Cómo incentivar a los empleados para que refuercen la seguridad de sus contraseñas

Bill Carey, colaborador del Knowledge center recomienda a las empresas una estrategia en cinco etapas para la educación de los empleados en el refuerzo de la seguridad de sus contraseñas.

Probablemente, la Gobernadora de Alaska, Sarah Palin no era consciente de la importancia que llegaría a tener su cuenta de correo electrónico, y sin embargo, cuando fue elegida candidata para la vicepresidencia por el partido Republicano, se convirtió inmediatamente en objetivo de los hackers David Kernell se coló en su cuenta de correo utilizando la posibilidad “restaurar contraseña” de Yahoo! y adivinando sus respuestas a las preguntas de seguridad.

La triste realidad es que las llamadas “preguntas de seguridad” no son en absoluto seguras. En general, no resulta muy difícil dar con el lugar de nacimiento o incluso con el nombre de soltera de la madre de una persona. Alguien debería haber advertido a Palin que no hacía falta decir la verdad en esas preguntas. Uno tiene perfecto derecho a decir que ha nacido en Belén y que el nombre de soltera de su madre es Barbarosa. A la base de datos de Yahoo le da exactamente igual.

El robo de identidad es un asunto muy serio, incluso para los que no participamos en una carrera electoral. Para la persona corriente, la amenaza que entraña una identidad electrónica frágil no es tanto una cuestión de cotilleos o indiscreciones políticas. Uno podría jugarse su reputación – si se tratase de un “amigo” o una esposa espías -, pero el riesgo mayor de seguridad tiene que ver con el acceso al dinero y con la posibilidad de encontrarse en números rojos.

Consecuencias para la empresa de una contraseña poco segura

En el caso de una empresa, las consecuencias pueden ser mucho más graves. Si los empleados comparten contraseñas o utilizan contraseñas fáciles de adivinar, se pone en peligro la información financiera de la empresa o los secretos comerciales. Y una empresa verá gravemente dañada su reputación si permite el acceso no autorizado a datos de sus clientes. Las empresas tienen dos razones para incentivar a sus empleados a reforzar su seguridad online: la primera, proteger sus propios activos; y la segunda proporcionar un beneficio tangible y sin coste a los empleados, ayudándoles a proteger su identidad electrónica.

En cualquier empresa, lo más probable es que a los empleados les preocupe la seguridad de su identidad online, sin embargo, no cuentan con los conocimientos y herramientas necesarios para prevenir los riesgos. Creen que “hobbit” es una contraseña muy inteligente, aunque participen en un foro de discusión sobre “El Señor de los Anillos” y tengan una fotografía de Frodo de salva pantallas.

La buena noticia para los empresarios es que si ayudan a sus empleados a proteger sus identidades electrónicas personales, conseguirán que ellos adopten políticas de seguridad adecuadas a la hora de acceder a los sistemas y datos de la empresa. Y aún más, un empresario que ayuda a sus empleados a proteger su seguridad online será percibido como un jefe que se preocupa y no como un histérico del control obsesionado por imponer otro complicado procedimiento de seguridad.