Acciones que debe emprender cada compañía después de Heartbleed
21 May, 2014
category: Seguridad en Internet, Seguridad lógica
Por Joe Siegrist, director general y cofundador de LastPass
A raíz de la aparición de Heartbleed muchas organizaciones nos preguntan qué deben hacer para proteger a sus empleados y clientes de cualquier daño que el virus pueda haber causado, además de lograr avances en proteger de la mejor forma tanto los datos de la compañía como la privacidad de los empleados.
Heartbleed, que se anunció con la más reciente pesadilla de la web, tiene realmente el potencial para ser uno de los virus más devastadores que ha golpeado la Internet.
La preocupación se debe sobre todo al hecho de que un gran número de sitios utiliza OpenSSL, y que el virus técnicamente ha estado presente por unos dos años.
He aquí cinco pasos concretos que una compañía puede dar para amortiguar los riesgos de Heartbleed y estar mejor preparada para futuros problemas de seguridad.
Reconocer que las contraseñas de la compañía son un problema
Todos estamos conscientes de que debemos hacer algo para mejorar las contraseñas, pero muchos no lo hacen porque en su fuero interno se sienten indefensos. En las empresas se comparten las contraseñas de forma insegura y como los requerimientos establecidos para estas resultan molestos, los empleados utilizan las más fáciles de recordar y poder seguir con sus actividades. El primer paso es que la dirigencia de la empresa reconozca que existe un problema con las contraseñas y que esto representa un serio riesgo para la seguridad de la organización.
Poner en práctica un plan
Una cosa es decirle a todos que actualicen sus contraseñas y forzar los cambios. Y otra es proporcionarles las herramientas y el marco apropiado para producir esos cambios sin afectarlos, siguiendo las mejores y más avanzadas prácticas de seguridad.
Es esencial que la compañía disponga de un sistema de gestión de contraseñas, sin el cual es es casi imposible que los empleados puedan adoptar las mejores prácticas al respecto. Es más, al disponer de una herramienta que introduzca las contraseñas para los empleados, se incrementa la productividad porque no tienen que perder tiempo llamando a los centros de ayuda para restablecer contraseñas, y se les facilita que gestionen todo desde un portal seguro. El equipo puede implementar tanto la ubicación de las contraseñas en bóveda, como el inicio único de sesión SAML en un lugar seguro. El uso de un gestor de contraseñas ayuda a la empresa a poner en práctica un plan y a definir el modo de implementar mejoras en la seguridad de las contraseñas.
Poner en vigor políticas que respalden sus objetivos de seguridad
Una vez que usted implemente un sistema de gestión de contraseñas, puede dedicar tiempo a revisar las políticas y las restricciones de seguridad con el fin de contribuir a que su organización implante estándares de seguridad. Por ejemplo, pueden establecerse políticas para desautorizar el acceso desde fuera de la oficina de la compañía o de otras locaciones de confianza; y las políticas pueden ser tanto inclusivas como exclusivas, de modo que un conjunto de restricciones se aplique a algunos por separado. Las políticas le permiten implementar contraseñas maestras fuertes, restringir el acceso móvil, desautorizar el uso de funciones tales como la exportación y otras. Lo fundamental es crear un entorno personalizado de seguridad que se ajuste a sus necesidades.
Priorizar la actualización de cuentas críticas
LastPass hace que resulte fácil para los administradores y empleados darse cuenta dónde están usando contraseñas débiles o duplicadas para sus cuentas en línea, e igualmente ayuda en el proceso de crear nuevas contraseñas fuertes. Los administradores que gestionan una cuenta compartida pueden priorizar esas actualizaciones críticas, en tanto que los empleados pueden tomar responsabilidad por sus inicios de sesión que necesitan ser actualizados. Los chequeos de seguridad LastPass ayudan tanto a los empleados como a los administradores a mantener su atención en el trabajo y el avance hacia metas concretas.
Habilitar autenticación multifactor
La autenticación multifactor añade una capa de protección a las cuentas al hacer que el usuario ejecute un paso adicional antes de darle acceso a su cuenta. Típicamente esto quiere decir proporcionar datos de algo a lo que se tiene acceso, como puede ser un dispositivo que genera un código de un solo uso, una aplicación móvil que genera un código temporal, o datos biométricos, por ejemplo: un escaneo de huellas digitales. LastPass Enterprise simplifica la implementación de la autenticación multifactor y la integra a una gama de opciones, lo que permite que las compañías puedan seleccionar los métodos que mejor se ajustan a sus dispositivos y entorno.
Una sugerencia adicional: haga un recorrido y revise las contraseñas
El sistema de gestión de contraseñas que usted ponga en práctica solo es positivo en la medida que sus empleados lo adopten. Considere la posibilidad de realizar un control general sobre las contraseñas, un recorrido por la oficina chequeando si alguna contraseña está colocada a plena vista, por ejemplo, sobre un panel de corcho o escrita en una pizarra. Guarde todas estas observaciones para el gestor de contraseñas y compártalas a través de ese sistema.