Mejores Prácticas de Autenticación

Anuncio
Mejores Prácticas de Autenticación:
Coloque el control donde pertenece
WHITEPAPER
Los beneficios de un
Ambiente de Autenticación
Totalmente Confiable:
• Permite que los clientes
generen su propia información
de tokens, así como mantener
el control de la información y
políticas de su protección.
• Ofrece niveles adicionales
de protección a través de la
codificación de información de
tokens, así como la capacidad
de almacenar y administrar
llaves en su hardware.
• Enfrenta el problema de
niveles de riesgo variables por
usuarios y los requerimientos
de los usuarios con elección de
autenticación: autenticación
basada en certificaciones, OTP,
autenticación Mobile y acceso
protegido a aplicaciones SaaS.
• Administración y visibilidad
mejoradas, con administración,
activación y control
centralizados y simplificados.
• Probados por la industria,
utilizando algoritmos basados
en estándares – no en
tecnología patentada.
Recientemente se han llevado a cabo un número significativo de violaciones a la seguridad de
empresas de alto perfil, llevando a las organizaciones afectadas a las páginas centrales de las
publicaciones de negocios. Estos eventos han tenido un impacto negativo en la imagen pública
de estas compañías, y es posible que también hayan dañado sus negocios. Estos incidentes
han llevado a los CIOs de muchas compañías a revaluar sus estrategias de protección de
información de manera general, enfocándose al mismo tiempo en la autenticación de sus
usuarios y en los requerimientos de seguridad de sus transacciones.
Estas violaciones de seguridad son un recordatorio que cualquier compañía puede convertirse
en el blanco de un ataque a la información de sus clientes, finanzas y otros aspectos
confidenciales de su operación, así como de sus recursos de propiedad intelectual. Como
respuesta a estas amenazas, una solución de seguridad y autenticación, exhaustiva y de
distintos niveles, es esencial para proteger la información y los sistemas más delicados y
vitales de una organización. Este artículo sugiere un conjunto de mejores prácticas para la
autenticación de usuarios.
El Guardián de una Solución Robusta de Info-Seguridad
Las soluciones de seguridad necesitan ser administradas a partir de una solución de
distintos niveles que combine codificación de datos, políticas de acceso, administración
de llaves, protección de contenido y – por supuesto – autenticación, al igual que cualquier
otro componente del centro de datos. Estos niveles necesitan integrarse en una red flexible
que permita a la organización adaptarse a los riesgos que enfrenta. Cada uno de estos
elementos puede ser dividido todavía más para desarrollar mejores prácticas al momento
de su evaluación, activación y mantenimiento dentro del ciclo de vida de la protección de la
información (Information Protection Lifecycle, ILP).
Una solución de autenticación que asegure las identidades de los usuarios y los dispositivos
de computo que accedan a las áreas no-públicas de la red de una organización es el primer
paso para construir un sistema robusto de protección de información. La falta de mecanismos
de autenticación adecuados puede causar una reacción en cadena que interferirá con la
capacidad de una organización para proteger su información durante su ILP.
Las violaciones de seguridad recientes han resaltado las vulnerabilidades en la activación
de soluciones de autenticación. La activación de una solución de autenticación asegurará de
Mejores Prácticas de Autenticación: Coloque el control donde pertenece Whitepaper
1
manera robusta que las identidades de los usuarios en un sistema sean validadas al momento
de su acceso, funcionando así como el primer nivel de su arquitectura de info-seguridad de
niveles múltiples.
Mejores Prácticas de Autenticación de Usuarios
A raíz de las violaciones de seguridad recientes, las organizaciones están examinando más de
cerca sus soluciones de autenticación. Para entender mejor los riesgos a los que se enfrentan,
se ha aconsejado a las organizaciones que analicen todo un rango de factores relacionados
con su política de tecnologías de información, reglamentos y conformidades, comportamiento
de sus empleados y almacenamiento de datos. Una vez que las organizaciones cuenten con
un modelo de riesgo y estén más al tanto de sus vulnerabilidades, éstas se encontrarán
en una mejor posición para minimizar el riesgo de una violación de seguridad, así como
desarrollar una estrategia de autenticación apropiada a sus necesidades. Esta estrategia
necesita definirse de acuerdo a sus negocios y usuarios – los cuales necesitarán autenticarse
para acceder al sistema. Tomando estos factores en consideración, el CIO puede definir una
solución de niveles para la autenticación que incluya el sistema central de autenticación, el
ciclo de vida de los componentes de autenticación, así como las soluciones complementarias.
