La Oficina para la protección financiera del consumidor recomienda la gestión de contraseñas como práctica de seguridad de datos
Las vulnerabilidades de datos ponen a los consumidores en cada vez más en riesgo de robo de identidad y otros delitos informáticos. Las agencias reguladoras responden ante esta tendencia presionando más a las empresas para que protejan los datos de los consumidores, ya sea a través de nuevas normativas o de directrices actualizadas. El desarrollo más reciente en este ámbito proviene de la Oficina para la protección financiera del consumidor (CFPB, por sus siglas en inglés), que afirmó en agosto que una protección inadecuada de los datos sensibles de los consumidores podría constituir una violación de la prohibición de prácticas desleales.
Para ayudar a las empresas a proteger los datos sensibles, la CFPB recomienda que las organizaciones adopten tres prácticas de seguridad comunes, entre ellas la gestión de contraseñas, para proteger la información del consumidor. He aquí por qué es esto importante.
Declaración de la CFPB sobre protección de datos insuficiente
En 2021 el número de vulneraciones de datos e incidentes similares en los Estados Unidos aumentó en un 68 % con respecto al año anterior, alcanzando nuevos máximos, según el Centro de recursos contra el robo de identidad. Estos incidentes aumentan el riesgo de fraude y otros delitos financieros contra los consumidores. Como afirma la circular de agosto de la CFPB, «las generalizadas vulnerabilidades de datos y ciberataques han producido daños significativos para los consumidores». Como una definición de «práctica empresarial desleal» es aquella que produce daños significativos, las entidades con prácticas débiles de protección de datos podrían violar las prácticas desleales según la Ley de protección financiera del consumidor (CFPA, por sus siglas en inglés). La oficina enumera ataques de tipo ransomware, vulnerabilidades y ciberataques junto con otros tipos de casos que podrían convertirse en vulnerabilidades de datos y causar daños sustanciales a los consumidores.
Lo que resulta importante de la afirmación de la CFPB es que las prácticas desleales pueden violarse incluso en ausencia de una vulneración de datos real. Incluso si no se produce ninguna vulneración en un año, eso no significa que los datos desprotegidos estén seguros para siempre.
La CFPB recomendó tres prácticas de seguridad informática habituales para evitar vulnerabilidades:
- La puesta en práctica de la autenticación multifactor
- La creación de políticas y procedimientos de gestión de contraseñas
- La actualización de software de forma oportuna
La CBFP citó varios casos anteriores, como la vulneración de datos de Equifax, como precedentes, afirmando que estos casos indican que el fallo en la aplicación de estas prácticas de seguridad de datos habituales «aumentará significativamente la probabilidad» de que una empresa pueda violar la prohibición de prácticas y actos desleales.
Aumenta la atención a la gestión de contraseñas
El año pasado, o tal vez los dos años pasados, las entidades gubernamentales, los organismos reguladores y los grupos sectoriales han puesto más énfasis que nunca en la puesta en práctica de una política de contraseñas y de prácticas de gestión de contraseñas. Un ejemplo es la orden ejecutiva sobre seguridad informática que el presidente de los Estados Unidos Biden emitió en mayo de 2021. De resultas de dicha orden ejecutiva, el Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés), calificó los programas de gestión de contraseñas como software crucial para un entorno de TI, reconociéndolos como esenciales para la seguridad de la información.
Este aumento de atención ilustra lo cruciales que se han vuelto las prácticas de contraseñas en la era digital. No es de extrañar que una de las cuatro conductas clave del Mes de concienciación sobre seguridad informática de este año, que es octubre, sea el uso de contraseñas fuertes y de un gestor de contraseñas.
El objetivo de esta campaña anual es recordar a personas y organizaciones cómo las prácticas de seguridad informática básicas pueden proteger sus datos. Se trata de un momento oportuno para que su organización revisite la política de contraseñas, o ponga en práctica una si aún no lo ha hecho.
Creación de una política de gestión de contraseñas
Una política de contraseñas ayuda a mejorar la seguridad informática mediante las mejores prácticas de gestión de contraseñas. La política describe un conjunto de reglas de contraseñas para las cuentas empresariales, incluyendo las herramientas y procedimientos que deben usar los empleados.
La política de contraseñas debe abarcar aspectos tales como:
- Requisitos para crear contraseñas fuertes y únicas para cada cuenta
- Información sobre el gestor de contraseñas que usa la empresa
- Las mejores prácticas para compartir, guardar y gestionar de forma segura las contraseñas
- Comportamientos inseguros que evitar, por ejemplo, guardar contraseñas en navegadores y reutilizar contraseñas para cuentas diferentes
Uno de los aspectos más importantes que hay que tener en cuenta en relación con la política de contraseñas es que debe equilibrar las necesidades de seguridad de la organización con las necesidades de los empleados. La política es tan fuerte como lo sea su adopción en toda la organización, y hacer que la política se centre en las personas es muy importante para conseguir que los empleados la cumplan.
Tenga en cuenta las estrategias que estimulan el éxito de la adopción, por ejemplo:
- Promover una cultura de seguridad que ayude a los empleados a comprender cómo la seguridad informática les protege tanto a ellos como a la organización
- Incorporar charlas sobre la importancia de una buena higiene de contraseñas en la bienvenida a sus nuevos empleados y poner en práctica formación habitual sobre seguridad informática durante todo el año
- Proporcionar las herramientas que necesitan los empleados para mantener una buena seguridad de contraseñas, por ejemplo un gestor de contraseñas empresarial fácil de usar
La reciente circular de la CFPB indica que la Oficina se centra en la protección de datos, y es solo un ejemplo de cómo las entidades gubernamentales crean nuevas expectativas para las organizaciones. Los aspectos básicos de la seguridad informática son un requisito previo para cualquier empresa de la era digital, y los requisitos para las prácticas habituales como la gestión de contraseñas seguirán ampliándose.
El gestor de contraseñas de Dashlane para empresas puede ayudarle a poner en práctica una política de contraseñas fuerte y las mejores prácticas para la gestión de contraseñas. Nuestro gestor de contraseñas viene acompañado de un conjunto de robustas capacidades y es fácil de usar, ayudando a aumentar la protección de sus datos sin interponerse en la productividad.
Comience con una prueba gratuita y descubra cómo Dashlane puede ayudar a su organización a mejorar la protección de los datos.
Referencias
- Centro de recursos contra el robo de identidad, Informe anual de vulneración de datos - ITRC, 2021.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane