Modelo de madurez de la gestión de contraseñas

Las organizaciones que desean fortalecer la seguridad implementando un administrador de contraseñas para toda la empresa pueden garantizar una mayor resiliencia al evaluar áreas clave de mejora mediante el siguiente modelo de madurez de gestión de contraseñas. Este marco ayuda a las organizaciones a comprender su nivel de madurez en el uso de un administrador de contraseñas —según sus operaciones actuales— e identificar qué pasos son necesarios para mejorar su clasificación actual.

Las organizaciones en la categoría de Nivel 1 no han implementado un administrador de contraseñas para toda la empresa. La falta de un sistema centralizado de gestión de contraseñas aumenta el riesgo de contraseñas comprometidas, ya que los empleados pueden usar contraseñas débiles o reutilizadas sin la supervisión adecuada. En cambio, los empleados adoptan un enfoque aislado e improvisado para proteger las contraseñas de la empresa. Esto puede implicar el uso de administradores de contraseñas basados en el navegador, hojas de cálculo de Excel, compartir contraseñas por Slack o anotarlas en papel y notas adhesivas. Es poco probable que este entorno fomente una cultura de seguridad sólida o haga hincapié en las mejores prácticas de seguridad. La capacitación en toda la empresa es poco frecuente o inexistente. En cuanto a la madurez técnica general, es muy probable que los datos confidenciales o críticos, cuando se comparten, no estén cifrados y estén en riesgo. 

• Implementación del administrador de contraseñas: Una organización de Nivel 1 no cuenta con procesos de administración de contraseñas, por lo que los empleados dependen de sus hábitos individuales.

• Cultura de seguridad: Una organización de Nivel 1 no hace hincapié en las mejores prácticas de seguridad y tiene una conciencia mínima sobre seguridad. 

• Madurez técnica: Una organización de Nivel 1 comparte información confidencial de forma insegura, a menudo sin cifrado.

Las organizaciones de Nivel 1 están empezando desde cero, con muchas oportunidades de lograr mejoras rápidas mediante acciones simples que pueden brindar un impulso inmediato a la seguridad. El siguiente paso prioritario para que una empresa mejore la seguridad es exigir que un equipo use un administrador de contraseñas, por lo general TI, y luego elaborar un plan para una implementación a gran escala.

El Nivel 2 indica un enfoque un poco más maduro, aunque aún en crecimiento, hacia una seguridad y gestión de contraseñas sólidas. En esta etapa, las organizaciones no usan un administrador de contraseñas para toda la empresa, y las prácticas de seguridad de contraseñas están descentralizadas: los empleados dependen de una combinación de administradores de contraseñas basados en el navegador y otras herramientas integradas de gestión de contraseñas. Algunas organizaciones podrían empezar con un administrador de contraseñas gratuito antes de pasar a una solución más centralizada. Las mejores prácticas de seguridad se abordan de forma superficial durante la incorporación de empleados, pero no son un enfoque constante para la organización. La madurez técnica en este nivel se caracteriza por una mezcla de prácticas de cifrado: parte de la información está cifrada y otra no; además, la autenticación de dos factores se usa de forma limitada para reforzar la verificación de identidad. Las organizaciones que buscan avanzar del Nivel 2 al Nivel 3 deberían enfocarse en aumentar la concientización y la educación para establecer prácticas fundamentales de seguridad de credenciales de manera ocasional.

• Implementación del administrador de contraseñas: Las empresas de Nivel 2 presentan una gestión de contraseñas descentralizada o un uso improvisado de administradores de contraseñas integrados, como el llavero de Apple o los incluidos en los navegadores.

• Cultura de seguridad: Las empresas de Nivel 2 ponen un énfasis limitado en las mejores prácticas de seguridad de contraseñas.

• Madurez técnica: Las empresas de Nivel 2 tienen enfoques inconsistentes para compartir información cifrada y usar autenticación multifactor (2FA).

Las empresas de Nivel 2 ponen un énfasis ligeramente mayor en la seguridad de los datos, pero las prácticas generales siguen siendo descentralizadas. El siguiente paso inmediato para mejorar la seguridad es seleccionar un administrador de contraseñas centralizado y multiplataforma que funcione en todos los dispositivos de los empleados y comenzar una implementación por etapas.

Pasar del Nivel 2 al Nivel 3 representa un avance importante para proteger tu empresa. Algunos equipos limitados dentro de la organización dependen de un administrador de contraseñas independiente, pero la implementación general sigue siendo mínima. La capacitación en seguridad es más frecuente y constante, y los empleados reciben alertas con mayor frecuencia cuando realizan prácticas de seguridad evidentes y potencialmente riesgosas. Desde el punto de vista de la madurez técnica, los empleados que utilizan en conjunto una solución de gestión de contraseñas tienen cobertura en todos los dispositivos proporcionados por la empresa y pueden compartir contraseñas y otra información confidencial de forma segura. Usar una caja fuerte de contraseñas cifrada puede mejorar significativamente la seguridad al almacenar información confidencial de manera segura. La capacidad de compartir datos de forma segura entre colegas marca una diferencia con respecto al Nivel 2.

