Muchas empresas emplean autenticación de dos factores (2FA) o inicio de sesión único (SSO), pero quizá no ofrezcan a sus empleados una solución empresarial de administración de contraseñas. Los hallazgos de la Encuesta del Día Mundial de la Contraseña 2023 de Bitwarden respaldan esto: solo el 23% de los encuestados dijo que se les exigía usar un administrador de contraseñas en el lugar de trabajo.
Según Julian Cohen, vicepresidente de Seguridad y director de Seguridad de la Información (CISO) en Ocrolus, un proveedor de software de automatización de documentos con sede en Nueva York, más empresas deberían considerar implementar administradores de contraseñas. En el caso de Ocrolus, la empresa optó por implementar Bitwarden.
Cohen afirma: “Con el robo de credenciales y la reutilización de contraseñas usados para la apropiación de cuentas y convirtiéndose rápidamente en uno de los ataques más comunes contra las organizaciones, elaboramos un plan integral de seguridad de cuentas que, por supuesto, incluye cosas como 2FA, SSO, y monitoreo de credenciales comprometidas. Pero para las cuentas principales de SSO de los usuarios, o para sistemas que no admiten SSO o 2FA u otros sistemas de TI en la sombra, o simplemente cuentas puntuales… el control más eficaz es un administrador de contraseñas”.
Cohen aconseja a los empleados usar una contraseña única y aleatoria para cada cuenta. Considera que la forma más sencilla de hacerlo es aprovechar una generada por un administrador de contraseñas. Como los administradores de contraseñas también almacenan las contraseñas, considera que la tecnología es una forma eficaz y de “baja fricción” de mantenerlas seguras.
Otros hallazgos de la Encuesta del Día Mundial de la Contraseña respaldan esta idea. La gran mayoría, el 85%, de los encuestados a nivel mundial reutiliza contraseñas en varios sitios y el 58% depende de la memoria para sus contraseñas. Una quinta parte (20%) de los encuestados a nivel mundial informa haber sido afectada por una filtración de datos en los últimos 18 meses. Aunque quizá no sea posible evitar verse involucrado en una filtración de datos, estas suelen tener un efecto dominó para quienes reutilizan sus contraseñas.
Lograr que las personas adopten nuevas herramientas, especialmente las de seguridad, ayuda a mantener a las empresas protegidas y seguras. Por otro lado, también requiere pasos adicionales por parte de TI y de los usuarios. Ocrolus recurrió a Bitwarden SCIM (Sistema para la gestión de identidades entre dominios) para aprovisionar automáticamente miembros y grupos. También proporciona capacitación y documentación a los usuarios sobre cómo usar Bitwarden y les explica por qué es eficaz.
“Recibimos mucho apoyo de nuestro equipo de techops en Ocrolus”, dice Cohen. “Brindan soporte técnico para Bitwarden, lo usan ellos mismos, y también al aprovisionar nuevas cuentas y almacenar credenciales compartidas”.
Al considerar cómo Ocrolus ha creado un programa de seguridad exitoso —un programa que ahora incluye Bitwarden—, Cohen cree que la empresa se ha beneficiado de tener un buen inventario y conciencia situacional de dónde están las cosas, comprender las partes más riesgosas de la organización y enfocarse en la priorización.
“Siempre puedes excederte en ingeniería al intentar proteger algo o intentar implementar todo tipo de herramientas”, dice Cohen. “Lo que siempre hago es empezar por mis adversarios. Si podemos entender quiénes son nuestros adversarios, cómo planifican y operan, cuáles son sus objetivos y motivaciones, y cuáles son sus recursos y limitaciones, podremos entender qué es probable que vean nuestros adversarios y cómo planifican y operan”.
Al hacer esto, cree Cohen, las empresas pueden comprender mejor qué tipos de ataques es probable que vean, para usar esa información a fin de determinar las mejores herramientas de seguridad que implementar. En muchos casos, ese conjunto de herramientas probablemente incluya una solución de gestión de contraseñas.
Tabla de contenido
Obtén más información sobre la conferencia anual Open Source Security Summit.
¡Mira la entrevista completa!
Visita opensourcesecuritysummit.com para obtener más información sobre esta conferencia anual.
Comienza con Bitwarden
¿Listo para probar Bitwarden para tu empresa? Inicia una prueba empresarial de 7 días hoy para mantener protegidos en línea a tu equipo y a tus colegas de la empresa.