Las contraseñas son las claves de sus activos digitales: es la forma en que accedemos a las aplicaciones y los datos, así como a la infraestructura y los sistemas. A menudo son caracteres que escribimos como parte de un mensaje de inicio de sesión, pero también pueden estar ocultos en el código, cuando una aplicación realiza una llamada a otros recursos para realizar sus tareas. La gestión de contraseñas es un proceso complejo tanto para los equipos de operaciones como para los usuarios. Desafortunadamente, esa complejidad a menudo conduce a malas prácticas de contraseñas, lo que las convierte en un objetivo de alta prioridad para los cibercriminales: saben que obtener acceso a las credenciales correctas puede darles las claves para el reino de los datos de una organización. Y eso puede conducir a violaciones de datos que comprometen la seguridad, la productividad y la reputación. Con la complejidad del desafío y el riesgo que introduce la mala gestión de contraseñas, uno pensaría que todos los líderes de TI habrían encontrado formas de abordar el problema o lo tendrían en un lugar alto de la lista de prioridades. Pero ¿es ese el caso? Recientemente trabajé en la tercera iteración del informe de Gestión de contraseñas empresariales de GigaOm, y una de las cosas que me llamó la atención es que no todo el mundo se toma este desafío tan en serio como debería ni dedica tiempo a comprender por qué la gestión de contraseñas es difícil y qué herramientas hay disponibles para ayudar. ¿Por qué la gestión de contraseñas es tan compleja? ¿Por qué la gestión de contraseñas es un problema tan grande? Hay varias razones. El volumen de contraseñas que se deben gestionar y recordar es el núcleo del problema. Los usuarios tienen docenas de contraseñas, cada una de las cuales normalmente debe cambiarse con regularidad, a menudo con una complejidad creciente, lo que da lugar a malas prácticas de gestión de contraseñas, como contraseñas débiles, reutilización de contraseñas y poca seguridad de las contraseñas. La gestión de contraseñas es tediosa y requiere mucho tiempo. Implica lidiar con contraseñas olvidadas, descubrir dónde hay riesgo y definir y aplicar políticas de contraseñas sólidas. Además, es posible que sea necesario configurar políticas y controles en múltiples aplicaciones y sistemas, lo que aumenta aún más la sobrecarga. Las políticas de contraseñas son difíciles de aplicar. Las organizaciones necesitan saber qué tan buenas son sus políticas de contraseñas y dónde están en riesgo. La naturaleza distribuida de las contraseñas hace que esto sea muy difícil de comprender y difícil de abordar. Compartir contraseñas es una práctica común. Cuando se requiere acceso a entidades comunes (como infraestructura, máquinas y aplicaciones) para mantenimiento u otros fines, los equipos de operaciones pueden compartir las contraseñas. Otros equipos pueden compartir contraseñas para herramientas de marketing y ventas, y los usuarios pueden necesitar obtener acceso a recursos en caso de ausencia de otro usuario. Esto crea dolores de cabeza en torno a la practicidad y la seguridad. Beneficios de los administradores de contraseñas Los administradores de contraseñas pueden ofrecer ventajas significativas a las organizaciones. Los beneficios incluyen: Almacenamiento seguro de contraseñas: estas soluciones proporcionan una bóveda segura y cifrada en la que se pueden colocar todas las contraseñas, lo que permite una administración más fácil y efectiva. Mejora de los informes: al poner las contraseñas bajo el control de una aplicación, un administrador de contraseñas puede evaluar la efectividad y seguridad de las contraseñas y si cumplen con las políticas de la organización. Puede advertir sobre riesgos potenciales y ayudar a guiar a los usuarios y equipos de operaciones para aplicar mejores controles. Centralización de la administración de políticas: con una vista del estado general de las contraseñas, un administrador de contraseñas puede ayudar a una organización a comprender los tipos de políticas que necesita implementar y proporcionar una ubicación central desde la cual aplicarlas. Los equipos de operaciones también pueden obtener información sobre qué tan bien se adoptan las políticas y dónde aún puede haber riesgo cuando no se siguen. Facilitar la vida de los usuarios: los usuarios empresariales a menudo tienen que interactuar con una variedad de sistemas y recursos, lo que potencialmente requiere una serie de contraseñas para acceder. El uso de un administrador de contraseñas evita la necesidad de múltiples contraseñas, o al menos, hace que su uso sea menos oneroso. Los administradores de contraseñas eliminan la complejidad de la generación de contraseñas y garantizan que las contraseñas cumplan con la política de la empresa. Aunque los administradores de contraseñas empresariales generalmente se preocupan más por la seguridad relacionada con el trabajo, algunos brindan a los usuarios acceso a bóvedas de contraseñas personales, lo que les permite mejorar la seguridad de las contraseñas para ellos mismos y sus familias. Desafíos de los administradores de contraseñas A pesar de las obvias ventajas de los administradores de contraseñas, existen posibles problemas a considerar. Huevos en una canasta: esta es una preocupación común y no infundada: con todas las credenciales de una organización en un solo lugar, la vulneración podría ser devastadora. La seguridad de la bóveda es muy importante y requiere controles de acceso sólidos, cifrado de bóveda, resiliencia y protección. Sin embargo, tenga en cuenta que el riesgo de que se produzca una vulneración del gestor de contraseñas puede ser menor que el impacto de unas prácticas de gestión de contraseñas deficientes. El cambio es difícil: como ocurre con la mayoría de los cambios, la transición a un gestor de contraseñas puede ser difícil y, por lo general, requiere que las organizaciones exijan cambios en las políticas y en la interacción de los usuarios con las contraseñas y las aplicaciones. Los responsables de TI no solo tendrán que conseguir la aceptación de los directivos para los gestores de contraseñas, sino también ayudar a los usuarios a utilizarlos de forma eficaz para mejorar la seguridad de la organización y su propia experiencia. Esto llevará tiempo y esfuerzo, pero probablemente menos tiempo y esfuerzo que recuperarse de una vulneración causada por unas prácticas de gestión de contraseñas deficientes. Cuestionar la probabilidad y el riesgo de una vulneración: el robo de contraseñas sigue siendo una de las formas más habituales de acceso de los ciberatacantes. Por eso los ataques de phishing siguen siendo tan frecuentes y por eso se invierte tanto en su evolución continua. Las docenas de contraseñas que tienen cientos o incluso miles de usuarios en su vida personal y empresarial presentan un riesgo potencial de seguridad. Basta con una vulneración de contraseña para que un malhechor pueda acceder a aplicaciones y datos confidenciales. Sin duda, la gestión de contraseñas es difícil y es fundamental encontrar formas de abordarla. Si nunca ha considerado agregar un administrador de contraseñas a su arsenal de seguridad, consulte algunos de los proveedores del sector y vea lo que pueden hacer por usted. Próximos pasos Para obtener más información, eche un vistazo a los informes de criterios clave y radar de administración de contraseñas empresariales de GigaOm. Estos informes brindan una visión integral del mercado, describen los criterios que querrá considerar en una decisión de compra y evalúan el desempeño de varios proveedores en relación con esos criterios de decisión. Si aún no es suscriptor de GigaOm, regístrese aquí.