Conforme las compañías revalúen sus estrategias para mitigar sus riesgos de info-protección,
deben estudiar de cerca las recomendaciones de las siguientes prácticas:
Sistema de Autenticación Central
Haga que su solución de autenticación sea la adecuada para sus negocios, usuarios y riesgos
Una solución flexible que permita a una organización implementar diferentes métodos de
autenticación de acuerdo a sus diferentes niveles de riesgo puede asegurar un sistema
robusto que pueda ser activado tanto de forma eficiente como costo-eficiente.
Las tecnologías para autenticación de factores múltiples incluyen:
• Contraseñas de Uso Único (One-Time Passwords, OTP): La tecnología OTP está basada en
un secreto compartido o semilla, almacenados en un dispositivo de autenticación y en el
respaldo de la autenticación. Este método asegura la autenticación generando un código
de acceso que se utiliza una sola vez, basado en el secreto del token.
• Autenticación Basada en Certificados (Certificate-based Authentication, CBA): Este
método asegura la autenticación utilizando una llave de codificación pública y privada
que es única tanto para el dispositivo de autenticación como para la persona que la
posee. Los tokens CBA también puede utilizarse para firmar transacciones digitalmente o
para asegurar que no haya rechazos.
• Autenticación Basada en Contextos: La autenticación basada en contextos utiliza
información contextual para verificar si la identidad del usuario es auténtica o no, y se
recomienda como un complemento para otras tecnologías potentes de autenticación.
Para desarrollar una solución robusta de autenticación, las organizaciones debieran
considerar sus negocios, usuarios y riesgos, así como seleccionar una solución que les
proporcione la flexibilidad para adaptarse conforme lo necesiten. Por ejemplo, si una
organización está interesada en implementar soluciones de protección adicionales que
se apoyen en tecnología PKI, tales como codificación de discos duros, conexión a redes, y
firmas digitales, o esté pensando cómo incorporar tales soluciones en el futuro, ellos deben
considerar implementar un CBA, ya que éste permite tales aplicaciones.
Fortalezca sus Soluciones OTP con un Secreto de Usuario Compartido
Para una autenticación OTP, puede implementarse un nivel adicional de seguridad añadiendo
un número de identificación personal (Personal Identification Number, PIN) de 4 u 8 dígitos a
la contraseña de uso único generada por el token. El PIN OTP es “algo que solamente usted
sabe” – un precepto fundamental para la autenticación de factores duales. Esto asegura
que, incluso si el mecanismo basado en tokens de la autenticación es violado, el hacker aún
necesitará el PIN del usuario para acceder al sistema.
Mejores Prácticas de Autenticación: Coloque el control donde pertenece Whitepaper
2
Seleccione soluciones que se adhieran a Protección y Certificaciones basados en estándares
Los productos construidos de acuerdo a cripto-algoritmos basados en estándares y
protocoles de autenticación son preferibles. A diferencia de algoritmos patentados, los
algoritmos basados en estándares han superado el escrutinio público por parte de expertos
de la industria y la protección, reduciendo la posibilidad de cualquier vulnerabilidad o
debilidad inherentes. Más aún, estos cuentan con el apoyo de toda la industria.
El uso de productos que han atravesado el proceso de validación de un tercero acreditado –
como el Estándar Federal de Procesamiento de Información (Federal Information Processing
Standard, FIPS) o la certificación de Common Criteria – asegura que estos cumplen con los
estándares de la industria.
Considere Todos los Puntos de Acceso
Las organizaciones necesitan asegurar que el acceso a toda su información delicada sea
autenticado, ya sea que ésta resida en sus instalaciones o en una nube. Las organizaciones
deben implementar los mismos mecanismos de protección para los recursos de nube tal como
lo harían para el acceso remoto a la red corporativa.
Además, las organizaciones deben activar mecanismos para asegurar que los usuarios que
accedan a los recursos de su red a través de dispositivos Mobile (como tablets o smart
phones) sean autenticados de forma segura.
Implemente Políticas Efectivas de Administración de Contraseñas
Siempre que una contraseña sea requerida – ya sea para asegurar la autenticación del usuario
o cuando se establezcan las contraseñas para los tokens CBA – SafeNet recomienda seguir
las siguientes prácticas de administración:
• Las organizaciones no deben permitir el uso de contraseñas por defecto.
• Las organizaciones deben utilizar contraseñas basadas en combinaciones de letras
mayúsculas, minúsculas y dígitos.
• Las organizaciones deben utilizar contraseñas formadas por 8 caracteres como mínimo.
• Las organizaciones no deben permitir contraseñas iguales al nombre del usuario.
• Las organizaciones deben efectuar cambios de contraseñas regularmente. La vigencia
de una contraseña debe estar basada en su perfil de riesgo pero, por lo menos, debe
cambiarse cada tres meses.
