Considero haber pasado buenas vacaciones cuando, después de haberlas disfrutado, vuelvo al trabajo y no me acuerdo de mi contraseña. Te quedas delante de tu ordenador, y después del primer intento fallado, intentas de todo tu corazón recordar cual fueron las siglas elegidas por última vez... hasta que después del tercer intento, ya, solo te queda llamar a Javier, el técnico del departamento de redes para reinicializar nuestra querida y olvidada contraseña. 

Se habla mucho de la seguridad y sus ventajas para la empresa pero pocas veces, se llega a hablar de las consecuencias para el usuario final, o sea, nosotros mismos. Las empresas invierten en seguridad y compran productos cualificados de "seguros". Muy bien, pero en muchas ocasiones, se llega a situaciones bastante complicadas para el usuario final: una contraseña para el Windows, otra para la mensajería, otra para registrar las horas, para acceder a la VPN, para la Intranet, el portal del empleado, para hotmail (uppps...), para el Twitter (upps2...), el pin para acceder al CPD, la contraseña del servidor de aplicación, y cada uno con su propia política de seguridad (Windows se cambia cada 3 meses y tiene un tamaño mínimo de 8 caracteres, la Intranet se cambia cada 6 meses y no acepta la repetición del mismo carácter, la VPN solo admite contraseña compuesta por lo menos de una mayúscula, una minúscula y dos cifras y se cambia cada año). Y solo hablamos de las contraseñas porque también, en muchos casos, cada producto tiene un nombre de usuario diferente, con lo que duplicamos la complejidad. Vamos, que damos las gracias a la empresa para ponernos a disposición un teléfono con la extensión del departamento de informática de la empresa registrado en la tecla 1. 

 

 

Para evitar que Javier (el técnico del departamento de redes) se convierta en nuestro mejor amigo (o enemigo según como se toma el asunto...) pués eso, escribimos todas nuestras contraseñas de las mas seguras en nuestra agenda, en la página de nuestro cumpleaños. Sabemos que va en contra de la politica de seguridad implementada en nuestra empresa, sabemos que lo que hacemos no esta del todo bien, y sabemos que ya nos advierteron que no se podía escribir nuestras contraseñas en un post-it debajo de la pantalla de nuestro ordenador, ni siquiera debajo de nuestro teclado (quién va a averiguar que los post-it están debajo de mi teclado...) (eso sí, en la agenda en la página del cumpleaños, no dijeron nada...). Con lo que nuestro amigo pirata curioso, solo le queda abrir nuestra agenda, mirar debajo del teclado o solo copiar la contraseña del post-it para tomar el control de nuestra máquina. Vaya seguridad...

Al final, ¿Quien tiene la culpa de que las contraseñas acaben en un post-it? la empresa imponiendo 6 contraseñas diferentes con sus respectivas políticas de seguridad o el usuario final que escribe las contraseñas para evitar las molestias de pasar por el departamento informático. Porque vamos, recordarse de mas de 3 o 4 contraseñas diferentes (cumpliendo los diferentes requisitos) me parece demasiado. Hay quien dice que hay que poner una contraseña segura cuando necesario y otra menos segura para las menos sensibles. Pero entonces ¿porque la empresa obliga a sus empleados a cambiar la contraseñas de todos los accesos, sensibles y no-sensibles? ¿No es una brecha en la seguridad de la empresa obligar a sus empleados recordar los nombres de usuarios y contraseñas de diversos accesos? Para mí, definitivamente. Estoy convencido de que una empresa controlando todos los accesos solo con un mismo nombre de usuario y una contraseña está mejor preparada frente a ataques de intrusión que otra obligando a sus usuarios recordar toda una lista de contraseñas. Incluso, me parece un factor tan importante que me sorprende que no este contemplado en las auditorías de seguridad como pueden ser la ISO27001 o ITIL.

Comentarios

Añadir nuevo Buscar

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."