Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Estrategia de autenticación: El equilibrio entre seguridad y comodidad

Anuncio 
Estrategia de
autenticación:
El equilibrio
entre seguridad
y comodidad
Las estrategias actuales de seguridad de acceso
e identidades se rigen por dos imperativos fundamentales:
Permitir el crecimiento empresarial mediante:
• la rápida implementación de nuevos servicios en línea;
• el aprovechamiento de los nuevos avances en informática en la nube y virtualización;
• la adaptación a las necesidades de diversos usuarios exigentes y con conocimientos técnicos;
• el fomento de la productividad de los empleados y el aumento de la inteligencia empresarial.
Proteger el negocio mediante:
• la mitigación de los riesgos de fraude, infracciones, amenazas internas y acceso inadecuado,
tanto de orígenes internos como externos;
• la protección de sistemas, aplicaciones y datos importantes.
En última instancia, estos objetivos tienen un fin específico: habilitar la empresa en línea de forma segura.
Las aplicaciones y los servicios en línea son los impulsores del mercado, y constituyen un elemento diferenciador clave ante la
competencia, por lo que las organizaciones están expuestas a una presión cada vez mayor para seguir siendo ágiles y acelerar la
entrega de capacidades habilitadas para la Web. Al mismo tiempo, las organizaciones deben garantizar que las nuevas ofertas en
línea cuenten con el respaldo de medidas de seguridad capaces de proteger de forma eficaz los datos personales y la información
empresarial importante, siempre sin entorpecer la experiencia del usuario.
02
La movilidad plantea otras consideraciones
La rápida proliferación de
dispositivos móviles ha creado
nuevos requisitos de seguridad para
aquellas organizaciones que
pretendan aumentar su presencia en
el mercado en línea. Los teléfonos
inteligentes y las tabletas ofrecen
a los usuarios finales nuevas
maneras de interaccionar con
la empresa, por lo que los
departamentos de TI deben
desarrollar las medidas de seguridad
diseñadas para proteger las
aplicaciones y los servicios
en línea en consonancia.
Estos retos no cesarán de
aumentar a medida que la
tendencia de movilidad cobre
aún más relieve.
1 “Mobile is the New Face of Engagement”, Forrester Research Inc., 13 de febrero de 2012.
“El gasto empresarial en proyectos para dispositivos
móviles aumentará un 100 % hasta 2015”.1
“En 2016, 350 millones de empleados
utilizarán teléfonos inteligentes
y 200 millones tendrán uno propio”.1
03
Las nuevas tendencias están
reestructurando el panorama
de la seguridad
Perímetro de red
empleado interno
Aplicaciones
empresariales
Antes de la aparición de los servicios y aplicaciones en línea, por no hablar de la ubicuidad
de los teléfonos inteligentes y las tabletas, la seguridad era un proceso relativamente sencillo:
Las aplicaciones empresariales se guardaban en un cortafuegos de red,
el acceso se limitaba a los empleados internos y era fácil gestionar las
identidades y entender el contexto de las acciones de un usuario.
Sin embargo, la expansión de las interacciones en línea para abarcar a clientes, usuarios
de dispositivos móviles y partners empresariales, así como las aplicaciones in situ y basadas
en la nube, está minando la eficacia del perímetro de red tradicional.
Básicamente, el concepto de cortafuegos y la idea de que la mayoría
de las interacciones tienen lugar dentro de la red ya no son válidos.
Por este motivo, es necesario cambiar las antiguas nociones de TI sobre
la gestión de la seguridad.
¿Cómo? Si los equipos de seguridad de TI ya no pueden confiar en el perímetro de la red como
un método adecuado para proteger la empresa, ¿adónde deben dirigirse?
La respuesta consiste en intensificar la atención que se presta a los
usuarios y en confirmar sus identidades antes de otorgarles acceso.
Partner
cliente
Servicios web
y plataformas en
la nube
SAAS
empleado
móvil
empleado
interno
Aplicaciones
empresariales
¡El perímetro de red
ha desaparecido!
04
La autenticación es la puerta
principal del perímetro
de identidades
La identidad se está convirtiendo en la fuerza motriz de los nuevos paradigmas de seguridad, por lo que los
departamentos de TI deben poner más énfasis que nunca en la autenticación: el proceso de garantizar que
los usuarios son quienes dicen ser.
Con este fin, las empresas deben tener en cuenta tres factores fundamentales a la hora de planificar
sus estrategias de autenticación:
Seguridad
El aumento del número de
aplicaciones, usuarios y dispositivos
impide el uso de un enfoque
único, de modo que es imperativo
desarrollar un sistema seguro
y centralizado que proporcione
una autenticación por capas
adecuada a los riesgos.
