Usar mecanismos de Múltiples Factores de Autenticación (MFA)

Los usuarios deben contar con más de un mecanismo de autenticación para ingresar a sus dispositivos y cuentas de usuario. Estos mecanismos deben considerar al menos dos de las siguientes categorías: “algo que sabes” (contraseñas o PIN), “algo que tienes” (smartphone, tarjeta de coordenadas, token) y “algo que eres” (huella dactilar, reconocimiento facial o de iris, entre otros).

Al momento de implementar MFA, priorizar las cuentas de los servicios más sensibles, y considerar no solo aquellas cuentas propias de la organización, sino también las que sus miembros pueden emplear en sistemas de proveedores, clientes u entes relacionados.

Es imprescindible contar con MFA para sistemas expuestos a internet, como los que entregan acceso remoto (VPN, RDP).

Debe existir asimismo una política de contraseñas que implemente medidas como el cambio de todas las claves por defecto y la imposición de ciertos mínimos de extensión y complejidad de las mismas. No es recomendable obligar a los usuarios a cambiar sus contraseñas periódicamente.