¿Estamos tomando en serio la gestión de contraseñas empresariales?
Las contraseñas son las claves de sus activos digitales: es la forma en que accedemos a las aplicaciones y los datos, así como a la infraestructura y los sistemas. A menudo son caracteres que escribimos como parte de un mensaje de inicio de sesión, pero también pueden estar ocultos en el código, ya que una aplicación solicita otros recursos para realizar sus tareas.
La gestión de contraseñas es un proceso complejo tanto para los equipos de operaciones como para los usuarios. Desafortunadamente, esa complejidad a menudo conduce a malas prácticas de contraseñas, lo que las convierte en un objetivo de alta prioridad para los ciberdelincuentes: saber que obtener acceso a las credenciales correctas puede darles las claves del reino de los datos de la organización. Y esto puede provocar filtraciones de datos que comprometan la seguridad, la productividad y la reputación.
Con la complejidad del desafío y el riesgo que introduce la mala gestión de las contraseñas, uno pensaría que todos los líderes de TI habrían encontrado formas de abordar el problema o lo habrían colocado en un lugar destacado de la lista de prioridades. ¿Pero es este el caso? Recientemente, trabajé en la tercera versión del informe Enterprise Password Management de GigaOm, y una de las cosas que me llamó la atención es que no todos se toman este desafío tan en serio como deberían y dedican tiempo a comprender por qué es difícil administrar contraseñas y qué herramientas. están disponibles para ayudar.
¿Por qué es tan compleja la gestión de contraseñas?
¿Por qué la gestión de contraseñas es un problema? Hay varias razones.
- El volumen de contraseñas que debe ser gestionado y recordado es el meollo del problema. Los usuarios tienen docenas de contraseñas, cada una de las cuales normalmente debe cambiarse periódicamente, a menudo con una complejidad cada vez mayor, lo que da lugar a malas prácticas de contraseñas, como contraseñas débiles, reutilización de contraseñas y contraseñas de seguridad deficiente.
- La gestión de contraseñas es tediosa y requiere mucho tiempo. Esto implica lidiar con contraseñas olvidadas, descubrir dónde existe riesgo y definir y aplicar políticas de contraseñas sólidas. Además, es posible que sea necesario configurar políticas y controles en múltiples aplicaciones y sistemas, lo que agrega más gastos generales.
- Las políticas de contraseñas son difíciles de hacer cumplir. Las organizaciones necesitan saber qué tan buenas son sus políticas de contraseñas y dónde están en riesgo. La naturaleza distribuida de las contraseñas hace que esto sea muy difícil de entender y abordar.
- Compartir contraseñas es una práctica común. Cuando se requiere acceso a entidades comunes (como infraestructura, máquinas y aplicaciones) para mantenimiento u otros fines, los equipos de operaciones pueden compartir contraseñas. Otros equipos pueden compartir contraseñas para herramientas de marketing y ventas, y es posible que los usuarios necesiten acceder a los recursos en caso de que otro usuario esté ausente. Esto crea dolores de cabeza en torno a la practicidad y la seguridad.
Beneficios de los administradores de contraseñas
Los administradores de contraseñas pueden ofrecer a las organizaciones importantes ventajas. Los beneficios incluyen:
- Almacenar contraseñas de forma segura: Estas soluciones proporcionan una bóveda segura y cifrada en la que se pueden colocar todas las contraseñas, lo que permite una gestión más fácil y eficaz.
- Mejorar los informes: Al poner las contraseñas bajo el control de una sola aplicación, un administrador de contraseñas puede evaluar la efectividad y seguridad de las contraseñas y si cumplen con las políticas de la organización. Puede advertir sobre riesgos potenciales y ayudar a guiar a los usuarios y equipos de operaciones a aplicar mejores controles.
- Centraliza la gestión de políticas.: Teniendo en cuenta la seguridad general de la contraseña, un administrador de contraseñas puede ayudar a una organización a comprender los tipos de políticas que necesita implementar y proporcionar un lugar central desde donde aplicarlas. Los equipos de operaciones también pueden obtener información sobre qué tan bien se adoptan las políticas y dónde puede haber riesgos cuando no se siguen las políticas.
- Hacemos la vida de los usuarios más fácil: Los usuarios empresariales a menudo tienen que interactuar con una variedad de sistemas y recursos, lo que potencialmente requiere varias contraseñas para acceder. El uso de un administrador de contraseñas elimina la necesidad de múltiples contraseñas o, al menos, hace que su uso sea menos oneroso. Los administradores de contraseñas eliminan la complejidad de la generación de contraseñas y garantizan que cumplan con la política de la empresa. Aunque los administradores de contraseñas empresariales suelen estar más preocupados por la seguridad relacionada con el trabajo, algunos brindan a los usuarios acceso a una bóveda de contraseñas personal, lo que les permite mejorar la seguridad de las contraseñas para ellos y sus familias.
Desafíos de los administradores de contraseñas
A pesar de las ventajas obvias de los administradores de contraseñas, existen problemas potenciales a considerar.
- Huevos en una canasta: Ésta es una preocupación común e infundada: con todas las credenciales de una organización en un solo lugar, el compromiso puede ser devastador. La seguridad de la bóveda es muy importante y requiere controles de acceso sólidos, cifrado de bóveda, resiliencia y protección. Sin embargo, tenga en cuenta que el riesgo de que se infrinja el administrador de contraseñas puede ser menor que el impacto de las malas prácticas de administración de contraseñas.
- El cambio es difícil: Como ocurre con la mayoría de los cambios, el cambio a un administrador de contraseñas puede resultar difícil y, por lo general, requiere que las organizaciones exijan cambios en las políticas y la interacción de los usuarios con las contraseñas y las aplicaciones. Los líderes de TI no sólo necesitarán obtener el apoyo del liderazgo para los administradores de contraseñas, sino también ayudar a los usuarios a utilizarlos de manera efectiva para mejorar la seguridad de su organización y su propia experiencia. Esto requerirá tiempo y esfuerzo, pero probablemente menos tiempo y esfuerzo que recuperarse de una infracción causada por malas prácticas de contraseña.
- Dudas sobre la probabilidad y el riesgo de infracción: El robo de contraseñas sigue siendo una de las formas más comunes en que los ciberatacantes obtienen acceso. Esta es la razón por la que los ataques de phishing siguen siendo tan frecuentes y por la que se invierte tanto en su continua evolución. Las docenas de contraseñas, en poder de cientos o incluso miles de usuarios, a lo largo de su vida personal y empresarial, presentan un riesgo potencial para la seguridad. Solo se necesita una violación de contraseña y un mal actor puede obtener acceso a aplicaciones y datos confidenciales.
Sin duda, la gestión de contraseñas es difícil y encontrar formas de abordarla es fundamental. Si nunca pensó en agregar un administrador de contraseñas a su arsenal de seguridad, consulte algunos de los proveedores en el espacio y vea qué pueden hacer por usted.
Los próximos pasos
Para obtener más información, eche un vistazo a los informes Radar de gestión de contraseñas empresariales y criterios clave de GigaOm. Estos informes brindan una visión integral del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión.
Si aún no eres suscriptor de GigaOm, regístrate aquí.
Related Posts
Revisión del teclado mecánico para juegos Attack Shark X75
Más allá de las criptomonedas: exploración de las aplicaciones del mundo real de la tecnología Blockchain