Experiencia de usuario Control de costes
Es esencial contar con un proceso
de autenticación sencillo, pero
seguro que cuide la experiencia del
usuario; esto puede ser un factor
diferenciador clave para impulsar
la adopción de aplicaciones
basadas en la Web orientadas
al cliente.
Una solución de autenticación
flexible, eficaz y centralizada
puede contribuir a la reducción
de los costes de TI, desde la
implementación inicial hasta
las tareas continuas de soporte
y mantenimiento.
Hay otro aspecto clave que los departamentos de TI deberían tener en cuenta. Se trata
del hecho de que el actual entorno en línea, complejo y en constante evolución, hace
hincapié en la importancia de revisar las necesidades de autenticación y las estrategias
de desarrollo presentes y futuras que pueden abarcar un amplio espectro de grupos de
usuario y casos de uso predecibles.
05
Los métodos de autenticación deben ser
un reflejo de los requisitos actuales de acceso
y seguridad
En el pasado, casi todos los departamentos de TI recurrían a métodos
de autenticación que únicamente solicitaban un ID de usuario y una
contraseña válidos a la mayoría de los usuarios; después, había un
pequeño grupo de directivos que tenían que proporcionar credenciales
adicionales, más seguras, para acceder a recursos de carácter
altamente confidencial.
Sin embargo, ante la aparición de piratas informáticos y otras entidades
malintencionadas que atacan a usuarios comunes y utilizan sus
contraseñas básicas como punto de entrada para realizar ataques
persistentes avanzados, las organizaciones deben reforzar sus métodos
de autenticación para todos los perfiles de empleado, partner y cliente.
También deben optimizar estrategias que vayan más allá del frágil
método de ID de usuario y contraseña.
A la hora de implementar métodos de autenticación eficaces,
es muy importante para las organizaciones…
3
3
Permitir el acceso a
ap
diversos dispositivos. licaciones en línea desde
Dar cabida a grupos
de
con diferentes privilegi usuario únicos que cuenten
os y requisitos de acc
eso.
3 Proporcionar el nivel de seguridad a
decuado
función del riesgo de
una actividad determ en
inada.
P
3 roteger la identidad de una persona,
así co
datos confidenciales
introducidos en las a mo los
plic
sin poner una carga
excesiva en los usuari aciones,
os finales.
A
m
3 pliar las capacidades de autenticaci
ón pa
aplicaciones in situ y
basadas en la nube. ra
3 Proteger las transacciones de las nueva
s am
como los ataques de
tipo “man-in-the-m enazas,
iddle”.
06
Métodos de autenticación avanzados ampliables
que proporcionan una combinación única de
seguridad y comodidad para el usuario
La complejidad de los requisitos
de autenticación actuales y el
panorama de amenazas en constante
evolución podrían hacer pensar a los
departamentos de TI que no hay ninguna
manera eficaz de proteger la empresa.
Afortunadamente, han surgido dos
nuevos métodos de autenticación que
prometen ayudar a las organizaciones
a proteger la información confidencial
y minimizar el riesgo de infracciones
y otros ataques, al tiempo que
proporcionan una experiencia ágil
a usuarios de todo tipo: los tokens
de software y la autenticación
en función del riesgo.
Autenticación sólida
Autenticación basada en riesgos
Qué hace
Qué hace
Protege a los empleados y a los clientes
con una autenticación de dos factores cómoda
para el usuario.
Reduce el riesgo de que se produzcan accesos
inadecuados y fraudes sin perjudicar a los
usuarios legítimos.
Ventajas
Ventajas
• Contribuye a reducir los riesgos y los ataques
inadecuados.
• Reduce el riesgo de que se produzcan infracciones
de datos y fraudes.
• Ofrece algunas de las credenciales de software
de dos factores más eficaces del mercado.
• Requiere una autenticación progresiva para las
actividades sospechosas.
• Protege los datos sin perjudicar a los usuarios
finales legítimos.
• Contribuye a satisfacer las directrices
de conformidad como, por ejemplo,
FFIEC, HIPPA, PCI y SOX.
• Se amplía para satisfacer las necesidades
de su organización.
07
Autenticación avanzada
en acción: Acceso remoto
de empleados (VPN)
Actualmente, las organizaciones de TI se enfrentan al reto común que supone
confirmar la veracidad del creciente número de empleados que necesitan acceder
a sitios internos, en la nube y de partners desde ubicaciones remotas a través de una
red privada virtual (VPN). La habitual combinación de ID de usuario y contraseña no
es suficiente, y puede aumentar el riesgo de acceso inadecuado o fraude, por lo que las
organizaciones deberían complementar este enfoque con un token de software de dos
factores. Esto proporciona una capa de protección adicional frente al acceso inadecuado
que el usuario puede lograr mediante varios métodos sencillos.
