El pasado 15 de mayo de 2020, se publicó en el portal de C-TPAT un boletín informativo para las empresas miembro de este programa de seguridad de la cadena de suministros.

Dicho boletín tuvo por objetivo el concientizar a las empresas sobre la importancia del cumplimento a los estándares de ciberseguridad, en particular en el tema de las contraseñas de los usuarios de los sistemas, lo cual se establece en el criterio 4.8 del perfil de seguridad CTPAT 2020.

De acuerdo con dicho estándar, los miembros del programa deben proteger la seguridad de sus cuentas a través de las siguientes acciones:

• Contar con cuentas asignadas de manera individual
• Protección de sistemas a través de contraseñas fuertes, passphrases y otras formas de autenticación.
• Las contraseñas deben ser modificadas inmediatamente en casos de sospecha o evidencia de intrusión.

Asimismo, el estándar recomienda la implementación de autenticación de dos factores, es decir, que el usuario deba introducir dos tipos de credenciales para poder acceder al sistema. Las contraseñas son un tipo de autenticación, mientras que otras ideas de autenticación pudieran ser: biométricos, claves enviadas a otro dispositivo, etc.

De acuerdo con el boletín emitido, una passphrase es una frase que se utiliza como contraseña por lo que tendrá espacios y más de 12 caracteres. Esto las hace más difíciles de adivinar y fácil de recordar para los usuarios.

Para los miembros de C-TPAT que eligen continuar usando contraseñas simples, el Instituto Nacional de Estándares y Tecnología (NIST) emite las siguientes recomendaciones:

• No usar contraseñas basadas en información personal.
• No utilizar palabras del diccionario como contraseña.
• Verificar las contraseñas nuevas y existentes en una base de datos sobre contraseñas en lista negra (contraseñas utilizadas por los piratas informáticos).
• Verificar con un sistema automatizado el ingreso de contraseñas nuevas por un usuario, utilizando una base de datos en vivo.
• Tener un proceso documentado en caso de detectar una contraseña comprometida.
• Usar diferentes contraseñas para diferentes cuentas.
• Elegir una contraseña distinta a las últimas cuatro contraseñas utilizadas.

Es importante que las empresas cumplan con las medidas de seguridad en sus contraseñas y contraseñas en frase para evitar ser vulnerables ante el riesgo que representan los delincuentes en línea.

Acércate con los expertos TLC Asociados si tienes duda de cómo tu empresa puede poner en práctica las recomendaciones relacionadas a la ciberseguridad.

“En TLC Asociados desarrollamos un equipo multidisciplinario de expertos en auditorías y análisis de riesgos para asesorar, implementar estrategias y dar cumplimiento en operaciones de comercio exterior”.

Para más información o comentarios sobre esta publicación contacte a:

División de Certificaciones OEA y C-TPAT

TLC Asociados S.C.

tlc@www.tlcasociados.com.mx

Prohibida la reproducción parcial o total. Todos los derechos reservados de TLC Asociados, S.C. El contenido del presente artículo no constituye una consulta particular y por lo tanto TLC Asociados, S.C., su equipo y su autor, no asumen responsabilidad alguna de la interpretación o aplicación que el lector o destinatario le pueda dar.

On May 25, 2020, a newsletter was published in the C-TPAT portal to inform companies using this security program for the supply chain.

The goal was to raise awareness among companies regarding the importance of complying with the cybersecurity standards, particularly on system users’ passwords. This is established in criterion 4.8 of the C-TPAT security profile for 2020.

According to this standard, the members of the program must protect the security of their accounts using the following measures:

• Having individually assigned accounts.
• Protection of systems through strong passwords, passphrases and other forms of authentication.
• Passwords must be changed immediately in cases of suspicion or evidence of intrusion.

In addition, the standard recommends implementing the authentication of two factors, in other words, the user must enter two types of credentials to access the system. Passwords are a type of authentication, while other authentication options could be biometric, codes sent to other devices, etc.

According to this publication, a passphrase is a phrase used as a password, so it has spaces and more than 12 characters. This makes it more difficult to guess and easy to remember for the users.

For C-TPAT members who choose to keep using simple passwords, the National Institutes of Standards and Technology (NIST) issues the following recommendations.:

• Do not use passwords based on personal information.
• Do not use words from the dictionary as your password.
• Check new and existing passwords in a database for blacklisted passwords (passwords used by hackers).
• Verify with an automated system the entry of new passwords by a user, using a live database
• Have a documented process in case a compromised password is detected.
• Use different passwords for different accounts.
• Choose a different password than the last four passwords used.

It is important for companies to comply with the security measures regarding passwords and passphrases to avoid vulnerability at any risk from online criminals.

Contact the experts at TLC Asociados if you have doubts about how your company can put into practice the recommendations related to cybersecurity.

“In TLC Asociados, we develop a multidisciplinary team of experts in audits and risk analysis for consulting, implementing strategies and complying with foreign trade operations”.

For further information or comments regarding this article, please contact:

AEO & C-TPAT Certification Division

TLC Asociados S.C.

tlc@www.tlcasociados.com.mx

A total or partial reproduction is completely prohibited. All rights are reserved to TLC Asociados, S.C. The content of this article is not a consultation; therefore, TLC Asociados S.C., its team and its author do not assume any responsibility for the interpretations or implementations the reader may have.