Los diez mandamientos para gestionar cuentas de usuarios en las organizaciones

En este post te mostraré las diez principales recomendaciones que debes tener en cuenta para administrar las cuentas de los usuarios teniendo en cuenta la ciberseguridad. 

  1. Cada usuario deberá tener su propia cuenta. Esto te permitirá supervisar las actividades de cada cuenta. El uso de la cuenta de administrador por varias personas, dificulta la trazabilidad de la cuenta y la responsabilidad por el uso de la misma. 
  2. Deshabilitar las cuentas por defecto como “Administrador”, “Administrator”, “admin”, “root”. Estas son las cuentas más atacadas por los delincuentes, te recomiendo habilitar cuentas con los mismos privilegios y suspender el uso de estas cuentas. 
  3. Monitorear los controles de acceso y el comportamiento de los usuarios con permisos administrativos. Es una buena práctica el mantener monitoreados los usuarios que tienen privilegios elevados en búsqueda de posible fallas de seguridad.
  4. Utilizar contraseñas robustas y complejas (más de 14 caracteres alfanuméricos y símbolos). El que las contraseñas sean de más de catorce (14) caracteres se debe a un proceso de cifrado que sirve para evadir técnicas de hackeo, simplemente, la contraseña debe ser larga para mayor seguridad.
  5. Configurar la vida máxima y expiración de las contraseñas (al menos cada 2 meses). Por seguridad, toda contraseña debe ser cambiada por lo menos cada dos meses, al comienzo esta labor es tediosa, pero con el tiempo se hace rutinaria y fácil de ejecutar. 
  6. Bloquear las cuentas de los usuarios luego de cierta cantidad de inicios de sesión fallidos (Ejemplo: cinco intentos). Esto protege las cuentas de los usuarios de un ataque de diccionario o fuerza bruta, es decir, que alguien trate de adivinar la contraseña. 
  7. Agregar métodos de autenticación adicionales (MFA) siempre que sea posible. Una contraseña más un token son una muy buena opción para autenticar cuentas de usuarios. Siempre que pueda y si la tecnología lo permite, use múltiple factor de autenticación. 
  8. Almacenar las contraseñas de forma segura mediante gestores de contraseñas. La memoria puede fallar, sobre todo cuando se manejan múltiples cuentas y las contraseñas deben ser complejas, para esto, ayúdate de software que permita gestionar contraseñas de forma fácil y segura. 
  9. No reutilizar las mismas contraseñas para varios servicios. El que te lleguen a comprometer una contraseña solo afectará al servicio con el cual está conectada, cámbiale al menos un carácter a la contraseña para que se le dificulte al delincuente el ingresar a los demás servicios.  
  10. Asigna el menor privilegio posible.  Si el usuario no requiere privilegios administrativos pues no debes darlos, y si no requiere acceso a todo el contenido de un file server pues no lo des. Los accesos siempre deberán ser autorizados y monitoreados.  

Bonus: Dependiendo de tu organización, puedes agregar más recomendaciones como por ejemplo:

  • Bloquear usuarios después de 7 días de inactividad.
  • Revisar periódicamente las cuentas administrativas.
  • Todo acceso concedido fuera de lo normal deberá tener una fecha de caducidad.
  • Toda cuenta de usuario regular deberá tener una fecha de expiración.

Si sigues estas recomendaciones vas a tener mayor seguridad en cuanto al control de las cuentas de los usuarios se refiere. Como siempre, depende de ti el ajustar las recomendaciones a las necesidades de tu organización. 


No hay comentarios:

Publicar un comentario