Empleado
ID de usuario/
contraseña
+
Credencial de
software
de dos factores
08
VPN
Portal de empleados
SALESFORCE
SAP
Autenticación avanzada en acción:
Acceso remoto de empleados (VPN)
No obstante, si la comodidad del usuario es una prioridad,
la autenticación basada en riesgos constituye un método
transparente y eficaz para validar la identidad de un
empleado, sin necesidad de realizar otros pasos incómodos.
Así, los departamentos de TI tienen la flexibilidad de permitir
actividades de bajo riesgo, solicitar autenticación adicional para
los escenarios de riesgo medio y denegar el acceso o enviar
una alerta al administrador en caso de intentos de alto riesgo.
De esta manera, la autenticación basada en riesgos hace posible
el uso de una estrategia puntual que otorgue acceso inmediato
a la mayoría de los usuarios y requiera autenticación adicional
solo en aquellos casos en los que el nivel de riesgo lo justifique.
(continuación)
EVALUACIÓN BASADA EN RIESGOS
RIESGO BAJO:
PERMITIR
RIESGO MEDIO:
AUTENTICACIÓN
PROGRESIVA
Empleado
ID de usuario/
contraseña
RIESGO ELEVADO
DENEGAR/ALERTA
PORTAL DE EMPLEADOS
SALESFORCE
SAP
ADMINISTRADOR
POLÍTICAS
REGISTROS DE
AUDITORÍAS
EVALUACIÓN BASADA EN RIESGOS
RIESGO BAJO:
PERMITIR
RIESGO MEDIO:
AUTENTICACIÓN
PROGRESIVA
Empleado
ID de usuario/
contraseña
+
CREDENCIAL DE SOFTWARE
DE DOS FACTORES
RIESGO ELEVADO
DENEGAR/ALERTA
PORTAL DE EMPLEADOS
ADMINISTRADOR
SALESFORCE
POLÍTICAS
SAP
REGISTROS DE AUDITORÍAS
09
Además, la autenticación basada en
riesgos se puede combinar con los tokens
de software de dos factores para crear un
sistema por capas eficaz que maximice
la seguridad y minimice el impacto en la
experiencia del usuario.
Autenticación avanzada
en acción: Acceso de clientes
La sencillez es fundamental cuando se trata de la autenticación y, por extensión,
de la captación y fidelización de clientes. La mayoría de las personas tiene, como mínimo,
una identidad en línea, por lo que el fomento de la adopción de aplicaciones y servicios
basados en la Web pasa por eliminar la necesidad de crear más credenciales.
La implementación de medidas de autenticación compatibles con estándares reconocidos,
como OpenID u OAuth, permitirá a las organizaciones conceder acceso inmediato y sin
problemas a aquellos clientes que dispongan de credenciales establecidas. Esto puede
simplificar enormemente el proceso de creación de una identidad inicial para
nuevos usuarios.
PORTAL DEL CLIENTE
CLIENTE
TIENDA
10
Autenticación avanzada en acción:
Acceso de clientes
(continuación)
Cuando es necesario llevar a cabo una actividad importante, es posible recurrir a la validación de identidades, la autenticación
basada en riesgos o los tokens de software para proporcionar una mayor garantía puntual de la identidad de la persona sin
molestar al usuario final. Además, se pueden realizar evaluaciones de riesgos varias veces por cada sesión de usuario y definir
reglas o umbrales independientes para actividades específicas. De esta manera, los departamentos de TI disfrutan de una garantía
constante de la validez de las transacciones de consumidores.
EVALUACIÓN BASADA EN RIESGOS
RIESGO BAJO:
PERMITIR
RIESGO MEDIO:
AUTENTICACIÓN
PROGRESIVA
CLIENTE
ID de usuario/
contraseña
RIESGO ELEVADO
DENEGAR/ALERTA
11
PORTAL DEL CLIENTE
TIENDA
EVALUACIÓN
BASADA EN
RIESGOS
ADMINISTRADOR
POLÍTICAS
REGISTROS DE AUDITORÍAS
¿Cuál es su posición?
El primer paso en la adopción de una estrategia de
seguridad basada en técnicas de autenticación avanzada
consiste en evaluar cómo se está gestionando el acceso
de usuarios en ese momento. Debe conocer bien los tipos
de usuarios que intentan interaccionar con la empresa
a diario y el tipo de transacciones que suelen realizar
para poder identificar los métodos de autenticación
avanzada que más se adecuan a su organización.
