Una política de contraseña sólida es la primera línea de defensa para su red corporativa. Proteger sus sistemas de usuarios no autorizados puede parecer fácil en la superficie, pero en realidad puede ser bastante complicado. Debe equilibrar la seguridad de la contraseña con la facilidad de uso, al tiempo que sigue varios requisitos reglamentarios.
Las empresas de la UE deben tener políticas de contraseñas que cumplan con el Reglamento general de protección de datos (GDPR). Incluso si su empresa no tiene su sede en la UE, estos requisitos se aplican si tiene empleados o clientes que residen en la UE o clientes que compran allí.
En esta publicación, veremos los requisitos de GDPR para contraseñas y brindaremos consejos prácticos sobre cómo diseñar su política de contraseñas. Recuerde, incluso si GDPR no es obligatorio para usted ahora, los fundamentos de un plan de regulación de protección de datos pueden ayudar a fortalecer la seguridad de su organización.
Resumen
Requisitos de contraseña para el cumplimiento de GDPR
Es posible que se sorprenda al descubrir que las leyes GDPR en realidad no mencionan las políticas de contraseñas en absoluto. Si simplemente lee el texto, inicialmente puede creer que una empresa puede implementar cualquier política de contraseñas, sin tener ninguna preocupación sobre el cumplimiento de GDPR.
Sin embargo, las leyes GDPR afectarán la política de contraseñas bajo el paraguas de la prevención.
Prevención del acceso no autorizado a la información
Cualquier información que una empresa recopile de los clientes u otras fuentes debe estar debidamente protegida bajo el cumplimiento de GDPR. Esto significa tener fuertes medidas de seguridad para evitar que los piratas informáticos y otras personas no autorizadas obtengan acceso a estos datos.
Como todos sabemos, uno de los pasos de seguridad digital más importantes para proteger cualquier información son las contraseñas.
Consejos para crear una política de contraseñas compatible con GDPR
Las siguientes son algunas de las mejores prácticas a tener en cuenta al crear una política de contraseña segura que mantendrá sus sistemas seguros y lo acercará al cumplimiento.
Use una lista de contraseñas para bloquear contraseñas comprometidas
Una buena contraseña debe ser difícil de piratear o adivinar. Hoy en día, las credenciales robadas y forzadas son la causa principal de las filtraciones de datos. Para proteger sus datos contra estos ataques, una política de contraseñas debe prohibir las contraseñas comunes y violadas.
Gracias a la reutilización de contraseñas, muchos ataques basados en credenciales utilizan listas de contraseñas violadas de un sistema para apuntar a otro. Las agencias gubernamentales como NIST y el NCSC recomiendan bloquear por completo el uso de contraseñas comprometidas y fáciles de adivinar. Esta es una de las únicas formas de proteger las cuentas, incluso si se aplican configuraciones de contraseña más estrictas.
No uses preguntas secretas.
Es una práctica común configurar ‘preguntas secretas’ que se pueden responder para desbloquear o restablecer la contraseña de una cuenta.
Las preguntas secretas serían cosas como ‘cuál es el apellido de soltera de tu madre’ o ‘cuál era la mascota de tu escuela’. Dado que este tipo de preguntas pueden ser vulnerables a los ataques de ingeniería social, es mejor evitarlas por completo.
Considere MFA
Una de las mejores maneras en que puede mejorar la seguridad de su contraseña es implementar la autenticación de múltiples factores. Aquí es donde, además del nombre de usuario y la contraseña, se utilizan otros factores para verificar a un usuario.
Por ejemplo, puede ser una contraseña de un solo uso que se genera específicamente para el usuario en su dispositivo móvil durante la autenticación.
Simplificar el cumplimiento del RGPD
Implementar el RGPD para su negocio fuera de la UE puede parecer un dolor de cabeza, pero el cumplimiento y las protecciones de seguridad adicionales cubrirán sus bases desde el punto de vista legal y de prevención de ciberataques. Este artículo resume cómo, por qué y cuándo cumplir con el RGPD si está buscando información adicional.
Cuando está implementando una política de contraseñas para su AD con el cumplimiento de GDPR en mente, es una buena idea usar una herramienta de terceros para ayudar a que su política de contraseñas llegue a todo su directorio de usuarios finales.
Mi favorita es la Política de contraseñas de Specops, que puede ayudarlo a bloquear contraseñas violadas y comprometidas de Active Directory. Durante un cambio de contraseña en Active Directory, este servicio bloqueará y notificará a los usuarios si la contraseña que han elegido se encuentra en una lista de contraseñas filtradas y proporciona comentarios dinámicos para el cumplimiento de la contraseña. La política de contraseñas de Specops hace que sea más fácil mantener alejadas las contraseñas vulnerables y cumplir con las últimas pautas de contraseñas.
 |
| La política de contraseñas de Specops mantiene sus políticas organizadas y fácilmente configurables |
El uso de una herramienta de política de contraseñas no solo ayuda con el cumplimiento de GDPR para evitar el acceso no autorizado a la información, sino que también mantiene sus infraestructuras AD internas organizadas y seguras. La Política de contraseñas de Specops amplía la funcionalidad de la Política de grupo y simplifica la administración de políticas de contraseñas detalladas para un enfoque más simple de la seguridad y el cumplimiento de las contraseñas.
Ya sea que esté utilizando una herramienta de política de contraseñas o educando a los usuarios finales manualmente, el cumplimiento de GDPR puede ser un activo para cualquier infraestructura de seguridad, independientemente de su ubicación, y no olvide que es obligatorio si está almacenando datos de ciudadanos de la UE.
