Servicios de protección de datos en Parla

¿CÓMO ESTABLECER CONTRASEÑAS PARA PROTEGER LOS DATOS DE LA EMPRESA?

2. PROCEDIMIENTOS DE GESTIÓN DE CONTRASEÑAS

2.1 Contraseñas seguras
2.2 Contraseñas personalizadas y no compartidas.
2.3 Contraseñas diferentes en los dispositivos.
2.4 Cambio de contraseña inicial.
2.5 No usar contraseñas establecidas por defecto.
2.6 Cambio periódico de contraseñas.
2.7 Prohibición de repetir contraseñas.
2.8 Custodia de las contraseñas.
2.9 Utilización de gestores de contraseñas.
2.10 Retirar las claves al usuario
2.11 Incorporar contraseñas a documentos sensibles.
2.12 Comprobar la filtración de contraseñas.

Cada vez es más frecuente la existencia de quiebras de seguridad como consecuencia del robo de contraseñas, sobre todo en los servicios que se acceden a través de internet, los ciberdelincuentes pueden venderlas o hacer un uso inapropiado de ellas. Se estima que en 2019 se filtraron 617 millones de cuentas de 16 webs y que fueron puestas a la venta en la Dark Web, por 20.000 dólares, contenía titulares de cuentas, e-mails, contraseñas, ubicaciones y tokens de autenticación en redes sociales. Por eso, resulta vital contar con un manual de procedimiento de gestión de contraseñas que permita proteger los datos de la empresa.

A continuación, enumeramos una serie de medidas de seguridad aplicables a las contraseñas:

2.1Contraseñas seguras

Las contraseñas de acceso a los ficheros deberán ser robustas, con un mínimo de 8 caracteres que combinen varios tipos, alfanuméricos, mayúsculas, minúsculas y símbolos. Deben ser difíciles de adivinar por otras personas (no utilizar nombres de familiares, número de teléfono, mascotas, …). Para acceder a redes wifi y al router se recomienda el uso de contraseñas de al menos 20 caracteres.

2.2 Contraseñas personalizadas y no compartidas

Las contraseñas no deben ser comunes para los usuarios y deben ser confidenciales. Si un usuario comunica su contraseña de acceso a otro usuario para acceder a un equipo, la responsabilidad inicial de las acciones que se realicen sobre el mismo, incluido el uso indebido, será del primero, salvo que éste demuestre que fue otro usuario el que accedió al sistema. Además, Si un usuario comparte sus credenciales de acceso con otro, es posible que le esté facilitando acceso a recursos que tiene limitados por la dirección de la empresa.

2.3 Contraseñas diferentes en los dispositivos y/o aplicaciones

Se deben incorporar en los accesos a ordenadores, portátiles, smartphones, aplicaciones informáticas, routers, … Es importante que las contraseñas no sean las mismas para acceder a cada dispositivo y cada aplicación informática.

2.4 Comunicación de contraseñas

Se debe establecer un método seguro que permita al usuario conocer la contraseña con confidencialidad. Un procedimiento adecuado para la distribución de las contraseñas es onetime link. Se trata de una herramienta que permite crear una contraseña, o bien un mensaje confidencial, almacenándose en un archivo secreto al cual se le asigna una contraseña para su apertura. Este archivo se puede enviar a través de un link por e-mail, pero SÓLO SE PUEDE ABRIR UNA VEZ, después ya no se permite su apertura. Será necesario que el destinatario tenga la clave para abrir este mensaje, y ésta la podrá recibir por otro medio, por ejemplo, SMS, o de forma verbal.

Una vez que el usuario haya recibido la contraseña de acceso debe cambiarla obligatoriamente, y para asegurarse que sea así, el administrador de sistemas de la empresa deberá configurar el gestor de contraseñas del servicio afectado de manera que se obligue al usuario a cambiarla la primera vez que acceda al mismo.

Se deberá establecer un mecanismo que permita verificar que el usuario ha recibido las credenciales de acceso a los distintos servicios, que se le ha informado de la importancia de no comunicarla a terceros y que debe custodiarla adecuadamente.

2.5 Cambio de contraseña inicial

Se debe configurar el sistema para obligar al usuario a cambiar la contraseña la primera vez que inicie sesión.

2.6 No usar contraseñas establecidas por defecto

De esta forma evitamos el acceso no autorizado, puesto que las contraseñas prestablecidas podrían ser conocidas por otras personas o incluso podrían encontrarse en internet. Esto resulta especialmente relevante para el acceso a la configuración de routers, redes wifi, sistemas de videovigilancia u otros dispositivos.

2.7 Cambio periódico de contraseñas

El administrador de sistemas debe configurar el sistema, de manera que se obligue al usuario a cambiar las contraseñas con la periodicidad que se considere en función de los datos tratados. Como mínimo se ha de cambiar una vez al año, en ciertos sectores se cambian con mucha frecuencia, como en el sector bancario, de seguros o sanitario, donde a veces se cambian mensualmente. En el supuesto de que se sospeche que la contraseña ha sido conocida por otra persona, se debe cambiar la contraseña inmediatamente y comunicar la incidencia al responsable de seguridad de la organización.

2.8 Prohibición de repetir contraseñas

El sistema debe recordar al menos las 3 últimas contraseñas del usuario de manera que cuando se cambia no se permita definir una contraseña coincidente con estas últimas.

2.9 Custodia de las contraseñas

Conviene memorizar las contraseñas, para ello, se podrán utilizar reglas nemotécnicas, no obstante, en el supuesto de que deban almacenarse, habrá de realizarse en un lugar inaccesible, responsabilizándose el usuario de la custodia de la misma. Se recomienda no guardar contraseñas en el navegador, deshabilitando la opción de recordarla en los ajustes del mismo. Sobre todo, habrá que evitar el recordatorio de contraseñas en las webs de las entidades bancarias o en aquellas que permitan tratar datos sensibles.

2.10 Utilización de gestores de contraseñas

A veces, los usuarios tienen múltiples contraseñas que resultan complicado memorizar, existen algunos programas que almacenan nuestras contraseñas y que disponen de una contraseña maestra de acceso a este programa permitiéndonos visualizar las que tenemos guardadas. Se debe elegir un programa de gestión que almacene las claves cifradas y que cuente con un doble factor de autenticación para acceder al mismo. Un ejemplo, es el programa KEYPASS cuya base de datos está cifrada con AES y Twofish. Más información sobre KEYPASS.

2.11 Bloquear el acceso a los usuarios que dejen de tener permiso de acceso

Retirar claves a un usuario cuando deje de trabajar en la organización o cuando la dirección de la empresa haya decidido que deje de tener acceso a los datos de los sistemas de información. También deberán revocarse en el caso de que se pueda suponer que se ha comprometido la confidencialidad de la contraseña.

2.12 Comprobar la filtración de contraseñas

Verificar si las contraseñas de las cuentas de correo electrónico han sido filtradas a terceros. En el post publicado el 18 de enero de 2019 de la web www.osi.es perteneciente a INCIBE, se recomienda utilizar la plataforma https://haveibeenpwned.com, en la que se puede comprobar si alguna de las contraseñas de acceso al correo han sido filtradas.

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

1. Procedimientos de gestión de usuarios y control de acceso.
2. Procedimientos de gestión de contraseñas.
3. Procedimientos de gestión de soportes.
4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
6. Procedimientos de gestión de telecomunicaciones.
7. Procedimientos de trabajo fuera de los locales.
8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
9. Procedimientos de gestión de copias de seguridad.
10. Procedimientos de gestión de incidencias.