Organización: Greater Manchester West Mental Health NHS Foundation Trust
País: Reino Unido
Sector: Sanidad
Objetivo: Acreditación Cyber Essentials Plus abordando las contraseñas débiles
Resultado: Protección contra contraseñas filtradas y lista personalizada de diccionario para eliminar contraseñas débiles.
Solución: Specops Password Policy.
Las contraseñas débiles impedían que el Greater Manchester West Mental Health NHS Foundation Trust obtuviera la acreditación Cyber Essentials Plus. El Trust necesitaba bloquear este tipo de contraseñas para demostrar su compromiso con la ciberseguridad. Gracias a Specops Password Policy, pudo alcanzar su objetivo de impedir el uso de contraseñas inseguras y, además, obtener beneficios adicionales, como la posibilidad de aplicar múltiples políticas y ofrecer al usuario final mensajes claros y comprensibles.
Andre de Araujo, responsable de TIC en el Greater Manchester West Mental Health NHS Foundation Trust, recibió el encargo de solucionar los problemas relacionados con el uso de contraseñas débiles. Aunque ya aplicaban políticas de contraseñas granulares en Active Directory, la imposibilidad de bloquear diccionarios de contraseñas daba lugar a cientos de claves muy poco seguras.
“Ejecutamos un script para identificar hashes que podían descifrarse”, explica Andre. “Encontramos cientos de usuarios con contraseñas que incluían el día de la semana, el mes o incluso la palabra ‘password’, normalmente acompañada de un número o un signo de exclamación. Resultaba llamativo comprobar cuántas personas siguen los mismos patrones, lo que genera contraseñas muy fáciles de adivinar.”
El Trust cuenta con unas 6.000 personas empleadas, entre ellas personal administrativo, auxiliares de atención domiciliaria, personal de limpieza y muchos otros perfiles. Todos necesitan acceder a un ordenador, aunque sea únicamente para realizar formación interna o consultar el correo electrónico. Sin embargo, el nivel de familiaridad con la tecnología y la ciberseguridad varía notablemente entre los distintos grupos de usuarios.
Para evaluar Specops Password Policy y la funcionalidad Breached Password Protection, el Trust llevó a cabo una prueba de concepto completa. El principal objetivo era utilizar la solución para bloquear contraseñas débiles conocidas y aplicar diccionarios personalizados con contraseñas frecuentes en la organización. Durante las pruebas comprobaron que también podían aprovechar otras funcionalidades para definir políticas más granulares. La opción de aplicar normas distintas según el grupo de usuarios resultó especialmente útil, al igual que la retroalimentación directa al usuario que explica por qué su contraseña no cumple los requisitos.
“Specops Password Policy es fácil de implementar y funciona tal y como prometen”, señala Andre. “Recibimos soporte durante todo el proceso de la prueba de concepto, y recomendaría esta solución sin dudarlo a cualquier organización que quiera reforzar la seguridad de sus contraseñas.”
Los requisitos de contraseña para Cyber Essentials incluyen trasladar la responsabilidad desde los usuarios hacia los sistemas técnicos. Algunos ejemplos son el bloqueo de contraseñas débiles o filtradas, la suspensión de cuentas tras intentos repetidos de acceso y la eliminación de las caducidades periódicas de contraseñas. También es fundamental limitar el número de cuentas con privilegios elevados y garantizar que solo se utilicen para tareas estrictamente necesarias.
La última actualización de Specops Password Policy facilita la obtención de la acreditación Cyber Essentials gracias al envejecimiento de contraseñas en función de su longitud. De este modo, los administradores de TI pueden correlacionar la longitud de una contraseña con su periodo de validez: cuanto más larga sea, más tiempo podrá mantenerse activa antes de que caduque.
