Superhéroe revelando un escudo digital con un candado, representando la seguridad de contraseñas.
17
Views

Una estrategia efectiva para mejorar la seguridad corporativa sin estrés ni conflictos.

Implementar una nueva política de contraseñas sin un plan de comunicación es un camino directo a los problemas. Es importante evitar situaciones donde se les pide a todos los usuarios que cambien sus contraseñas sin entender claramente el qué y el porqué, ya que esto causará caos en el servicio de soporte técnico o en el departamento de TI. La clave del éxito es un plan de comunicación detallado y preparado con anticipación al actualizar la política de seguridad de contraseñas.

¿Implementación simultánea o gradual de los cambios en la política de contraseñas?

Siluetas de personas trabajando frente a servidores, con íconos de candados, representando la seguridad de contraseñas en una organización.
Protege la información de tu organización con una política de contraseñas robusta.

Aquí la decisión depende de la organización; sin embargo, se recomienda dividir Active Directory y realizar una implementación gradual. Esto evitará que todos los usuarios cambien sus contraseñas al mismo tiempo, lo que podría generar una avalancha de llamadas al soporte técnico.

Si un grupo específico de usuarios tiene contraseñas que caducan en los próximos días o semanas, ¿por qué no aplicarles primero la nueva política? Los usuarios que cambiaron sus contraseñas recientemente podrían reaccionar negativamente ante la necesidad de volver a cambiarlas; se les puede dejar para más cerca de la fecha límite de la implementación.

Tener un grupo conocido con contraseñas comprometidas ofrece una excelente oportunidad para probar la implementación. Estas cuentas se pueden utilizar como grupo piloto, lo que permitirá resolver primero los problemas de los usuarios con alto riesgo y obtener retroalimentación sobre el proceso de implementación.

Informar a los usuarios sobre la nueva política de contraseñas

Una notificación previa a los usuarios por correo electrónico hará que la implementación sea más fluida. El mensaje debe explicar:

  • Las razones de los cambios;
  • Los requisitos de la nueva política de contraseñas;
  • Un recordatorio de las mejores prácticas: no compartir contraseñas, no escribirlas, no reutilizarlas;
  • A quién contactar para preguntas.

También vale la pena considerar la posibilidad de probar el enfoque para instruir a los usuarios. Es importante mantener la simplicidad y claridad. Si se pasa de una política de contraseñas cortas y complejas (por ejemplo, ocho caracteres con una combinación de números, minúsculas, mayúsculas y caracteres especiales) a frases de contraseña más sencillas pero largas, esto podría ser significativamente diferente a los requisitos anteriores.

Modelo de correo informativo

Aquí hay un ejemplo de mensaje que se puede adaptar a tus necesidades específicas:

“Estimado usuario,

Entre el XX/XX/XX y el XX/XX/XX se implementará una nueva política de contraseñas en la organización. Esto mejorará la seguridad tanto para ti como para la organización contra el robo o la adivinación de contraseñas por parte de los atacantes. Durante ese periodo, recibirás una notificación para crear una nueva contraseña de Active Directory.

Requisitos de la nueva política de contraseñas:

Longitud. Mínimo 15 caracteres.

Complejidad. Al menos una letra mayúscula, un número y un carácter especial.

Reutilización. Las contraseñas repetidas o ligeramente modificadas serán rechazadas automáticamente.

Verificación de compromiso. Las contraseñas comprometidas conocidas también serán rechazadas automáticamente.

Se recomienda crear una "frase de contraseña", ya que es la forma más sencilla de crear una contraseña larga, segura y fácil de recordar.

Recuerda las mejores prácticas de seguridad de contraseñas. No debes:

Compartir tu contraseña;

Escribir tu contraseña (excepto guardarla en un lugar seguro);

Reutilizar tu contraseña en otros dispositivos, aplicaciones o sitios web;

Si tienes alguna pregunta, comunícate a [correo electrónico].

Atentamente, 
[Firma]”
Empleado revisando una pantalla de computadora que muestra una página de inicio de sesión con un candado, representando la política de contraseñas.
Forma efectiva de comunicar la nueva política de contraseñas a los empleados.

Otros grupos de usuarios para la comunicación

Existen otros grupos de usuarios en la organización para los que podría ser necesaria una adaptación del mensaje anterior.