Activación de una Autenticación OTP Robusta
Complemente su Solución de Autenticación con una Administración de Llave Robusta
Los sistemas de autenticación OTP están basados en un secreto compartido, usualmente
conocido como la semilla OTP (o valor de la semilla token). Esta semilla es usada para generar
la contraseña de uso único. La semilla OTP es almacenada tanto en el token como en el
sistema de administración de autenticación.
La efectividad del mecanismo de autenticación OTP depende de la confidencialidad de la
semilla OTP, así como de la fortaleza de codificación del algoritmo utilizado para generar la
contraseña de uso único. Si cualquiera de estos elementos es expuesto, entonces la fortaleza
de toda la solución de autenticación sería debilitada.
En la mayoría de los casos, el proveedor de los programas del sistema de autenticación es
quien siembra en el token y proporciona la información del token al cliente. Cuando un token es
asignado a un usuario, se establece el enlace entre el usuario y el autenticador. Estas semillas
de token asignadas - las cuales están asociadas al perfil de autenticación del usuario – son
utilizadas por el administrador de autenticación para controlar el acceso a la información.
La administración de llaves ayuda a prevenir robos desde el interior, así como la instalación de
software perjudicial, almacenando la información protegida en un sistema de archivos o base
de datos codificados. Ya que todos los sistemas de autenticación están formados por algún
Mejores Prácticas de Autenticación: Coloque el control donde pertenece Whitepaper
3
tipo de información secreta, la protección de esta información es primordial. Por lo tanto, es
recomendable codificar la base de datos de – por ejemplo – un sistema de autenticación OTP
que almacene las semillas de sus tokens y la información que enlaza a ésta con los usuarios a
los que pertenece en una base de datos codificada. Administrar las llaves de codificación que
conceden el acceso a esta información se ha convertido en un factor crítico para una solución
de protección exhaustiva. Para conseguir una administración de llaves robusta, los clientes
pueden almacenar llaves de codificación en un módulo de hardware de protección (hardware
security module, HSM).
Controle la Protección de su Información desde sus Instalaciones
Las organizaciones que perciben su perfil de riesgo como alto pueden crear otro nivel
de protección programando las semillas de sus tokens desde su propio centro de datos.
Los tokens programables en sus propias instalaciones permiten que las organizaciones
generen la protección de la información de sus tokens y programarla de forma segura. Para
las organizaciones particularmente percibidas en riesgo, apoyarse en la protección de un
proveedor representa una variable más fuera de su control, sin importar las medidas de
seguridad tomadas por éste. Esta recomendación principalmente funciona para los sectores
en los que las preocupaciones de seguridad son mucho más prioritarias, como en los servicios
financieros, de salud o gubernamentales.
Soluciones Complementarias
Utilice Autenticadores Previos al Inicio de Equipo para Proteger los Dispositivos Mobiles y
Portátiles de su Fuerza de Trabajo
Para los componentes críticos de su sistema, las organizaciones deben contemplar la
necesidad de autenticaciones previas al inicio de un equipo. Esto asegurará que únicamente
los empleados seleccionados puedan iniciar el sistema y realizar operaciones relacionadas
con el administrador.
Para los usuarios que almacenen información delicada en dispositivos mobile o
computadoras laptop, la codificación completa del disco duro con autenticación previa al
inicio (basada en certificados) ayuda asegurar que la información en un dispositivo perdido
o robado no sea expuesta.
Desarrolle Funciones de Detección y Auditoría
La auditoría de rastros y la detección pueden identificar rápidamente si el sistema de
una organización ha sido violado. La auditoría de rastros es efectiva ya que proporciona
información acerca de los intentos de autenticación con el sistema, sean exitosos o no. El
indicador más obvio de un ataque es un incremento brusco en el número de accesos fallidos
y cuentas bloqueadas pero, comúnmente, éste sería el trabajo de un hacker torpe y poco
sofisticado. Generalmente, las políticas de bloqueo limitan este tipo de ataques. Los hackers
con mayor habilidad intentarán pacientemente un volumen muy pequeño de intentos de
acceso o recurrirá a métodos de ingeniería social, tales como llamar al escritorio de ayuda
solicitando un cambio de PIN o contraseña. Sin herramientas de auditoría efectivas, estos
tipos de ataque pueden pasar desapercibidos.
La Autenticación Basada en Contextos Complementa una Solución de Niveles Múltiples
La autenticación basada en contextos utiliza información contextual para determinar si la
identidad de un usuario es auténtica o no. Basándose en perfiles de riesgo, las organizaciones
pueden limitar el acceso a artículos específicos del sistema o de contenido, basándose en el
criterio del usuario, incluyendo si el usuario está autenticando desde la red local o vía remoto;
si el usuario está accediendo a la información desde una computadora del corporativo; o si el
horario de acceso parece razonable (es decir, si se lleva a cabo durante horas de oficina en el
país donde esté ubicado el usuario, basándose en el IP de su computadora). Ya que gran parte
de la información contextual utilizada está disponible al público y, por lo tanto, es fácil de
obtener para un hacker, se recomienda utilizar este método para complementar otros métodos
de autenticación más fuertes o como el primer nivel de autenticación de una solución de
niveles múltiples.
