Última modificación: 19 de marzo de 2025

Norma nº 4204 Procedimiento de contraseña

• Descargar el documento sobre el procedimiento de contraseña

Visión general

Las contraseñas son un componente crítico de la seguridad de la información. Las contraseñas sirven para proteger las cuentas de los usuarios; sin embargo, una contraseña mal construida puede poner en peligro sistemas individuales, datos o toda la red. Esta directriz proporciona las mejores prácticas para crear contraseñas seguras.

Propósito

El objetivo de este procedimiento es establecer una norma para la creación de contraseñas seguras, la protección de dichas contraseñas y la frecuencia de cambio.

Alcance/Responsabilidad

Este procedimiento se aplica a todo el personal y entidades que trabajen en nombre del distrito que tengan o sean responsables de cualquier cuenta (o cualquier forma de acceso que admita o requiera una contraseña) en cualquier sistema que resida o esté conectado a cualquier instalación del PCSD.

Procedimiento

Para minimizar la posibilidad de acceso no autorizado, todas las contraseñas deben cumplir o superar las directrices para crear contraseñas seguras.

Características de la contraseña

• Contraseñas seguras:
  • Contener al menos 12 caracteres alfanuméricos
  • Contienen tanto mayúsculas como minúsculas
  • Contener al menos un número (por ejemplo, 0-9)
  • Contener al menos un carácter especial (por ejemplo, !$%^&*()_+|~-=\`{}[]:";'?,/)
• Contraseñas deficientes o débiles:
  • Contener menos de ocho caracteres
  • Pueden encontrarse en un diccionario, incluso en lenguas extranjeras, o existir en argot, dialectos o jergas.
  • Contener información personal como fechas de nacimiento, direcciones, números de teléfono, nombres de familiares, mascotas, amigos o personajes de ficción.
  • contener información relacionada con el trabajo, como nombres de edificios, mascotas, hardware o software
  • Contener patrones numéricos como aaabbb, qwerty, zyxwvuts, o 123321
  • Contienen palabras comunes deletreadas al revés o precedidas/seguidas de un número (por ejemplo, terces, secret1, o 1secret)
  • Son alguna versión de "Welcome123", "Password123" o "Changeme123".

Buenas prácticas en materia de contraseñas

• Los usuarios no deben utilizar la misma contraseña para las cuentas de PCSD que para otros accesos ajenos a PCSD (por ejemplo, correo electrónico personal, sitios de compras, redes sociales).
• En la medida de lo posible, los usuarios no deben utilizar la misma contraseña para varias necesidades de acceso al PCSD.
• Las cuentas de usuario con privilegios a nivel de sistema (por ejemplo, PowerSchool) deben tener una contraseña única para los privilegios a nivel de sistema, a menos que se utilice la autenticación de 2 factores.
• Los usuarios nunca deben escribir o almacenar contraseñas sin un cifrado aceptable.
• Cree contraseñas que puedan recordarse fácilmente. Un método es utilizar una frase, por ejemplo, "Esta puede ser una forma de recordar" podría convertirse en ¡TmB1w2R!

Requisitos para el cambio de contraseña

• Todas las contraseñas a nivel de sistema (por ejemplo, root, admin, cuentas de administrador de aplicaciones) deben cambiarse al menos trimestralmente.
• Todas las contraseñas a nivel de usuario (por ejemplo, correo electrónico, web, ordenador de sobremesa) deben cambiarse al menos una vez al año. El intervalo recomendado es cada cuatro meses.
• El equipo InfoSec puede descifrar o adivinar contraseñas periódicamente. Si una contraseña se ve comprometida, el usuario debe cambiarla inmediatamente.
• Los sistemas que pueden imponer cambios de contraseña deben hacerlo con regularidad.
• Las contraseñas predeterminadas deben cambiarse durante la instalación y configuración iniciales.

Seguridad y gestión de contraseñas

• El Servicio de Asistencia Tecnológica gestiona las contraseñas olvidadas y los restablecimientos. Los usuarios deben verificar su identidad antes de que se les conceda el restablecimiento.
• Las contraseñas no deben compartirse con nadie, incluidos asistentes administrativos, secretarias, gerentes, compañeros de trabajo o familiares.
• Las contraseñas no deben incluirse en correos electrónicos u otras comunicaciones electrónicas.
• Los usuarios nunca deben revelar contraseñas en cuestionarios o formularios de seguridad.
• Los usuarios no deben insinuar el formato de una contraseña (por ejemplo, "mi apellido").
• No anote las contraseñas ni las guarde en un archivo de oficina o sin cifrar.
• No guarde las contraseñas en un archivo de un ordenador o dispositivo móvil sin cifrar.
• No utilice nunca la función "Recordar contraseña" de las aplicaciones (por ejemplo, los navegadores web).
• Si un usuario sospecha que su contraseña ha sido comprometida, debe informar de ello a su supervisor y cambiar todas las contraseñas inmediatamente.
• Utilice el cierre de sesión automático en los sistemas que lo permitan.

Último estado de actualización:

Actualizado en enero de 2015

Políticas y procedimientos relacionados

• 4204 Uso de la tecnología
• 4204 Uso aceptable
• 4204 Auditoría
• 4204 Escritorio limpio
• 4204 Plan de recuperación en caso de catástrofe
• 4204 Correo electrónico
• 4204 Formación para la concienciación sobre seguridad de los empleados
• Cifrado 4204
• 4204 Contraseña
• 4204 Acceso remoto
• 4204 Seguridad de routers y conmutadores
• 4204 Seguridad para puestos de trabajo sensibles
• 4204 Plan de respuesta de seguridad
• 4204 Seguridad del servidor
• 4204 Instalación del software
• 4204 Seguridad de los servicios del sitio web
• 4204 Comunicación de dispositivos inalámbricos
• 4204 Comunicación de infraestructuras inalámbricas