La digitalización de las empresas es un factor clave para su evolución, pero también se exponen a posibles vulnerabilidades, por ello, proteger los datos de su empresa y de las personas cobra vital importancia para ganar en seguridad y evitar cualquier contratiempo.
Las contraseñas son el mecanismo de autenticación más generalizado para el acceso a los datos personales y a los equipos utilizados para su tratamiento.
En tal sentido, la aprobación, difusión y cumplimiento de una política de buenas prácticas en la gestión de contraseñas, es un aspecto trascendental para garantizar una seguridad y confidencialidad adecuadas de los datos personales objeto de tratamiento y, en particular, para impedir el acceso o uso no autorizados de dichos datos.
El artículo 5, apartado 2, del Reglamento (UE) 2016/679, establece expresamente el principio de «responsabilidad proactiva», según el cual el responsable del tratamiento será responsable del cumplimiento (y capaz de demostrarlo), entre otros, del principio de «integridad y confidencialidad», según el cual:
Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Dentro de una adecuada política de gestión de contraseñas se incluye el deber de garantizar su fortaleza, la corrección en su uso para preservar la confidencialidad de las mismas, su actualización periódica, la difusión de unas buenas prácticas entre los usuarios del sistema de información, así como la realización de controles regulares de cumplimiento de estas.
CREACIÓN DE CONTRASEÑAS
Las contraseñas son, junto al código o identificador de usuario, el medio de acceso a los datos personales y a los equipos utilizados para su tratamiento. De tal modo, para garantizar una seguridad y confidencialidad adecuadas de los datos personales, es necesario que las contraseñas que se utilicen como mecanismo de autenticación para el acceso a los mismos sean «robustas», esto es, difícilmente vulnerables.
Las contraseñas deben ser fáciles de recordar y de introducir por el usuario, y asimismo difíciles de adivinar y de descubrir por «fuerza bruta».
El ataque de fuerza bruta es la forma de descubrir una contraseña probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
En el ámbito de la ciberseguridad, la Agencia Española de Protección de Datos recomienda implementar un «sistema de autenticación de doble factor» para el acceso a la «información crítica», es decir, aquella información que resulta indispensable para el desarrollo de las operaciones intrínsecas a la actividad del responsable del tratamiento.
El uso de un segundo factor de autenticación consiste en añadir una capa de seguridad «extra», de manera que, aparte del código o identificador de usuario y la contraseña, sea preciso un elemento adicional de comprobación para el acceso a la información crítica, como puede ser, entre otros, un elemento biométrico (por ejemplo, la huella digital del usuario), un código pseudoaleatorio, o el envío de un código de un solo uso establecido para cada usuario
Para que las contraseñas sean suficientemente fuertes y difícilmente adivinables por terceros, con carácter general deberán seguirse las siguientes «Directrices generales para la creación de contraseñas robustas»:
- Deberán tener una longitud mínima de 8 caracteres. La longitud deberá ser mayor de 8 caracteres si se trata de una contraseña de acceso a «categorías especiales de datos personales» o a datos muy personales, cuya violación implique graves repercusiones para el interesado (por ejemplo, datos bancarios), limitando el sistema el número de intentos de acceso sin éxito.
- Deberán combinar caracteres de distinto tipo: letras mayúsculas y minúsculas, números y signos de puntuación.
- No deberán coincidir con el código o identificador de usuario.
- No deberán estar basadas en cadenas de caracteres que sean fácilmente asociables al usuario: nombre, apellidos, ciudad o fecha de nacimiento, número de DNI, nombres de familiares, matrícula del coche, etc., o combinaciones de las mismas (por ejemplo, nombre + año de nacimiento).
- No deberán estar basadas en el uso de caracteres repetitivos (por ejemplo, «aaaaaaaa») o secuenciales (por ejemplo, «1234abcd»)
- No deberán coincidir con palabras sencillas en cualquier idioma que puedan figurar en un diccionario.
- No deberán estar basadas en palabras formadas por caracteres próximos en el teclado (por ejemplo, «qwertyui»).
- No deberán coincidir con frases famosas o refranes, estrofas de canciones o frases impactantes de películas o de obras de literatura.
- La contraseña no deberá ser igual a ninguna de las últimas contraseñas usadas, ni estar formada por una concatenación de ellas (no reutilización).
USO DE CONTRASEÑAS
Para preservar la confidencialidad de las contraseñas, con la finalidad de impedir el acceso o uso no autorizados de los datos personales responsabilidad de la entidad, los usuarios del sistema de información deberán cumplir las «Directrices generales de uso de contraseñas»
- El usuario deberá salvaguardar en todo momento el carácter confidencial, personal e intransferible de la contraseña. No deberá entregarla ni comunicarla a nadie. En caso de haber tenido necesidad de hacerlo por motivos de trabajo o mantenimiento, el usuario deberá proceder a cambiarla de forma inmediata.
- El usuario no deberá apuntar su contraseña en un papel, pósit, o en cualquier otro lugar no seguro.
- El usuario no deberá escribir su contraseña en correos electrónicos ni en formularios web cuyo origen no sea confiable.
- El usuario no deberá utilizar la misma contraseña para el acceso a distintos servicios o recursos.
- El usuario no deberá utilizar la misma contraseña para el acceso a distintos dispositivos.
- El usuario no deberá utilizar la misma contraseña para uso profesional y para uso personal o doméstico.
- El usuario no deberá hacer uso de funcionalidades de recordatorio de contraseñas, ya que pueden facilitar el acceso a personas no autorizadas.
- El usuario deberá proceder a cambiar la contraseña de forma inmediata si tiene indicios de que la confidencialidad de la misma ha podido verse comprometida.
- Ningún usuario está autorizado a acceder al sistema de información utilizando el código o identificador de usuario y la contraseña de otros usuarios.
CAMBIO DE CONTRASEÑAS
A pesar de lo robusta que sea una contraseña, la confidencialidad de la misma puede verse comprometida con el paso del tiempo. En su consecuencia, las contraseñas deben ser cambiadas periódicamente, dependiendo del tipo de datos a que den acceso.
Siempre debemos ser conscientes sobre la importancia de proteger las claves de acceso a los dispositivos y servicios digitales, y como no podía ser de otro modo, en verano no podemos bajar la guarda y ni relajar la medidas para seguir siendo activos en la protección de datos.
En AUDIDAT, para facilitar las tareas y como medida de responsabilidad proactiva en el cumplimiento normativo de Protección de Datos y Seguridad de la Información, facilitamos a nuestros clientes un PROTOCOLO de POLÍTICA DE «BUENAS PRÁCTICAS EN LA GESTIÓN DE CONTRASEÑAS»