La ciberseguridad es fundamental para proteger la información personal y la de las bibliotecas frente a amenazas cibernéticas. Por ello, Absys ha reforzado sus medidas de seguridad, implementando una política de contraseñas más robusta para las personas que acceden al catálogo desde cualquier lugar. Con esta iniciativa, buscamos garantizar la máxima protección de sus datos frente a posibles ataques en la red. Descubre cómo fortalecer la seguridad de la contraseña del opac de tu biblioteca y empieza a proteger los datos de manera efectiva desde hoy.

La interconexión de dispositivos y sistemas aumenta la vulnerabilidad frente a amenazas como el robo de datos, ransomware o hacking. En Baratz, estamos plenamente comprometidos con la seguridad de los datos de nuestros clientes, como no podría ser de otra manera. Por ello, consideramos nuestra responsabilidad seguir invirtiendo y mejorando continuamente la seguridad en nuestros entornos Absys.

En la cápsula «Aprende como añadir reglas para las contraseñas de Absys de los usuarios profesionales de Absys», exploramos las diversas opciones que ofrece la aplicación para implementar políticas de contraseñas más seguras en el interfaz de usuario. En la cápsula de hoy, queremos mostrarte cómo establecer una política de contraseñas específica para los usuarios de opac de las bibliotecas, reforzando y mejorando así la ciberseguridad.

¿Qué es una política de contraseñas y cuáles son sus principales ventajas en las bibliotecas?

La política de contraseñas es un elemento esencial para una estrategia de seguridad efectiva. En el mundo globalizado, digitalizado y conectado en el que vivimos, la ciberseguridad se ha convertido en una de las principales preocupaciones para todas las organizaciones, incluidas las bibliotecas. Las políticas de contraseñas, dentro del ámbito de la seguridad informática, son un conjunto de reglas y directrices diseñadas para proteger el acceso a los sistemas frente a posibles ataques de ciberdelincuentes.

La política de contraseñas debe establecer reglas claras para que los usuarios de opac de la biblioteca puedan crear y modificar sus contraseñas de manera segura. Esto es fundamental para proteger el acceso al sistema, que permite realizar consultas, reservas, préstamos y peticiones de fondos. De este modo, se eleva significativamente el nivel de ciberseguridad.

Una buena política de contraseñas para los usuarios de opac ofrece múltiples ventajas que refuerzan la seguridad global de la biblioteca. Entre ellas destacan:

• Mayor seguridad para la biblioteca: La principal ventaja es elevar el nivel de protección de los datos privados, de los cuales la biblioteca es responsable.
• Cumplimiento de la legislación vigente sobre protección de datos: Una política de contraseñas sólida ayuda a cumplir con las normativas de la Ley Orgánica de Protección de Datos (LOPD) y con los reglamentos europeos, garantizando la protección de la información personal.
• Reducción de costes: Un ciberataque puede generar pérdidas en múltiples áreas de la biblioteca, como la reputación, la confianza, el prestigio y la interrupción de servicios. Además, implica gastos en soluciones informáticas. Implementar una política de contraseñas robusta ayuda a prevenir estos problemas y reducir los costes asociados.
• Reducción del robo de información: En Absys se maneja información privada que requiere un alto nivel de seguridad. Los datos personales son un objetivo frecuente en los ciberataques, pero con contraseñas robustas, los usuarios de opac reducen significativamente el riesgo de sufrir este tipo de incidentes.
• Concienciación del personal: Establecer una política de contraseñas para los lectores refuerza en los trabajadores y usuarios de la biblioteca la importancia de la ciberseguridad, fomentando una mayor conciencia sobre su relevancia en la actualidad.

¿Cómo implementar una política de contraseñas seguras para los usuarios de opac de la biblioteca con Absys?

Para explicar cómo implementar una política de contraseñas seguras en la biblioteca, repasaremos los pasos a seguir:

1. En primer lugar, la biblioteca deberá decidir qué medidas de seguridad adoptará en relación con la política de contraseñas para los usuarios de opac. Es recomendable colaborar con el departamento de informática de la institución para abordar este aspecto de manera conjunta. Entre las cosas que Absys permite definir por configuración están:

• Bloqueo de usuarios por intentos fallidos de contraseña: Se puede configurar si se bloqueará a los usuarios de opac tras un número determinado de intentos fallidos al introducir su contraseña. En este caso, es importante considerar los siguientes aspectos:
  • Si un usuario de opac supera el nº de intentos máximos permitidos, se bloquea automáticamente hasta el plazo indicado en configuración
  • Si el usuario de opac está bloqueado y la fecha de fin de bloqueo es posterior a la fecha/hora del momento en que se intenta acceder al opac. Aparece un mensaje informativo avisando que su usuario está bloqueado
  • Si el usuario de opac está bloqueado y la fecha de fin de bloqueo es anterior a la fecha/hora del momento en que se intenta acceder al opac e introduce una contraseña correcta. El usuario de opac accede al catálogo como usuario identificado
  • Cuando esta opción esté activada, se visualizarán los siguientes campos en Gestión de lectores:
    • Nº de conexiones erróneas
    • Bloqueado
    • Fecha de fin bloqueo
• Caducidad de la contraseña: Se puede configurar si la contraseña del usuario de opac tendrá un plazo de caducidad, lo que obligará a los usuarios a cambiarla periódicamente para reforzar la seguridad.
• Normas específicas para la contraseña: Se puede establecer si la contraseña del usuario de opac debe cumplir con ciertas normas específicas, como incluir mayúsculas, números o caracteres especiales.
• Uso de caracteres especiales: Es posible definir cuántos caracteres especiales se deben utilizar en la contraseña para que esta se considere válida, asegurando un nivel adecuado de complejidad.
• Eliminación de usuarios no confirmados: En el caso de permitir que los usuarios se den de alta a través del opac, se puede definir un número de días tras los cuales se eliminará automáticamente un usuario que se ha registrado, pero no ha confirmado su cuenta. Esto ayuda a mantener el sistema limpio de cuentas inactivas o no verificadas.

2. Los parámetros de seguridad se configuran en uno de los archivos principales de Absys, llamado absysNET.xml, el cual se encuentra en el servidor. Si un usuario con acceso de administrador en su red tiene los permisos adecuados, puede seguir el Manual de Administrador proporcionado con la instalación de Absys para realizar las configuraciones necesarias. Alternativamente, puede contactar con nuestro centro de Soporte técnico para que realicen las parametrizaciones adecuadas y aseguren la correcta implementación de las políticas de seguridad.

Preguntas frecuentes sobre la implementación de la política de contraseñas en Absys

¿Cómo puedo ver la información de bloqueo de usuarios?

Una vez que se han configurado las opciones correspondientes, la pantalla de Gestión de lectores mostrará nueva información relacionada con el bloqueo de usuarios. Estas opciones incluyen:

• Número de conexiones erróneas: Indica cuántos intentos fallidos ha realizado el usuario al intentar acceder.
• Bloqueado: Señala si el usuario se encuentra bloqueado debido a múltiples intentos incorrectos.
• Fecha de fin de bloqueo: Muestra cuándo finalizará el bloqueo, permitiendo al usuario volver a intentar el acceso.

En la siguiente imagen se puede apreciar cómo se visualizan estos campos tras la configuración adecuada.

¿Cómo definir la política de contraseñas en Absys?

La política de contraseñas debe ser establecida por cada institución y se refleja en Absys mediante configuraciones específicas.

Para configurar la política de contraseñas en el archivo absysNET.xml, se utilizan las siguientes etiquetas:

1. Etiqueta <passwordSafeReader value=/>: Esta define si se exigirá que las contraseñas de los usuarios de opac cumplan con normas específicas. Los posibles valores son:

• 0: No se aplica una política de contraseña segura (valor por defecto).
• 1: Se aplica una política de contraseña segura.

Cuando el valor es 0:

• Longitud mínima de la contraseña: 4 caracteres.
• Longitud máxima de la contraseña: 8 caracteres.

Cuando el valor es 1: Se pueden agregar los siguientes parámetros para definir qué tipo de contraseñas se considerarán válidas:

• minsize= Define la longitud mínima de la contraseña.
  • El valor mínimo es 4 caracteres.
  • La longitud máxima sigue siendo 8 caracteres.
• uppercase= Define si la contraseña debe contener al menos una letra mayúscula.
  • 0: No es obligatorio (valor por defecto).
  • 1: Es obligatorio.
• lowercase= Define si la contraseña debe contener al menos una letra minúscula.
  • 0: No es obligatorio (valor por defecto).
  • 1: Es obligatorio.
• numbers= Define si la contraseña debe contener al menos un número.
  • 0: No es obligatorio (valor por defecto).
  • 1: Es obligatorio.

