Una política de contraseñas sólida es la primera línea de defensa de su red corporativa. Proteger sus sistemas de usuarios no autorizados puede parecer fácil en la superficie, pero en realidad puede ser bastante complicado. Debe equilibrar la seguridad de la contraseña con la facilidad de uso, al mismo tiempo que sigue varios requisitos reglamentarios.
Las empresas de la UE deben tener políticas de contraseñas que cumplan con el Reglamento general de protección de datos (GDPR). Incluso si su empresa no tiene su sede en la UE, estos requisitos se aplican si tiene empleados o clientes que residen en la UE o clientes que compran allí.
En esta publicación, analizaremos los requisitos de GDPR para contraseñas y brindaremos consejos prácticos sobre cómo diseñar su política de contraseñas. Recuerde, incluso si ahora no se requiere GDPR, los fundamentos de un plan de regulación de protección de datos pueden ayudar a fortalecer la seguridad de su organización.
Requisitos de contraseña para el cumplimiento de GDPR
Es posible que se sorprenda al descubrir que las leyes GDPR en realidad no mencionan las políticas de contraseñas en absoluto. Si simplemente lee el texto, inicialmente puede creer que una empresa puede implementar cualquier política de contraseñas, sin tener ninguna preocupación sobre el cumplimiento de GDPR.
Sin embargo, las leyes GDPR afectarán la política de contraseñas bajo el paraguas de la prevención.
Evitar el acceso no autorizado a la información
Cualquier información que una empresa recopile de los clientes u otras fuentes debe protegerse adecuadamente de conformidad con el RGPD. Esto significa tener fuertes medidas de seguridad para evitar que los piratas informáticos y otras personas no autorizadas obtengan acceso a estos datos.
Como todos sabemos, uno de los pasos de seguridad digital más importantes para proteger cualquier dato son las contraseñas.
Consejos para crear una política de contraseñas compatible con GDPR
Las siguientes son algunas de las mejores prácticas que se deben tener en cuenta al crear una política de contraseñas sólida que mantendrá sus sistemas seguros y lo acercará al cumplimiento.
Use una lista de contraseñas para bloquear contraseñas comprometidas
Una buena contraseña debe ser difícil de piratear o adivinar. Hoy en día, las credenciales robadas y forzadas son la principal causa de filtraciones de datos. Para proteger sus datos contra estos ataques, una política de contraseñas debería prohibir las contraseñas comunes y violadas.
Gracias a la reutilización de contraseñas, muchos ataques basados en credenciales utilizan listas de contraseñas violadas de un sistema para atacar a otro. Las agencias gubernamentales como NIST y NCSC recomiendan bloquear por completo el uso de contraseñas comprometidas y fáciles de adivinar. Esta es una de las únicas formas de proteger las cuentas, incluso si se aplican configuraciones de contraseña más seguras.
No uses preguntas secretas
Es una práctica común configurar ‘preguntas secretas’ que se pueden responder para desbloquear o restablecer la contraseña de una cuenta.
Las preguntas secretas serían cosas como ‘cuál es el apellido de soltera de tu madre’ o ‘cuál era tu mascota de la escuela’. Dado que este tipo de preguntas pueden ser vulnerables a los ataques de ingeniería social, es mejor evitarlas por completo.
Considere MFA
Una de las mejores formas de mejorar la seguridad de su contraseña es implementar la autenticación multifactor. Aquí es donde, además del nombre de usuario y la contraseña, se utilizan otros factores para verificar a un usuario.
Por ejemplo, esta puede ser una contraseña de un solo uso que se genera específicamente para el usuario en su dispositivo móvil durante la autenticación.
Simplificando el cumplimiento de GDPR
La implementación de GDPR para su negocio fuera de la UE puede parecer un dolor de cabeza, pero el cumplimiento y las protecciones de seguridad adicionales cubrirán sus bases desde un punto de vista legal y de prevención de ataques cibernéticos. Este artículo resume el cómo, por qué y cuándo del cumplimiento de GDPR si está buscando información adicional.
Cuando implementa una política de contraseñas para su AD teniendo en cuenta el cumplimiento de GDPR, es una buena idea utilizar una herramienta de terceros para ayudar a que su política de contraseñas llegue a todo su directorio de usuarios finales.
Mi favorita es la política de contraseñas de Specops, que puede ayudarlo a bloquear contraseñas infringidas y otras contraseñas comprometidas de Active Directory. Durante un cambio de contraseña en Active Directory, este servicio bloqueará y notificará a los usuarios si la contraseña que han elegido se encuentra en una lista de contraseñas filtradas y proporciona comentarios dinámicos para el cumplimiento de la contraseña. La política de contraseñas de Specops facilita la exclusión de contraseñas vulnerables y el cumplimiento de las pautas de contraseñas más recientes.
El uso de una herramienta de política de contraseñas no solo ayuda con el cumplimiento de GDPR para prevenir el acceso no autorizado a la información, sino que también mantiene organizadas y seguras sus infraestructuras de AD internas. La política de contraseñas de Specops amplía la funcionalidad de la política de grupo y simplifica la gestión de políticas de contraseñas detalladas para un enfoque más sencillo de la seguridad y el cumplimiento de las contraseñas.
Ya sea que esté utilizando una herramienta de política de contraseñas o educando a los usuarios finales manualmente, el cumplimiento de GDPR puede ser un activo para cualquier infraestructura de seguridad, independientemente de la ubicación, y no olvide que es obligatorio si está almacenando datos de ciudadanos de la UE.