Cierta mañana me dirigí a una empresa en la cual habíamos desarrollado una Auditoría y ellos me mostraron con mucha entusiasmo, sin yo preguntar, que ya habían seguido mis recomendaciones.
Les pongo en antecedentes que dentro de mis consultorías, establezco un esquema de seguridad PLAN-DO-CHECK –ACT en el cual les ayudo, según los servicios contratados, a realizar todo un proyecto de Seguridad de Información en el cual se completa el ciclo Demming.
Pues resulta que esta empresa solo decidió contratar el PLAN, ya que allí solo les hago un diagnostico del “Que?” se debe e implementar, y no el “Como?” el cual se encuentra la etapa “DO” de dichos servicios.
Pues continuando con mi recorrido junto con el Gerente encargado de dar seguimiento, me comentó que uno de los puntos donde pusieron mucho énfasis, fue la definición de la fortaleza de las contraseñas a través de Políticas de Contraseñas e implementación de Sistemas de gestión de Identidad con SSO (Single Sign-on) para que sus múltiples plataformas fueran administradas por una sola contraseña.
Pues bien la política definió contraseñas robustas exigiendo Mayúsculas y Minúsculas, Letras y Números, Longitudes Mínimas, Caracteres Especiales y todo lo que nos podamos imaginar para realmente complicarles la vida a los intrusos que tratan de romper contraseñas con ataques de diccionario y fuerza bruta. El problema obviamente, se le traslada ahora al usuario al cual se le complica recordar dichas contraseñas complejas, y lo que hace pues simplemente, comienza a escribirlas en algún lugar. ¿Anotar o no anotar las contraseñas? He ahí el dilema.
Pues sí, ya se querido amigo, que está en tu mente en este momento, seguramente piensas que "de nada sirve la contraseña más segura del mundo si está escrita en un post-it". Solo allí me vengo dando cuenta que no ando haciendo la parte del "Check" que dicha empresa no contrató, ni conmigo ni con nadie más, y ya detecté debilidades en dicha Política de Contraseñas, que orgullosamente me han mostrado, no exigen que las contraseñas no sean escritas en ningún papel y lo peor que nadie revisa su cumplimiento.
Y porque creen que afirmo esto, ah pues porque durante mi recorrido comencé a ver escritorios de los usuarios. Creo que todos hemos visto alguna vez el típico post-it amarillo con la contraseña pegado en la pantalla de la computadora, pero esta vez me sorprendió el tamaño del "recordatorio", un folio A4 doblado por la mitad con el usuario y contraseña bien grandes, a la vista de todo el mundo desde varios metros.
Aunque la contraseña no era precisamente complicada de recordar, supongo que decidieron que lo mejor era tenerla a la vista por si acaso se le olvidaba a alguien (intuyo que será una cuenta "común", utilizada por varias personas del departamento).
Aclaro que no tengo nada en contra de los Post-it, más bien me sorprende su historia de éxito de quien la invento.
Y es que debemos entender que el usuario, salvo raras excepciones, no tiene conciencia de la seguridad. Para ellos muchas de las medidas que implentamos, como puede ser autenticarse con una simple contraseña, son vistas como un estorbo, una exigencia del sistema que no le aporta ninguna ventaja. Al final, y dentro de la lógica, terminan por buscar la comodidad (en este caso apuntarla cerca del computador para que no se olvide), siendo peor el remedio que la enfermedad. El problema es que las contraseñas son las claves de sus activos de la empresa en la nube o en nuestra red interna.
Cada uno tiene sus contraseñas por escrito en alguna parte, y en algún lugar que es a menudo fácil de encontrar como debajo del teclado o en la primera gaveta de su escritorio.
No escribas tus contraseñas en un "post-it" y menos lo dejes en tu mesa de trabajo. Tampoco las guardes en un documento dentro de la computadora. Si quieres guardarlas, ponlas en una carpeta, lejos de la vista. Algunos utilizan su celular para poner contraseñas y no dicen de donde son.
Y tú, ¿que otras anécdotas o historias de horror similares has vivido?
Espero tus comentarios.Hasta la Próxima!!
Sitios sobre el tema:
http://tecnometro.blogspot.com/2009/05/f-secure-sugiere-que-pongas-tus.html
http://www.laflecha.net/canales/seguridad/noticias/200412171
http://www.enriquedans.com/2005/05/contrasenas-y-post-its.html
http://www.ticbeat.com/tecnologias/peligros-seguridad-informatica-1990-video/
