El 5 de mayo se celebra el día mundial de la contraseña. Es una jornada que trata de concienciar sobre el buen uso que debemos tener a la hora de garantizar la seguridad de nuestros dispositivos y de nuestra información y datos. Más todavía si se tratan datos personales. Por eso vamos a ver los protocolos básicos que debería seguir cualquier empresa para garantizar su seguridad.
Y esto también se puede aplicar a los empleados en su vida personal, así como autónomos o profesionales. Que alguien obtenga las credenciales de nuestros ordenadores, aplicaciones o servicios en la nube puede suponer un problema de gran envergadura. Eso por no hablar de las posibles multas por fuga o robo de datos personales de terceros en el caso de las empresas.
Cambio frecuente de la contraseña
Tradicionalmente en las empresas el modelo más común para garantizar la seguridad era obligar a los empleados a cambiar la contraseña regularmente. Lo habitual es obligar a un cambio cada mes, sin que se puedan repetir determinados caracteres de la contraseña a la que se sustituye. El problema de este modelo es que en muchos casos los usuarios acaban creando patrones para acordarse por lo que al final no resulta demasiado efectiva.
Las contraseñas deberían ser de usar y tirar, sin posibilidad de reutilizarse en más de un lugar o servicio
De hecho el tener que cambiar la contraseña de forma habitual, obligar a que incluya letras, números, signos o mayúsculas al final resulta contraproducente, porque en muchas organizaciones acaban anotadas y pegadas en una nota adhesiva en la pantalla del ordenador.
Lo ideal en estos casos es que la contraseña sea más larga, pero a la vez fácil de recordar, por ejemplo, la estrofa de una canción o una frase o dicho que nos sea fácil de recordar.
Biometría, la mejor alternativa
Si queremos un plus de seguridad podemos optar por la identificación biométrica. En estos casos, será una característica física la que nos ayude a acceder a nuestro ordenador o servicios.
Pero tiene algunos inconvenientes. Para empezar, no todos los ordenadores o diferentes servicios nos permiten identificarnos con la huella o nuestra cara, por poner dos ejemplos sencillos.
Además hay que tener en cuenta que es lo que dice el RGPD, ya que son datos de especial protección y antes de implantar este método de identificación deberíamos probar que otros no han funcionado correctamente.
Doble factor de autentificación
En estos casos, quizás la mejor alternativa es utilizar siempre que sea posible el doble factor de identificación, donde además de la contraseña nos puede llegar un mensaje de aprobación a nuestro teléfono o tenemos que desbloquear con una aplicación de seguridad que tenemos instalada en el mismo.
El problema es que no todos los empleados disponen de un teléfono de empresa donde van a llegar estos mensajes o instalar estas aplicaciones. Pero en muchos casos es la mejor manera de evitar problemas, incluso aunque en algún momento nuestras contraseñas hayan quedado expuestas.
Gestores de contraseñas
Por último, hay que mencionar los gestores de contraseñas, aplicaciones que nos permiten generar contraseñas seguras y almacenarlas para no tener que recordarlas. El principal inconveniente es que dependen de una contraseña maestra y si esta se vulnera tendrán acceso a todas nuestras credenciales.
Por supuesto, son mucho más seguras que las contraseñas almacenadas en el navegador, algo que nunca deberíamos hacer. Y nos ayudan a evitar otro de los malos hábitos que tienen muchos usuarios, y que luego trasladan a la empresa, utilizar la misma contraseña para todo.
Es aquí cuando la formación en seguridad nos dará ese sentido común, nos enseñará a distinguir riesgos y, sobre todo, a sospechar a tiempo y evitar problemas de seguridad que puedan comprometer datos y continuidad de negocio.
Otras buenas prácticas para mejorar el uso de la contraseña en la empresa
Por último, si trabajamos como autónomos, pero también en nuestras empresas es muy recomendable separar vida personal y profesional. No compartir información, contraseñas que utilizamos en nuestro día a día en el trabajo. Una norma básica, pero que hay muchos trabajadores que no cumplen.
Para finalizar, siempre deberíamos trabajar con el mínimo privilegio, es decir, que en algún momento nuestras contraseñas queden expuestas, no se puedan hacer demasiadas cosas. Si se tienen acceso a la información, pero no instalar un programa que nos capture más información todavía, ya sea para grabar las pulsaciones de nuestro teclado, la pantalla o la imagen y sonido a través de las cámaras.