Recuerde que tanto el panorama de seguridad
en constante evolución como el número cada vez mayor
de perfiles de usuario y dispositivos hacen hincapié
en la importancia de contar con una solución robusta
e integrada que pueda dar respuesta a una amplia
variedad de casos de uso. Este tipo de estrategia acaba
con las prácticas fragmentadas, permite un mayor control
de la gestión de acceso, reduce los costes y ofrece
al usuario una experiencia simplificada y de calidad.
12
Acerca de las soluciones
de CA Technologies
CA Technologies es consciente de la importancia de equilibrar la seguridad
y la experiencia del usuario de forma eficaz. Nuestras soluciones proporcionan
las medidas de autenticación avanzada necesarias para proteger y habilitar
el acceso de empleados, clientes y partners a recursos disponibles in situ
o en la nube.
CA Advanced Authentication
es una solución flexible y ampliable que incorpora métodos
de autenticación basados en riesgos como la identificación de dispositivos, la geolocalización y la actividad del
usuario, así como una amplia variedad de credenciales de autenticación sólidas y de varios factores. Esta solución
permite a la organización crear el proceso de autenticación adecuado para cada aplicación o transacción. Puede
entregarse como software in situ o como un servicio en la nube, así como proteger el acceso a la aplicación desde
una amplia gama de terminales, incluidos todos los dispositivos móviles comunes. Esta completa solución permite
a las organizaciones aplicar de forma rentable el método apropiado de autenticación sólida en todos los entornos
sin sobrecargar a los usuarios finales.
CA Advanced Authentication SaaS es un servicio de autenticación versátil que incluye
credenciales de varios factores y una evaluación de riesgos para contribuir a evitar accesos inadecuados y fraudes.
Puede ayudarle a implementar y gestionar de forma sencilla una variedad de métodos de autenticación para
proteger a sus usuarios sin los costes de mantenimiento, la infraestructura y la implementación tradicional.
13
CA Technologies (NASDAQ: CA) crea software que impulsa la transformación de las empresas y les permite aprovechar las
oportunidades de la economía de aplicaciones. El software se encuentra en el corazón de cada empresa, sea cual sea su sector.
Desde la planificación hasta la gestión y la seguridad, pasando por el desarrollo, CA trabaja con empresas de todo el mundo
para cambiar la forma en que vivimos, realizamos transacciones y nos comunicamos, ya sea a través de la nube pública, la nube
privada, plataformas móviles, entornos de mainframe o entornos distribuidos. Más información en ca.com/es.
Copyright © 2014 CA. Todos los derechos reservados. Todas las marcas, nombres comerciales, logotipos y marcas de servicio a los que se hace referencia en este documento
pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo y no ofrece garantía alguna. Las capturas de pantalla y el rendimiento reales del
producto pueden variar. CA no se responsabiliza de la precisión e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación
“tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento.
CA no responderá en ningún caso de las pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida
de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación
y expresamente de la posibilidad de dichos daños. La información y los resultados que se indican en este documento se basan en la experiencia de CA y de los clientes con el software
mencionado en diversos entornos, que pueden incluir entornos de producción o de no producción. El rendimiento anterior de los productos de software en tales entornos no es
necesariamente un indicador del rendimiento futuro de esos productos en entornos idénticos, similares o diferentes. CA no proporciona asesoramiento jurídico. Ni el presente
documento ni ningún producto de software de CA al que se haga referencia en él se convertirán en medios sustitutivos del cumplimiento de ninguna ley (incluidos, a título enunciativo
y no taxativo, cualquier reglamento, estatuto, norma, regla, directiva, directriz, política, instrucción, medida, requisito, orden administrativa, decreto, etc. [en conjunto, las “Leyes”])
a la que se haga referencia en el presente documento. Se recomienda que recurra al asesoramiento legal competente con respecto a dichas leyes u obligaciones contractuales.
CS200-78909
Documentos relacionados
Desde los inicios de la informática ha existido siempre la necesidad
Desde los inicios de la informática ha existido siempre la necesidad
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
programa de introducción a la computación
programa de introducción a la computación
Firma Electrónica y Firma Digital MITOS Y
Firma Electrónica y Firma Digital MITOS Y
CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones
CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones
Intrusos en la nube Por Manuel Dávila Sguerra En otro artículo
Intrusos en la nube Por Manuel Dávila Sguerra En otro artículo
autenticación de fondo negro para el extranjero
autenticación de fondo negro para el extranjero
Documento3323516 3323516
Documento3323516 3323516
Descargar
Anuncio
Anuncio