Qué es una política de contraseñas y cómo crear una

Las contraseñas comprometidas son una de las principales razones de las filtraciones de datos. De hecho, más del 80% de las infracciones relacionadas con la piratería son causadas por problemas relacionados con la contraseña. Una política de contraseñas puede ayudar a garantizar que todos en tu empresa usen contraseñas seguras.

Entonces, ¿qué es una política de contraseñas? ¿Cómo se puede crear una política de contraseñas estándar? ¿Y cuáles son las mejores prácticas de la política de contraseñas? Lo averiguamos a continuación.

¿Qué es una política de contraseñas?

Una política de contraseñas es un conjunto de pautas para que todos en una empresa creen una contraseña segura y la usen correctamente para mejorar la seguridad informática y la seguridad online.

Una política de contraseñas estándar incluye lo que los usuarios deben tener en cuenta y lo que deben evitar al crear, cambiar, almacenar o compartir contraseñas. Por ejemplo, tu política de contraseñas puede dictar que los usuarios deben crear contraseñas más largas, incluida una determinada cantidad de caracteres especiales.

Dependiendo de las necesidades de tu organización, puedes hacer que tu política de contraseñas sea de carácter consultivo u obligatorio.

¿Por qué son importantes las políticas de contraseñas?

Una política de contraseñas pueden ayudarte a hacer cumplir la práctica de usar contraseñas seguras y únicas en tu empresa para mejorar la seguridad de las contraseñas.

Estas son las razones clave por las que implementar una política de seguridad de contraseñas sólida es fundamental para tu negocio:

• La reutilización de contraseñas es un error de seguridad. Una política de contraseñas puede descartar rápidamente la práctica de reutilización de contraseñas.
• Una política de contraseñas segura con una cláusula de autenticación multifactor te ayuda a minimizar varios riesgos de seguridad en gran medida
• Todos en tu empresa comenzarán a crear contraseñas complejas y almacenarlas de forma segura. Como resultado, tus contraseñas estarán a salvo de ataques de fuerza bruta y otros ataques relacionados con contraseñas.
• Una política de contraseñas sólida indica a tus clientes y proveedores que estás tomando medidas estrictas para proteger las contraseñas. Esto puede ayudar a generar confianza con ellos.

Por último, pero no menos importante, una política de contraseñas cultiva una cultura de seguridad cibernética que es de suma importancia en el mundo actual, ya que las pequeñas empresas se están convirtiendo cada vez más en el objetivo de varios tipos de ataques de seguridad cibernética.

Cómo crear una política de contraseñas 

El siguiente es un proceso paso a paso para crear una política de contraseña segura estándar:

Establece requisitos de complejidad de contraseña

Los administradores de sistemas o los departamentos de TI deben establecer pautas de complejidad de contraseñas para garantizar la creación de contraseñas seguras.

Estos son los requisitos de contraseña esenciales que debes incluir en tu política de contraseñas para ayudar a los usuarios a evitar la creación de contraseñas débiles:

• Las contraseñas deben tener al menos diez caracteres (mientras más largas, mejor).
• Los usuarios deben incluir letras mayúsculas, minúsculas y caracteres especiales en las contraseñas.
• Incluir palabras mal escritas es una buena táctica para crear contraseñas complejas.

Los ataques de fuerza bruta y ataques de diccionario pueden descifrar contraseñas simples. Por lo tanto, tu política de contraseñas debe tener requisitos de complejidad para alentar a los usuarios a crear contraseñas a prueba de piratas informáticos.

Crea una lista de denegación de contraseñas

Además de tener lo que los usuarios deben hacer, tu política de contraseñas también debe indicar cosas que los usuarios deben evitar al crear contraseñas.

Una lista de contraseñas denegadas puede incluir lo siguiente:

• Información relacionada con la persona, como nombre, fecha de nacimiento, lugar de nacimiento, cargo, etc.
• Números de teléfono, números de casa o número de calle.
• Nombre del cónyuge, hijos o seres queridos.
• Reutilizar la misma contraseña en varias cuentas.

Como regla general, la lista de denegación de tu política de contraseñas debe incluir cualquier tipo de información personal o un patrón simple (como QWERTY o 123456).

Establece un período de caducidad de la contraseña

La idea principal detrás de establecer un período de caducidad de la contraseña es que los piratas informáticos no sabrán si las contraseñas que encontraron en una violación de datos anterior funcionarán.

Por ejemplo, tu contraseña se divulga en un incidente de violación de datos de dos meses de antigüedad. Y cambias tu contraseña cada mes. Los piratas informáticos no podrán acceder a tu cuenta utilizando esa contraseña filtrada.

Idealmente, el período de caducidad de la contraseña debe establecerse en tres meses. Pero puedes ajustar este período, dependiendo de la necesidad de tu negocio. Además, debes asegurarte de que tus empleados no reutilicen las mismas contraseñas para otras cuentas.

Haz cumplir la autenticación de múltiples factores

La autenticación multifactor (MFA) puede aumentar la seguridad de las cuentas en tu negocio. Esto se debe a que los piratas informáticos no podrán obtener acceso a las cuentas incluso si obtienen los nombres de usuario y las contraseñas de esas cuentas.

Por lo tanto, tu política de contraseñas debe obligar a los usuarios a implementar MFA para todas las cuentas que permitan esta función.

