Cómo incentivar a los empleados para que refuercen la seguridad de sus contraseñas
De Bill Carey / Traducción: Diana Delgado
Una de las tareas de los departamentos de TI es conseguir que los empleados asuman las políticas de seguridad de las contraseñas, ya no sólo por el bien de los propios empleados, sino por el del conjunto de la empresa.
Bill Carey, colaborador del Knowledge center recomienda a las empresas una estrategia en cinco etapas para la educación de los empleados en el refuerzo de la seguridad de sus contraseñas.
Probablemente, la Gobernadora de Alaska, Sarah Palin no era consciente de la importancia que llegaría a tener su cuenta de correo electrónico, y sin embargo, cuando fue elegida candidata para la vicepresidencia por el partido Republicano, se convirtió inmediatamente en objetivo de los hackers David Kernell se coló en su cuenta de correo utilizando la posibilidad “restaurar contraseña” de Yahoo! y adivinando sus respuestas a las preguntas de seguridad.
La triste realidad es que las llamadas “preguntas de seguridad” no son en absoluto seguras. En general, no resulta muy difícil dar con el lugar de nacimiento o incluso con el nombre de soltera de la madre de una persona. Alguien debería haber advertido a Palin que no hacía falta decir la verdad en esas preguntas. Uno tiene perfecto derecho a decir que ha nacido en Belén y que el nombre de soltera de su madre es Barbarosa. A la base de datos de Yahoo le da exactamente igual.
El robo de identidad es un asunto muy serio, incluso para los que no participamos en una carrera electoral. Para la persona corriente, la amenaza que entraña una identidad electrónica frágil no es tanto una cuestión de cotilleos o indiscreciones políticas. Uno podría jugarse su reputación – si se tratase de un “amigo” o una esposa espías -, pero el riesgo mayor de seguridad tiene que ver con el acceso al dinero y con la posibilidad de encontrarse en números rojos.
Consecuencias para la empresa de una contraseña poco segura
En el caso de una empresa, las consecuencias pueden ser mucho más graves. Si los empleados comparten contraseñas o utilizan contraseñas fáciles de adivinar, se pone en peligro la información financiera de la empresa o los secretos comerciales. Y una empresa verá gravemente dañada su reputación si permite el acceso no autorizado a datos de sus clientes. Las empresas tienen dos razones para incentivar a sus empleados a reforzar su seguridad online: la primera, proteger sus propios activos; y la segunda proporcionar un beneficio tangible y sin coste a los empleados, ayudándoles a proteger su identidad electrónica.
En cualquier empresa, lo más probable es que a los empleados les preocupe la seguridad de su identidad online, sin embargo, no cuentan con los conocimientos y herramientas necesarios para prevenir los riesgos. Creen que “hobbit” es una contraseña muy inteligente, aunque participen en un foro de discusión sobre “El Señor de los Anillos” y tengan una fotografía de Frodo de salva pantallas.
La buena noticia para los empresarios es que si ayudan a sus empleados a proteger sus identidades electrónicas personales, conseguirán que ellos adopten políticas de seguridad adecuadas a la hora de acceder a los sistemas y datos de la empresa. Y aún más, un empresario que ayuda a sus empleados a proteger su seguridad online será percibido como un jefe que se preocupa y no como un histérico del control obsesionado por imponer otro complicado procedimiento de seguridad.
Cinco etapas para aumentar la seguridad de las contraseñas
Si se les informa con delicadeza, los trabajadores entenderán mejor la necesidad de seguridad en la empresa y estarán más dispuestos a participar en la puesta en práctica de una política responsable de seguridad. ¿Cuál sería en la práctica la mejor forma de aumentar la concienciación sobre la seguridad electrónica? A continuación, se describe una estrategia en cinco etapas que cualquier empresa puede aplicar:
Etapa 1: Asigne a alguien del departamento de TI el seguimiento de artículos sobre fallos de seguridad y la distribución de esos artículos entre los empleados, acompañados de sugerencias sobre cómo evitar dichos fallos de seguridad. De esta forma, conseguirá mantener el asunto seguridad como prioritario en el departamento de TI y les obligará a reflexionar sobre los procedimientos de la empresa. Además, los empleados se mantienen al corriente de las últimas amenazas y estafas electrónicas. Asegúrese de que los artículos se refieren tanto a seguridad personal como a seguridad de la empresa.
Etapa 2: Permita que el departamento de TI responda online a las preguntas de los empleados. Una vez más, conseguirá mantener al personal informático familiarizado con el asunto y contribuirá a la educación electrónica de los empleados.
Etapa 3: Adquiera software sobre gestión de contraseñas y permita que los empleados lo utilicen para sus cuentas personales. Hay muchas opciones disponibles, pero la más efectiva en términos de coste suele ser algún tipo de solución para la gestión de contraseñas en la empresa.
Etapa 4: Organice un almuerzo informal cada trimestre o semestre para discutir los temas más novedosos sobre seguridad, refiriéndose tanto a la seguridad de la empresa como a la seguridad personal de los empleados (muchos de ellos ni siquiera saben todavía lo que es el “phishing”)
Etapa 5: Circule un memo sobre buenas prácticas en materia de contraseñas e inclúyalo entre la documentación destinada a los nuevos empleados. Un ejemplo de memo es el siguiente:
Una de las tareas de los departamentos de TI es conseguir que los empleados asuman las políticas de seguridad de las contraseñas, ya no sólo por el bien de los propios empleados, sino por el del conjunto de la empresa.
Bill Carey, colaborador del Knowledge center recomienda a las empresas una estrategia en cinco etapas para la educación de los empleados en el refuerzo de la seguridad de sus contraseñas.
Probablemente, la Gobernadora de Alaska, Sarah Palin no era consciente de la importancia que llegaría a tener su cuenta de correo electrónico, y sin embargo, cuando fue elegida candidata para la vicepresidencia por el partido Republicano, se convirtió inmediatamente en objetivo de los hackers David Kernell se coló en su cuenta de correo utilizando la posibilidad “restaurar contraseña” de Yahoo! y adivinando sus respuestas a las preguntas de seguridad.
La triste realidad es que las llamadas “preguntas de seguridad” no son en absoluto seguras. En general, no resulta muy difícil dar con el lugar de nacimiento o incluso con el nombre de soltera de la madre de una persona. Alguien debería haber advertido a Palin que no hacía falta decir la verdad en esas preguntas. Uno tiene perfecto derecho a decir que ha nacido en Belén y que el nombre de soltera de su madre es Barbarosa. A la base de datos de Yahoo le da exactamente igual.
El robo de identidad es un asunto muy serio, incluso para los que no participamos en una carrera electoral. Para la persona corriente, la amenaza que entraña una identidad electrónica frágil no es tanto una cuestión de cotilleos o indiscreciones políticas. Uno podría jugarse su reputación – si se tratase de un “amigo” o una esposa espías -, pero el riesgo mayor de seguridad tiene que ver con el acceso al dinero y con la posibilidad de encontrarse en números rojos.
Consecuencias para la empresa de una contraseña poco segura
En el caso de una empresa, las consecuencias pueden ser mucho más graves. Si los empleados comparten contraseñas o utilizan contraseñas fáciles de adivinar, se pone en peligro la información financiera de la empresa o los secretos comerciales. Y una empresa verá gravemente dañada su reputación si permite el acceso no autorizado a datos de sus clientes. Las empresas tienen dos razones para incentivar a sus empleados a reforzar su seguridad online: la primera, proteger sus propios activos; y la segunda proporcionar un beneficio tangible y sin coste a los empleados, ayudándoles a proteger su identidad electrónica.
En cualquier empresa, lo más probable es que a los empleados les preocupe la seguridad de su identidad online, sin embargo, no cuentan con los conocimientos y herramientas necesarios para prevenir los riesgos. Creen que “hobbit” es una contraseña muy inteligente, aunque participen en un foro de discusión sobre “El Señor de los Anillos” y tengan una fotografía de Frodo de salva pantallas.
La buena noticia para los empresarios es que si ayudan a sus empleados a proteger sus identidades electrónicas personales, conseguirán que ellos adopten políticas de seguridad adecuadas a la hora de acceder a los sistemas y datos de la empresa. Y aún más, un empresario que ayuda a sus empleados a proteger su seguridad online será percibido como un jefe que se preocupa y no como un histérico del control obsesionado por imponer otro complicado procedimiento de seguridad.