Mejores Prácticas de Autenticación: Coloque el control donde pertenece Whitepaper
4
Autenticación Versátil para una Estructura de Protección Exhaustiva
Reconociendo la creciente complejidad que implica mantener controles de seguridad
en este panorama tan diverso, SafeNet ofrece a las organizaciones suites de productos
integradas para asegurar el acceso autorizado y la administración de todos los múltiples
factores de las operaciones de autenticación para los empleados que necesitan acceder de
manera protegida a aplicaciones en sus instalaciones o en nubes, y para clientes o socios
que realizan negocios online.
Las galardonadas soluciones de SafeNet ofrecen una base, extensible y exhaustiva, para proteger
las fuertes necesidades de autenticación y verificación de transacciones de una organización.
El Ambiente de Autenticación Totalmente Confiable de SafeNet
Debido a eventos recientes, SafeNet es el primero en ofrecer una estructura de autenticación
que proporciona a las empresas protección, flexibilidad y control sobre su ambiente de
autenticación sin precedentes. La estructura incluye:
• Tokens programables desde sus propias instalaciones: Permite a los clientes generar
la protección de la información y programación de sus tokens desde sus instalaciones.
SafeNet es uno de los pocos proveedores capaz de programar tokens desde las
instalaciones del cliente para generar tokens OTP. Los tokens CBA son automáticamente
reprogramables.
• Ofrece niveles adicionales de protección: Codifica la información de los tokens y
almacena/administra llaves con un HSM.
• Mejora la administración y visibilidad: Administración, activación y manejo centralizados
y simplificados.
• Probado por la industria: Algoritmos basados en estándares – no en tecnología
patentada.
La Familia de Soluciones de Autenticación de SafeNet para Acceso Remoto, Local o por Nube
Las soluciones empresariales de SafeNet permiten a las organizaciones cumplir con sus
necesidades de protección y planear para contingencias sin necesidad de cambiar su
infraestructura esencial. Ofreciendo plataformas flexibles de administración, el rango
más amplio de fuertes metodologías de autenticación y factores de forma; capacidad de
verificación de transacciones, así como federación de identidad y acceso individual, las
soluciones de SafeNet proporcionan las bases de una protección lista para el futuro que
permite que las organizaciones adopten una estrategia de administración de identidades
modular y evolutiva, asegurando que sus necesidades de protección sean cumplidas conforme
cambian las nuevas amenazas, dispositivos y necesidades de los usuarios.
Aplicaciones
Protegidas en Nube
Vía Remoto
Acceso a
Red Local
Acceso Remoto
Protegido a Aplicaciones en Red
Las soluciones de autenticación de SafeNet son administradas por una plataforma única de
autenticación, lo cual permite:
• Acceso remoto protegido para empleados y socios
• Protección para transacciones bancarias online
• Apoyo de nube incrustado para proteger acceso a aplicaciones SaaS
Mejores Prácticas de Autenticación: Coloque el control donde pertenece Whitepaper
5
• Acceso protegido a recursos corporativos para dispositivos Mobile
• Un servidor único de autenticación para una administración centralizada y simplificada
• Un ambiente de autenticación totalmente confiable para que los clientes puedan
controlar su propia información.
Para obtener más acerca de las soluciones de autenticación de SafeNet, visite nuestro sitio en
www.safenet-inc.com/authentication.
Administración
de SafeNet
Verificación de
Transacciones
CBA
OTP
OOB
Acerca de SafeNet
Fundada en 1983, SafeNet es un líder global en la protección de información. SafeNet
protege los recursos más valiosos de sus clientes, incluyendo identidades, transacciones,
comunicaciones, información y licencias de software, a través del ciclo de vida de dicha
información. Más de 25000 clientes –incluyendo tanto empresas comerciales como agencias
gubernamentales, en más de 100 países – confían sus necesidades de protección de
información en SafeNet.
Contáctenos: Para conocer la ubicación de nuestras oficinas y nuestra información de contacto, por favor visítenos en
www.safenet-inc.com
Síganos: www.safenet-inc.com/connected
©2011 SafeNet, Inc. Todos los derechos reservados. SafeNet y el logo de SafeNet son marcas registradas de SafeNet. Los nombres de
los otros productos son marcas registradas de sus dueños respectivos. WP (ESLA) A4-05.16.11
Mejores Prácticas de Autenticación: Coloque el control donde pertenece Whitepaper
6
Descargar