Incluye umbral de bloqueo de cuenta

El umbral de bloqueo de cuenta permite que las cuentas de usuario se bloqueen después de una cierta cantidad de intentos fallidos de inicio de sesión. Esta característica protege las cuentas de ataques de fuerza bruta y ataques de diccionario.

Idealmente, puedes establecer el umbral de bloqueo de la cuenta en cinco intentos fallidos de inicio de sesión. Esto incluye implementar un período de bloqueo de cuenta de 15 minutos.

Ten pautas sobre cómo almacenar contraseñas

El 55% de los empleados guardan las contraseñas en notas adhesivas. La forma en que tus empleados almacenan contraseñas afecta la seguridad de las contraseñas.

Almacenar contraseñas en correos electrónicos, aplicaciones de notas en un teléfono, notas de papel y documentos en un ordenador es una mala práctica. Y hacerlo debilita la seguridad de las contraseñas, incluso si las contraseñas son largas y complejas.

Por lo tanto, tu política de seguridad de contraseñas debe incluir pautas claras para almacenar contraseñas de manera segura. Y una forma de hacerlo es usar un administrador de contraseñas, que mantiene tu contraseña encriptada y almacenada de forma segura detrás de la contraseña maestra.

Aunque la mayoría de los navegadores en estos días tienen una función para almacenar contraseñas, usar un administrador de contraseñas para almacenar contraseñas es la opción más segura. Un administrador de contraseñas también ofrece formas seguras de compartir contraseñas entre diferentes usuarios.

Establece consecuencias para los infractores de la política

Has creado una política de seguridad de contraseñas para proteger los ordenadores y las cuentas online, así que todos deberían seguirla religiosamente. Establecer algunas consecuencias para aquellos que violan la política con frecuencia puede ser una buena idea para alentar a todos los usuarios a cumplir con la política de contraseñas.

Sin embargo, debes idear formas creativas de hacer que los infractores de la política de contraseñas sientan que han cometido errores. Cualquier castigo severo puede convertirlos en una amenaza interna.

Proporciona a los infractores de la política más sesiones de capacitación de concientización y anímales a seguir la política de contraseñas.

Actualiza tu política de contraseñas regularmente

Tu política de contraseñas no debe ser algo grabado en piedra. En su lugar, debes revisar tu política de contraseñas de vez en cuando y verificar si tiene éxito:

• Garantizando que los usuarios creen contraseñas largas y complejas.
• Evitando que los usuarios creen nuevas contraseñas que sean fáciles de piratear.
• Animando a los usuarios a cambiar las contraseñas con frecuencia, como se recomienda en la política.
• Evitando que los usuarios utilicen la misma contraseña para varias cuentas.

Ajustar tu política de contraseñas de acuerdo con las observaciones realizadas en las auditorías regulares de contraseñas te ayuda a crear una política de contraseñas sólida para mejorar la en tu empresa.

Prácticas recomendadas de la política de contraseñas

Las siguientes son las mejores prácticas para maximizar el éxito de su política de contraseñas:

1. Ten una política de contraseñas de fácil acceso. La guía de política de contraseñas debe organizarse para que los usuarios puedan navegar fácilmente a través de diferentes secciones, como la creación de contraseñas y el almacenamiento de contraseñas. Prepara una copia impresa y una copia digital de tu política de contraseñas para asegurarte de que los usuarios puedan acceder a ella de la forma que deseen.

2. Adopta un sistema de gestión de contraseñas. Incluir el uso obligatorio de un administrador de contraseñas en tu política puede fortalecer la seguridad de las contraseñas en gran medida. ¿Cómo? Los empleados necesitan crear múltiples contraseñas en estos días. Y crear una contraseña única para cada cuenta puede ser un problema para muchos usuarios. Un administrador de contraseñas puede crear una contraseña difícil de descifrar al instante y guardar varias contraseñas de forma segura.

3. Prohíbe el uso compartido inseguro de contraseñas. Compartir contraseñas entre usuarios es una práctica común en el entorno empresarial actual cuando varios empleados trabajan en un solo proyecto. Para mejorar la seguridad de las contraseñas, debes asegurarte de que nadie las comparta a través de mensajes de texto, correos electrónicos o mensajes instantáneos. El uso compartido seguro de contraseñas es imprescindible para mejorar la seguridad de las contraseñas. Todos los buenos administradores de contraseñas permiten a los usuarios compartir contraseñas de forma segura.

4. Implementa el tiempo de inicio de sesión. Los empleados solo deben iniciar sesión en cuentas y sistemas cuando los utilicen. Mantener las cuentas y los sistemas conectados cuando ninguno los está usando es una pésima práctica de ciberseguridad. Y la política de contraseñas debería prohibir estrictamente esta práctica.

5. Realiza auditorías periódicas de contraseñas. Establece auditorías de contraseñas como una práctica regular para verificar la efectividad de tu política de contraseñas. Esto te ayudará a descubrir áreas de mejora en tu política de contraseñas para maximizar tu éxito.

Más información

• ¿Tu contraseña tiene menos de ocho caracteres? Podrían hackearla en menos de una hora
• Decálogo para evitar que nuestras contraseñas se vean comprometidas
• 4 consejos para proteger tus contraseñas ante ataques de malware
• 5 imprescindibles para crear una contraseña robusta y segura
• Típicos errores que cometemos al usar nuestras contraseñas y cómo corregirlos