Servicio de soporte/soporte de TI/equipos de seguridad

Los equipos de soporte deben estar preparados para un mayor volumen de llamadas durante la implementación de la nueva política. Necesitan conocer a fondo todos los requisitos y tener un plan de acción claro en caso de problemas. Es importante asegurar un sistema fiable de identificación de usuarios al solicitar el restablecimiento de la contraseña. Incluso con una planificación ideal de la implementación, surgen dificultades de adaptación, por lo que el servicio de soporte debe estar lo más preparado posible.

Dirección/Gerentes. Es importante que los directivos comprendan las razones y los objetivos de la implementación de la nueva política. Proporcionar estadísticas y ejemplos concretos de riesgos ayudará a obtener su apoyo. Los gerentes juegan un papel clave en la comunicación con sus subordinados y pueden influir significativamente en el éxito de la implementación, explicando la importancia de los cambios y apoyando a los empleados durante el proceso de transición.

Cuentas de servicio. Requieren un enfoque especial, ya que garantizan el funcionamiento de sistemas críticos. Normalmente no tienen fecha de caducidad para las contraseñas, y las contraseñas se almacenan en un almacén seguro. Se recomienda establecer requisitos de complejidad más altos (a partir de 64 caracteres) y analizar la protección contra ataques de denegación de servicio mediante la política de bloqueo.

Administradores. Los usuarios con altos privilegios requieren una protección más robusta. Se recomienda aplicar requisitos más estrictos para la longitud de las contraseñas y mantener la política de cambio regular, aunque no esté prevista para los usuarios normales. Es necesario informarles por separado sobre los mayores requisitos de seguridad y las razones de su implementación.

Empleados de vacaciones. Al planificar, es importante tener en cuenta a los empleados que están de vacaciones prolongadas y que pueden no tener acceso a los sistemas para cambiar sus contraseñas. Se debe estudiar este tema con anticipación con los gerentes y el departamento de RR.HH., desarrollando instrucciones y procedimientos especiales. Es necesario proporcionar métodos alternativos de comunicación y cambio seguro de contraseña tras su regreso.

¿Cómo hacer que la implementación de la política de contraseñas sea cómoda para los usuarios?

Además de un plan de comunicación claro, hay algunos elementos que se pueden agregar a la política de contraseñas para simplificar el trabajo de los usuarios:

  • Inicio de sesión único (SSO);
  • Administradores de contraseñas;
  • Autenticación de hardware (por ejemplo, YubiKeys).

Monitoreo y evaluación de la efectividad de la nueva política de contraseñas

Tras la implementación de la nueva política de contraseñas, es importante controlar su eficacia e influencia en la seguridad de la organización.

Se recomienda prestar atención a las siguientes métricas:

  • Número de incidentes de seguridad relacionados con la vulneración de contraseñas;
  • Número de llamadas al servicio de soporte técnico sobre contraseñas;
  • Tiempo empleado en procesar las solicitudes de restablecimiento de contraseñas;
  • Nivel de satisfacción del usuario con la nueva política;
  • Porcentaje de primeros intentos exitosos de creación de contraseñas según los nuevos requisitos.

Para un monitoreo eficaz, debes:

  • Configurar la recopilación automatizada de estadísticas sobre incidentes de contraseñas;
  • Realizar encuestas periódicas a los usuarios;
  • Analizar los registros de intentos de inicio de sesión y restablecimiento de contraseñas;
  • Controlar el tiempo entre los cambios obligatorios de contraseña;
  • Recopilar comentarios del servicio de soporte.

Conclusión

La implementación de una nueva política de contraseñas no es solo un proceso técnico, sino un cambio organizativo integral que requiere un enfoque cuidadoso del factor humano. El éxito del proyecto depende no tanto de los propios requisitos técnicos de las contraseñas, sino de la eficacia con la que la organización haya podido preparar y apoyar a sus empleados durante el proceso de transición.

La lección clave que se puede extraer de la experiencia de implementar políticas de contraseñas es que la seguridad y la comodidad de los usuarios no deben ser contradictorias. El enfoque moderno de la gestión de contraseñas permite encontrar un equilibrio entre los estrictos requisitos de seguridad y la comodidad de los usuarios.

Cuando los empleados entienden las razones de los cambios y reciben el apoyo necesario, se convierten en participantes activos en el proceso de asegurar la seguridad de la información de la organización, y no simplemente en ejecutores de reglas impuestas.

La inversión en una comunicación adecuada y el apoyo a los usuarios en la implementación de una nueva política de contraseñas se amortiza con creces, a través de la reducción de los riesgos de seguridad, la disminución de la carga de trabajo del servicio de soporte y el aumento de la alfabetización digital general de los empleados.

Categorías:
Revisiones

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *