A medida que se intensifican las reglas de ciberseguridad, las empresas pueden pasar por alto una solución simple
Autenticación multifactor. Biometría. Formación en ciberseguridad. Las organizaciones hacen mucho para evitar que sus empleados sean víctimas de un ciberataque. Y en el sector de los servicios financieros, una violación de los datos del consumidor puede generar sanciones importantes. Pero, ¿y si la solución se esconde a plena vista? Darren James tiene una palabra para ti: contraseñas.
Después del hackeo de SolarWinds de 2020, la Administración Biden tomó medidas significativas para aumentar la regulación de la seguridad cibernética en todas las industrias de los EE. UU., y el sector financiero no fue una excepción. En 2021, la FTC actualizó su Regla de salvaguardias GLBA para exigir a las instituciones financieras reguladas por la FTC que desarrollen estrategias integrales de ciberseguridad y cumplan con la regulación de la industria para proteger los datos de los consumidores. A fines de 2022, estas regulaciones se endurecieron para proteger aún más a los clientes dentro del sector. Pero con tanto cambio, ¿dónde deberían comenzar las organizaciones?
La respuesta es simple y a menudo se pasa por alto: contraseñas.
Las regulaciones de ciberseguridad en todo el sector financiero se están intensificando
La regla de protección GLBA de la FTC requiere que las instituciones financieras protejan los datos confidenciales de los clientes y brinden la privacidad adecuada. Esto se extiende a las instituciones financieras que ofrecen productos y servicios adyacentes, como seguros o préstamos. Según las normas, se requiere que una institución tenga un “sistema adecuado de controles internos que brinde una seguridad razonable de que la institución logrará sus objetivos con respecto a la presentación de informes, las operaciones y el cumplimiento”.
Esto no solo afecta a la propia organización, sino que también significa que debe examinar seriamente el software que utiliza, los sistemas existentes y los socios y proveedores externos para asegurarse de que también cumplan con las normas. Como resultado, los efectos de esta regla también se pueden sentir en todas las industrias. Los sistemas generales en los que confían las instituciones financieras se utilizan a menudo en varios sectores, por ejemplo, Microsoft Office365. Estos sistemas también deberán cumplir con estas reglas, lo que hará que el software sea más seguro para todos. Estas reglas también se extienden a los sistemas basados en contraseñas, como los administradores de contraseñas.
Adoptar un enfoque centrado en la contraseña
A pesar de los esfuerzos por pasar a un mundo "sin contraseña", la realidad es que las contraseñas no van a desaparecer. Son un sistema universal y, lo que es más importante, un concepto que todo el mundo entiende. Sin embargo, los usuarios finales a menudo sufren fatiga de contraseñas y, como resultado, confían en contraseñas inadecuadas. En consecuencia, las contraseñas suelen ser el eslabón más débil en la postura de seguridad de una organización. Pero, ¿cómo es una contraseña inadecuada?
Todos somos, quizás, culpables de usar malas contraseñas. Los errores de contraseña más comunes incluyen usar la misma contraseña en varios sitios web/cuentas, adoptar un enfoque basado en patrones (por ejemplo, Companyname1!) o ignorar las reglas de complejidad por completo. El Informe de contraseñas débiles de Specops de 2023 encontró que el término base más común utilizado para atacar redes a través de múltiples puertos fue, asombrosamente, contraseña y más del 88% de las contraseñas utilizadas en los ataques tenían 12 caracteres o menos.
Afortunadamente, para las organizaciones, una política de contraseña segura es un lugar fácil y asequible para comenzar con el cumplimiento de la seguridad cibernética . Una política de contraseñas sólida podría incluir agregar requisitos de complejidad, tener herramientas que verifiquen las contraseñas violadas o agregar pasos de autenticación de múltiples factores. Es una solución rápida que puede ser asistida por herramientas que pueden implementarse rápidamente, eliminando la carga de los equipos de TI. Es fundamental desarrollar una mentalidad sólida y completa centrada en las contraseñas que se pueda inculcar en todos, desde los usuarios finales hasta los empleados. También puede hacer que los usuarios finales se sientan empoderados, dado que no es invasivo.
La seguridad sin contraseña es un objetivo maravilloso, pero pasarán años antes de que lleguemos a una etapa en la que sea posible que cada organización o sistema lo implemente. Sí, las contraseñas suelen ser el eslabón más débil, pero también se encuentran entre las frutas más fáciles de implementar para implementar mejores políticas de seguridad.
¿Cómo pueden las organizaciones reforzar la seguridad de las contraseñas?
Las organizaciones a menudo piensan que hacer que los usuarios elijan contraseñas complicadas y largas es la respuesta, lo que hipotéticamente fortalece las defensas, si se mide virtualmente. Sin embargo, esto solo anima a las personas a escribir las contraseñas para recordarlas. Del mismo modo, el MFA basado en texto a menudo puede no ser una seguridad sólida, ya que es, posiblemente, una nota Post-It virtual. Si se aleja de su escritorio con sus notificaciones abiertas, cualquiera puede acceder a ellas.
Entonces, ¿cómo podemos cerrar la brecha entre las contraseñas y los sistemas sin contraseña? La respuesta son las frases de contraseña. Animar a los equipos a pensar en contraseñas compuestas de tres palabras aleatorias es un buen punto de partida. Las frases de contraseña deben consistir en tres palabras aleatorias que signifiquen algo para usted y nada para los demás. Puede reforzar aún más la seguridad escribiendo mal las palabras deliberadamente o añadiendo caracteres especiales al azar. Si se hace correctamente, los usuarios pueden mantener estas frases de contraseña para siempre o solo cambiarlas si alguna vez se encuentran en una infracción.
Otra estrategia es adoptar una mentalidad que asume que una brecha de seguridad ciertamente ocurrirá y que la única forma de mitigar el daño es confiar en el comportamiento de seguridad primero. Eso significa siempre hacer lo básico correctamente: aplicar actualizaciones, probar copias de seguridad, tener un plan de contingencia, evitar patrones y ser consciente de la seguridad.
Resultado final para el cumplimiento
Las organizaciones pueden mantenerse al día con el cumplimiento mediante la implementación de alguna forma de MFA. Cuando se trata de seguridad basada en contraseñas, hay tres factores importantes que deben tenerse en cuenta: un factor de conocimiento (algo que conoce el titular de la contraseña), un factor de posesión (como un token de hardware) y biometría (como una identificación facial). Los sistemas de seguridad más seguros emplearán al menos dos de estas cosas, ya que cada uno de estos sistemas no es necesariamente perfecto por sí solo.
Fuente: corporatecomplianceinsights.com
