En un contexto de gran volatilidad, la conformidad con las normas de ciberseguridad es clave para garantizar la resiliencia frente a los ciberataques. Una de estas normas es Service Organization Control (SOC) 2, desarrollado por el American Institute of Certified Public Accountants (AICPA). Una auditoría SOC 2, diseñada para comprobar el nivel de ciberseguridad de una empresa, evalúa cómo protege su información frente a accesos no autorizados, usos inapropiados o pérdidas.
Si se ha marcado como objetivo obtener la conformidad con SOC 2, un buen primer paso es analizar la seguridad de las contraseñas de su empresa. Siga leyendo para descubrir qué implica esta conformidad, los requisitos que afectan a las contraseñas y cómo puede ayudarle un gestor de contraseñas a obtener esta certificación.
¿Qué es la conformidad con SOC 2?
La conformidad con SOC 2 es una norma voluntaria, pero se ha convertido en una parte esencial del perfil de ciberseguridad de las empresas que gestionan datos delicados de los clientes. SOC 2 es un sello de confianza e integridad de la información, que da a clientes actuales y potenciales la garantía de que el entorno de control, las evaluaciones de riesgos, la supervisión y la implementación de controles de seguridad son apropiados.
Esta norma se basa en cinco criterios para evaluar el nivel de confianza de los servicios (seguridad, disponibilidad, integridad del tratamiento, confidencialidad y privacidad). Las contraseñas entran dentro del criterio de seguridad, que abarca los controles de acceso físicos y lógicos.
¿Qué requisitos deben cumplir las contraseñas SOC 2?
Veamos los requisitos para la conformidad de las contraseñas con SOC 2. Estos requisitos se estructuran en tres categorías y están pensados para garantizar que los empleados utilicen contraseñas seguras, en lugar de reutilizarlas, y para impedir el acceso no autorizado a los datos.
- Longitud y complejidad de las contraseñas: cuanto más largas y complejas, mejor. Las contraseñas deben tener una longitud mínima de 12 caracteres e incluir letras en mayúscula y minúscula, números y caracteres especiales. Un generador de contraseñas puede ser un buen punto de partida.
- Rotación e historial de las contraseñas: una contraseña única siempre será una buena contraseña. Las contraseñas deben cambiarse cada 90 días o menos y deben transcurrir por lo menos seis meses antes de volver a utilizarlas.
- Bloqueos de cuentas: las cuentas deben bloquearse después de cinco intentos de inicio de sesión fallidos o más. De este modo, evitará el acceso no autorizado a los datos y los administradores recibirán alertas en caso de posibles intentos de intrusión.
¿Cómo puede ayudarle un gestor de contraseñas a cumplir con los requisitos de SOC 2?
Llegados a este punto, un gestor de contraseñas puede tener la solución. ¿Recuerda los requisitos que acabamos de ver? Un gestor de contraseñas puede cumplirlos todos (y más).
- Un gestor de contraseñas genera contraseñas únicas y complejas para cada cuenta de los empleados y las guarda en una bóveda cifrada, con una contraseña maestra segura (la única que tendrán que recordar los empleados), que es la llave de acceso a la bóveda. También avisa a los empleados en caso de contraseñas poco seguras y completa automáticamente las credenciales solo en sitios de confianza.
- Con una herramienta de gestión de contraseñas, los administradores pueden saber cuándo ha cambiado la contraseña maestra por última vez un empleado y, si hace falta, obligarle a cambiarla. De esta forma, podrá tener la seguridad de que la contraseña maestra de los empleados es una clave dinámica que cierra el paso a los hackers, y no una alfombra roja hacia los datos confidenciales de su empresa.
- Una de las políticas de administración de un gestor de contraseñas puede ser la limitación del número de intentos de inicio de sesión. El administrador también puede revisar los intentos de inicio de sesión sospechosos y ajustar las políticas de acceso para bloquearlos automáticamente. La integración de la autenticación multifactor (MFA) también puede ayudar a evitar accesos no autorizados.
Es posible que ya aplique algunas de estas políticas en materia de contraseñas en su empresa, pero con un gestor de contraseñas tendrá la seguridad de que sus empleados tienen buenos hábitos en este terreno y, además, le resultará más fácil cumplir con los requisitos de SOC 2.
Descubra cómo puede ayudarle LastPass a cumplir con los requisitos de SOC 2. Empiece su prueba gratuita desde aquí.