2. Etiqueta <passSpecialChar value=/>: Especifica los caracteres especiales que se pueden utilizar en la contraseña para que sea válida. Si esta etiqueta está presente, la contraseña debe incluir al menos uno de los caracteres indicados. No se permiten los caracteres especiales: Mayor que (>), Menor que (<) y las comillas dobles (“).

«Absys 2.4 facilita la creación de políticas de contraseñas seguras, promoviendo las mejores prácticas en ciberseguridad. Nuestros clientes de AbsysCloud reciben asesoramiento para tomar decisiones informadas sobre la implementación de sus políticas de contraseñas».

Cómo definir un plazo de caducidad para la contraseña del usuario de opac

Una de las prácticas más efectivas para mejorar la seguridad de nuestros datos es el cambio periódico de contraseñas, dificultando así el acceso de los ciberdelincuentes.

En el archivo absysNET.xml, la etiqueta <passExpirationReader value=/> define el plazo de caducidad de las contraseñas para los usuarios de opac, expresado en días.

• El valor máximo que se puede establecer es de 365 días.

¿Cómo bloquear a un usuario de opac que ha introducido incorrectamente su contraseña varias veces?

Es común introducir una contraseña incorrecta por error, como sucede con las tarjetas de crédito. Para proteger los datos, el usuario de opac puede ser bloqueado después de varios intentos fallidos como medida de seguridad. El bloqueo puede mantenerse hasta que el usuario contacte con la biblioteca para su desbloqueo o hasta que transcurra el tiempo configurado para el desbloqueo automático.

En el archivo absysNET.xml, la etiqueta <connectionAttempsReader value= unblockTime=/> permite configurar el número de intentos incorrectos permitidos antes de bloquear al usuario, así como el tiempo en minutos para el desbloqueo automático.

• connectionAttempsReader value: Define el número de intentos fallidos permitidos antes de bloquear al usuario.
• unblockTime: Indica el plazo de tiempo, en minutos, que debe transcurrir para el desbloqueo automático del usuario.

¿Se pueden eliminar automáticamente los registros no confirmados de usuarios de opac tras un plazo de tiempo?

Una de las medidas de seguridad más comunes para verificar si un usuario que intenta registrarse en el opac es real, es enviar un correo electrónico de confirmación al email proporcionado durante el registro. De esta forma, el usuario debe confirmar que no es un bot.

Sin embargo, a veces los registros no se completan por diversas razones. Absys permite eliminar estos registros no confirmados de manera automática.

En el archivo absysNET.xml, la etiqueta <nonActiveReader deleteDays=/> define el plazo de tiempo, en días, tras el cual se eliminará automáticamente a un usuario que se ha registrado en el opac, pero no ha confirmado su cuenta.

¿Qué otras medidas contribuyen a aumentar la seguridad en el cambio de contraseñas?

Además de implementar políticas de contraseñas seguras, una buena práctica de seguridad es activar las notificaciones cuando se añade un nuevo lector o se modifica la contraseña de un lector existente en la base de datos. Esto permite que los usuarios estén informados de cualquier cambio en sus credenciales y puedan tomar las medidas necesarias si no lo han solicitado.

En el archivo absysNET.xml, dentro de la etiqueta <lector>…</lector>, se encuentra la configuración de la etiqueta <resetPass sendMail=»» url=»» />, que determina si se enviará una notificación al lector para que pueda cambiar su contraseña y el enlace al que será dirigido para hacerlo.

• Atributo sendMail: Indica si se generará una notificación cuando se modifique la contraseña del usuario. Los valores posibles son:
  • 0: No se genera notificación.
  • 1: Se genera notificación.
• Atributo url: Define la URL del enlace al que se redirigirá al usuario para cambiar su contraseña. Este enlace debe apuntar al ejecutable del opac correspondiente.

Somos conscientes de la importancia de implementar políticas de seguridad sólidas en las instituciones. En este sentido, Absys ofrece una amplia gama de configuraciones que permiten afrontar los crecientes peligros de los entornos digitales. Esperamos que esta información te haya sido útil y que puedas aprovechar al máximo tu experiencia con Absys.

María Rosa Velasco Merino
Técnica de soporte