Cinco etapas para aumentar la seguridad de las contraseñas
Si se les informa con delicadeza, los trabajadores entenderán mejor la necesidad de seguridad en la empresa y estarán más dispuestos a participar en la puesta en práctica de una política responsable de seguridad. ¿Cuál sería en la práctica la mejor forma de aumentar la concienciación sobre la seguridad electrónica? A continuación, se describe una estrategia en cinco etapas que cualquier empresa puede aplicar:
Etapa 1: Asigne a alguien del departamento de TI el seguimiento de artículos sobre fallos de seguridad y la distribución de esos artículos entre los empleados, acompañados de sugerencias sobre cómo evitar dichos fallos de seguridad. De esta forma, conseguirá mantener el asunto seguridad como prioritario en el departamento de TI y les obligará a reflexionar sobre los procedimientos de la empresa. Además, los empleados se mantienen al corriente de las últimas amenazas y estafas electrónicas. Asegúrese de que los artículos se refieren tanto a seguridad personal como a seguridad de la empresa.
Etapa 2: Permita que el departamento de TI responda online a las preguntas de los empleados. Una vez más, conseguirá mantener al personal informático familiarizado con el asunto y contribuirá a la educación electrónica de los empleados.
Etapa 3: Adquiera software sobre gestión de contraseñas y permita que los empleados lo utilicen para sus cuentas personales. Hay muchas opciones disponibles, pero la más efectiva en términos de coste suele ser algún tipo de solución para la gestión de contraseñas en la empresa.
Etapa 4: Organice un almuerzo informal cada trimestre o semestre para discutir los temas más novedosos sobre seguridad, refiriéndose tanto a la seguridad de la empresa como a la seguridad personal de los empleados (muchos de ellos ni siquiera saben todavía lo que es el “phishing”)
Etapa 5: Circule un memo sobre buenas prácticas en materia de contraseñas e inclúyalo entre la documentación destinada a los nuevos empleados. Un ejemplo de memo es el siguiente:
Estimado empleado:Fuente: http://www.eweekeurope.es/knowledge/como-incentivar-a-los-empleados-para-que-refuercen-la-seguridad-de-sus-contrasenas-422
La seguridad electrónica es un problema de creciente importancia para muchas empresas y personas individuales. Probablemente, haya oído hablar del aumento de los “robos de identidad” y delitos similares. (Nombre de la empresa) está muy interesada en proteger nuestra información y secretos comerciales, pero también deseamos ayudar a nuestros empleados a hacer un uso responsable de sus servicios personales de Internet
En los próximos meses, circularemos noticias sobre fallos de seguridad electrónica, así como consejos y pistas sobre cómo proteger su identidad electrónica. Como primer paso en esa dirección, este memo proporciona un conjunto de reglas simples para ayudarle a crear contraseñas más seguras:En segundo lugar, para crear una contraseña segura, utilice alguno de los cuatro métodos siguientes:
- En primer lugar, asegúrese de recordar las siguientes cuatro reglas:
- No utilice contraseñas obvias y fáciles de adivinar.
- No escriba su contraseña en un lugar poco seguro ni la guarde en un archivo no protegido del ordenador.
- No comparta su contraseña con otros empleados.
- No utilice la misma contraseña para diferentes cuentas.
Elija una palabra o frase que pueda recordar, pero sustituya las letras por símbolos o números (por ejemplo @ por a, 8 por B, $ por S, etc). Con este método, “sambuca” podría convertirse en “$@m8uC@”.
Si se trata de una frase larga, utilice la primera letra de cada palabra, alternando mayúsculas y minúsculas y realice las sustituciones descritas anteriormente. Así “One ring to rule them all, one ring to find them” podría convertirse en “0RTrt@OrtFT”. Al principio, puede parecer difícil, pero enseguida la memoria empieza a funcionar y se verá tecleando la contraseña con facilidad.
Realice sustituciones del tipo “encima a la izquierda” o “debajo a la derecha”. Esto consiste en sustituir una tecla por la de al lado. Así tendríamos que “Finnegan” podría convertirse en “E8hh3rqh” sustituyendo cada letra por la que se sitúa en el teclado en la fila de encima a la izquierda de ésta.
Finalmente, es una buena idea cambiar la contraseña al menos una vez al mes.
Le animamos a recordar y seguir estas sugerencias, no sólo para las contraseñas que utilice en su empresa, sino también para las que utilice en sus asuntos personales.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!