Durante el evento TechdEd, se realizaron diversas encuestas en una de las cuales se preguntó cuanta gente que tiene credenciales de administración de dominio tienen también configurado su cuenta de administrador para que esté exenta de la política de contraseñas que requiere cambios periódicos, la respuesta no fue más que una risa nerviosa. Mientras que algunas organizaciones tienen políticas estrictas respecto del cambio de contraseñas, el forzado de esas políticas a menudo es inconsistente. A menor tamaño del departamento de TI, es menos probable que los usuarios privilegiados sean estrictos en adherir políticas de seguridad tales como cambiar regularmente la contraseña de las cuentas privilegiadas. La razón probable se basa en que nadie, salvo los propios administradores podrían percatarse cuando la política fuese violada. En tanto continúe la tendencia inevitable de administradores únicos a manejar cada vez más computadoras, el tamaño del departamento de TI de muchas organizaciones se ha ido reduciendo. Ya que, mientras una compañía con 1500 personas hace diez años tendría un pequeño equipo de administradores, la misma compañía podría tener hoy uno o dos solamente. Así que, con la reducción del tamaño de la administración viene la reducción de la supervisión entre pares, pero lo interesante aquí es ¿quién vigila a los vigilantes?, ésta es una pregunta fácil de responder cuando los vigilantes se controlan unos a otros, mucho menos fácil de responder si solo hay uno o dos vigilantes. Generalmente en grandes equipos de TI son mejores con el auto-control cuando se trata de cumplimiento de políticas de seguridad sencillamente porque hay más presión entre pares. Si bien es cierto, existen consultas que se pueden ejecutar en el Centro de Administración de Directorio Activo para determinar cuáles cuentas no han cambiado recientemente su contraseña, esta no es una tarea que sea probable que la ejecute nadie fuera del equipo de administración. Así mismo, mientras que algunos administradores pueden encogerse de hombros y decidir que si bien esa es una mala práctica, hay poco riesgo para ellos porque se aseguran que nadie los mire por encima del hombro cuando ingresan su contraseña. La realidad es que como el autor de ciencia ficción señala, los keyloggers se están haciendo pequeños, pueden ser dispositivos USB pasantes e incluso pueden formar parte del propio teclado. A menos que un administrador verifique su computadora cada vez en busca de la presencia de tales dispositivos, alguien que trabaje en la misma organización podría poner tal dispositivo físicamente en la computadora del administrador. Sin embargo, al final de cuentas si se selecciona la opción "la contraseña no expira nunca" ya despende de cada quien. Cabe mencionar que habilitándola se reduce la seguridad de su organización y con el advenimiento de cuentas de servicio administradas, existen menos razones para usar contraseñas estáticas con cualquier cuenta de usuario. Para más información visita segu-info.com.ar Realizado por Martha Siquieros Consultor TI