Exis­ten muchos inci­den­tes que empe­za­ron por algo tan sim­ple como una con­tra­se­ña mal ges­tio­na­da, pues si las cre­den­cia­les se crean, se com­par­ten y se guar­dan sin orden, apa­re­cen grie­tas que nin­gún fire­wall tapa.

En la docu­men­ta­ción téc­ni­ca apa­re­ce como ges­tor de con­tra­se­ñas empre­sa­rial; en la prác­ti­ca, habla­mos de un ges­tor de con­tra­se­ñas cor­po­ra­ti­vo con polí­ti­cas cen­tra­li­za­das y tra­za­bi­li­dad, lo que per­mi­te orga­ni­zar acce­sos sin fric­cio­nes.

Con­tra­se­ñas, iden­ti­da­des y per­so­nas

¿Con­tra­se­ñas repe­ti­das, apun­ta­das en notas o envia­das por chat? Pasa más de lo que pare­ce, sobre todo cuan­do el equi­po tra­ba­ja con pri­sa y acu­mu­la herra­mien­tas dis­tin­tas. El pro­ble­ma no es el hábi­to en sí, sino lo mal que esca­la debi­do a que en entor­nos con ser­vi­cios en la nube y tra­ba­jo híbri­do, un des­cui­do pue­de repli­car­se en minu­tos. Por eso con­vie­ne sus­ti­tuir el «me lo apun­to» por flu­jos que gene­ren cla­ves úni­cas que no te piden tener una memo­ria pro­di­gio­sa.

Un ges­tor cor­po­ra­ti­vo cifra y orga­ni­za cre­den­cia­les, pro­po­ne con­tra­se­ñas fuer­tes y faci­li­ta la auten­ti­ca­ción en dos pasos (MFA); tam­bién per­mi­te com­par­tir acce­so por roles o pro­yec­tos sin mos­trar la cla­ve en cla­ro. Por otro lado, cuan­do alguien cam­bia de equi­po o deja la empre­sa, se pue­de revo­car per­mi­sos sin per­se­guir hojas de cálcu­lo des­ac­tua­li­za­das, lo que redu­ce mucho la super­fi­cie de ries­go.

La tra­za­bi­li­dad tam­bién es de gran ayu­da gra­cias a sus infor­mes y aler­tas, y si una cla­ve se ve com­pro­me­ti­da, los equi­pos téc­ni­cos actúan antes de que el pro­ble­ma crez­ca. Ade­más, no hace fal­ta poli­cía ni cam­pa­ñas eter­nas, pues los datos seña­lan dón­de inter­ve­nir y qué prio­ri­zar; esto sim­pli­fi­ca audi­to­rías y evi­ta fric­cio­nes entre áreas.

En otro orden de ideas, si ini­ciar sesión es flui­do y si com­par­tir un acce­so tem­po­ral se resuel­ve en dos clics, la prác­ti­ca segu­ra se vuel­ve la opción más cómo­da. Y cuan­do lo cómo­do coin­ci­de con lo correc­to, la adop­ción des­pe­ga.

Para que ese cam­bio cua­je, la herra­mien­ta debe enca­jar con el eco­sis­te­ma exis­ten­te, e inte­grar­la con el direc­to­rio cor­po­ra­ti­vo y el ini­cio de sesión úni­co (SSO) per­mi­te que las altas y bajas de per­so­nal se refle­jen en los acce­sos del pri­mer día y el off­boar­ding.

La otra pata es la polí­ti­ca cen­tra­li­za­da, en con­cre­to las reglas de lon­gi­tud y com­ple­ji­dad de con­tra­se­ñas, MFA obli­ga­to­ria y res­tric­cio­nes por domi­nio o ubi­ca­ción. Cuan­do estas medi­das se apli­can de for­ma auto­má­ti­ca y uni­for­me, pasan a inte­grar­se en la ope­ra­ti­va dia­ria, dan­do como resul­ta­do la reduc­ción de las dife­ren­cias entre equi­pos y se evi­tan «ata­jos» por des­co­no­ci­mien­to o por urgen­cia.

En lugar de cur­sos lar­gos que se olvi­dan al día siguien­te, fun­cio­nan mejor los recor­da­to­rios bre­ves y con­tex­tua­les, por ejem­plo, cómo reco­no­cer un inten­to de phishing, cómo com­par­tir un acce­so tem­po­ral o cuán­do actua­li­zar una cla­ve; gra­cias a estos avi­sos pun­tua­les en el momen­to opor­tuno, un par de men­sa­jes bien colo­ca­dos tie­ne más efec­to que una sesión de dos horas.

Por últi­mo y para faci­li­tar la adop­ción, la mejo­ra no tie­ne por qué lle­gar de gol­pe. De hecho, pue­des empe­zar con un pilo­to en un equi­po con muchas apli­ca­cio­nes, reco­ger apren­di­za­jes y exten­der­lo al res­to de la orga­ni­za­ción; con este enfo­que ite­ra­ti­vo se dis­mi­nu­ye la resis­ten­cia al cam­bio y se mues­tran resul­ta­dos.