• Implementación del administrador de contraseñas: Las empresas de nivel 3 cuentan con cierto grado de gestión centralizada de contraseñas, con uno o dos equipos que utilizan administradores de contraseñas independientes en lugar de herramientas integradas.

• Cultura de seguridad: Las empresas de nivel 3 ponen más énfasis en la cultura de seguridad, pero no cuentan con herramientas ni sistemas para una rendición de cuentas concreta.

• Madurez técnica: Los equipos de nivel 3 que usan un administrador de contraseñas centralizado se benefician de una cobertura multiplataforma en todos los dispositivos y uso compartido seguro entre empleados.

Las empresas de nivel 3 avanzan hacia una dirección más centralizada, aunque irregular, para priorizar la seguridad de los datos. El siguiente paso para mejorar la seguridad es ampliar la cobertura de la gestión de contraseñas, pasando de una implementación por fases a una implementación en toda la empresa.

El nivel 4 se caracteriza por la adopción universal de un administrador de contraseñas en toda la empresa, con una implementación iniciada en toda la organización. Es fundamental crear una contraseña maestra sólida para proteger el administrador de contraseñas. Se recomienda a todos los empleados usar el administrador de contraseñas de la empresa para crear, almacenar y compartir contraseñas con otros miembros del equipo. Además, la capacitación en seguridad se normaliza y es aceptada por toda la organización, con la gerencia monitoreando e incentivando la participación mediante módulos de capacitación detallados. La madurez técnica de nivel 4 indica una gestión de contraseñas en toda la empresa con integración de servicios de directorio e inicio de sesión único. La integración con servicios de directorio (que puede incluir Active Directory/Entra, Google Workspace u OneLogin) sincroniza usuarios y grupos desde un directorio externo con el administrador de contraseñas. La integración con el inicio de sesión único permite a las organizaciones aprovechar su proveedor de identidad actual para autenticar a los usuarios con su administrador de contraseñas empresarial.

• Implementación del administrador de contraseñas: Las empresas de nivel 4 han implementado un administrador de contraseñas independiente en toda la organización, y se recomienda encarecidamente a los equipos abandonar por completo las herramientas integradas y las prácticas ad hoc.

• Cultura de seguridad: Las empresas de nivel 4 ofrecen capacitación de seguridad periódica e incentivan la asistencia con métricas de participación.

• Madurez técnica: Las empresas de nivel 4 han integrado administradores de contraseñas con flujos de trabajo de TI, incluidos los servicios de directorio y el inicio de sesión único (SSO).

Las empresas de nivel 4 han adoptado un enfoque mucho más uniforme y concreto para la seguridad de los datos, con énfasis en garantizar una cobertura universal. El siguiente paso para mejorar la seguridad es exigir la gestión de contraseñas en toda la empresa y en toda la organización. Una vez que esté en marcha, habilitar autenticación sin contraseña y exigir autenticación multifactor (2FA) para todos los equipos.

En esta etapa, una organización ha adoptado por completo un administrador de contraseñas en toda la empresa, integrado en los flujos de trabajo de la organización. Esta caja fuerte de contraseñas se usa para almacenar y gestionar de forma segura información confidencial, incluidas contraseñas, datos de tarjetas de crédito y datos personales. La adopción de la gestión de contraseñas en toda la empresa es obligatoria, con restricciones sobre métodos alternativos de almacenamiento de contraseñas. Las empresas en esta etapa ofrecen a los empleados planes familiares de gestión de contraseñas para fomentar una cultura de seguridad de 360°, con énfasis en los hábitos personales y profesionales de gestión de contraseñas. La capacitación en seguridad es obligatoria para toda la organización, y se alienta a los empleados a informar actividades sospechosas de ciberseguridad. La madurez técnica se caracteriza por una cobertura integral y generación de informes. El administrador de contraseñas en toda la empresa habilita opciones sin contraseña, desde datos biométricos hasta llaves de acceso, mientras que los desarrolladores usan API para integrarse con otras herramientas, como SIEM, a fin de garantizar un conjunto de soluciones de seguridad eficaz. Se utilizan scripts automatizados con API para mejorar el control administrativo y simplificar flujos de trabajo complejos.

• Implementación del administrador de contraseñas: Las empresas de nivel 5 exigen que todos los empleados usen un administrador de contraseñas independiente.

• Cultura de seguridad: Las empresas de nivel 5 han instaurado capacitación de seguridad obligatoria, y los empleados toman la iniciativa de señalar actividades sospechosas al departamento de TI.

• Madurez técnica: Las empresas de nivel 5 han adoptado un administrador de contraseñas en toda la empresa que ofrece autenticación sin contraseña, requiere autenticación multifactor (2FA) y anima a los desarrolladores a utilizar API para integrarse con otras herramientas.

Las empresas de nivel 5 cuentan con un sistema integral, sofisticado y en toda la empresa para la gestión de contraseñas. Las empresas interesadas en avanzar más allá de este punto deberían explorar herramientas de gestión de secretos que protegen la infraestructura y los secretos de máquina.