de clientes, proveedores, contabilidad, correo electrónico, acceso al blog, a la web, etc..
Esto hace que se dispare el número de contraseñas usadas para proteger uno de los activos más importantes: la INFORMACIÓN.
Debido a esto, una de las medidas de seguridad que estable el RD 1720/2007 por el que se desarrolla la LOPD, es establecer un procedimiento de asignación y cambio de contraseñas, es decir una una política de creación, uso y ciclo de vida de las contraseñas utilizadas por los/as trabajadores/as que tengan acceso a los equipos informáticos.
Existen programas que tratan de acceder a los sistemas de información o aplicaciones web probando automáticamente cientos de miles de las contraseñas más comunes.
Por ello, para que las contraseñas sean más seguras se recomienda:
- Tener como mínimo ocho caracteres.
- Ser lo menos «regular» posible, evitando el uso de las palabras del diccionario o expresiones númericas consecutivas (1234).
- Fomentar la inclusión de caracteres no alfanúmericos, números y el uso alterno de mayúsculas y minúsculas.
No se recomienda:
- Utilizar palabras o fechas que identifiquen a la empresa o a sus miembros.
- Utilizar fechas de nacimiento, nombres personales, o cualquier otra información personal, ya que son fácilmente detectables.
- Usar la misma contraseña para diferentes servicios (web, correo electrónico, foros, etc.) con el fin de evitar, en caso de robo, que puedan entrar en más de uno de los sitios de la empresa.
- Hacer pública la contraseña.
Para gestionar correctamente las contraseñas seguras debemos cambiarlas con una periodicidad mínima una vez al año, si pensamos que pueden verse vulneradas debemos cambiarlas inmediatamente. Existen programas generadores y almacenadores de contraseñas, que nos pueden ser de utilidad.
Una persona asignada por el responsable de seguridad o el mismo responsable de seguridad será el encargado de llevar a cabo el prodecimiento de modificación de la contraseña que nunca se debe enviar ni por correo electrónico ni por mensajería (SMS, WhatsApp, Line…) y, en el caso que se proporcionan en un soporte físico, éste debe poder eliminarse de forma segura.
Los usuarios jamás deben anotar las contraseñas en papeles que estén a la vista o a los que se tenga fácil acceso.
Otra cuestión importante es no utilizar contraseñas en equipos informáticos de los que se desconozca el nivel de seguridad porque estos equipos pueden tener instalados programas que capturen las contraseñas.
Debemos tener en cuenta que cuanto más valioso o vulnerable sea un sistema de gestión de la información, más seguras han de ser sus contraseñas y su política de asignación.
Desde OZONIA recomendamos a seguir estas pautas para cumplir con un mayor grado de seguridad en los sistemas de información con la finalidad de evitar la intrusión no deseada y sus consecuencias.