Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

RSA AuthenticAtion MAnAgeR expReSS

Anuncio 
RSA Authentication
Manager Express
Análisis de la
solución
A pesar de que los riesgos asociados a la autenticación basada exclusivamente en
contraseñas no son nada nuevos, el 44% de las empresas sigue usando soluciones de
este tipo para que su personal y otros agentes externos accedan a la información de
forma remota1. Lo cierto es que los sistemas de seguridad con contraseñas estáticas son
más vulnerables que nunca a los intentos de acceso no autorizados: no hay más que
advertir la aparición de amenazas cada vez más sofisticadas y el aumento imparable del
robo de datos.
Ante esta situación, la autenticación fuerte se perfila como la solución idónea para
proteger el acceso a los datos y aplicaciones más importantes, pero las pequeñas y
medianas empresas no siempre se deciden a dar el paso. Muchas carecen de recursos
para proteger la red por completo y consideran que es poco probable que acaben siendo
víctimas de un ataque. Según un estudio reciente de National Cyber Security Alliance, el
85% de las pymes considera que la ciberdelincuencia es un riesgo mucho mayor para las
grandes empresas que para las de su tamaño2. Desgraciadamente, quienes perpetran
estos ataques saben que muchas pymes carecen de controles de seguridad avanzados y
cada vez es más frecuente que aprovechen esta situación para apropiarse de sus datos
confidenciales.
Factores que dificultan la adopción de un sistema de autenticación
fuerte
Implantar un sistema de autenticación de dos factores presenta ciertas dificultades para
las pymes. Los tres motivos principales por los que muchas descartan la idea son los
siguientes:
–– el coste;
–– las molestias para los usuarios;
–– la dificultad que suponen la implantación y la gestión del nuevo sistema.
Factor 1: el coste
El coste es una de las razones más frecuentes por las que las pymes se muestran reacias
a adoptar un sistema de autenticación fuerte. Por ejemplo, para implantar una solución
de contraseñas de un solo uso hay que adquirir el hardware necesario (los dispositivos
para los usuarios y el servidor de autenticación) y la empresa tendrá que asumir los
gastos de mantenimiento que generan la asistencia técnica y las actualizaciones del
software. Dado que su presupuesto es limitado, muchas pymes se conforman con
proteger el acceso mediante un sistema de inicio de sesión que simplemente solicite un
nombre de usuario y una contraseña.
Factor 2: las molestias para los usuarios
Es muy importante que los usuarios se sientan cómodos con el sistema de autenticación
fuerte que se decida utilizar. Antes de implantarlo, las empresas deben preguntarse si la
productividad de los empleados se verá afectada o si habrá cierta reticencia a adoptar la
nueva tecnología. Si los usuarios necesitan recurrir al servicio de asistencia telefónica
con más frecuencia, aumentará el coste total de la solución.
Factor 3: la implantación y la gestión
En muchos casos, la implantación de una solución de autenticación exige un gran
esfuerzo por parte del departamento informático. A largo plazo, pueden ser necesarias
tareas de gestión como facilitar permisos o recursos a los usuarios (o retirárselos cuando
corresponda) y distribuir hardware o software. Dado que el personal informático de las
pymes suele ser limitado y tener una carga de trabajo ya excesiva, la empresa puede verse
abrumada ante la idea de asignarle la gestión de una estrategia de autenticación fuerte.
1 Forrester Research, “Best Practices: Implementing Strong Authentication in Your Enterprise,” (Prácticas
recomendadas para implantar un sistema de autenticación fuerte en su empresa), julio de 2009.
2 2010 NCSA/Visa Inc. Estudio sobre pequeñas empresas.
Página 2
Autenticación fuerte para pequeñas y medianas empresas
RSA Authentication Manager Express es una solución pensada para proteger de forma
práctica y rentable a las pymes, teniendo en cuenta factores como el coste, la comodidad
para los usuarios y la facilidad de gestión. Se trata de una plataforma de autenticación
fuerte y multifactor para un máximo de 2.500 usuarios que facilita acceso seguro desde
cualquier lugar a las aplicaciones y datos protegidos. Para ello, se integra con las
principales soluciones VPN basadas en SSL y aplicaciones web.
RSA Authentication Manager Express utiliza la tecnología de autenticación basada en
riesgos de RSA, cuyo elemento más importante es RSA Risk Engine, un sistema
sofisticado que asigna un nivel de riesgo a cada intento de autenticación. La peligrosidad
se evalúa en tiempo real a partir de una serie de indicadores. Para determinar qué riesgo
representa cada solicitud de acceso, RSA Authentication Manager Express analiza
factores como los siguientes:
–– información conocida por los usuarios, como nombres de usuario o contraseñas;
–– sistemas pertenecientes a los usuarios, como ordenadores de sobremesa o portátiles;
–– acciones de los usuarios, como actividades recientes en cuentas e intentos de
autenticación.
RSA Risk Engine permite crear políticas personalizadas para distintos niveles de riesgo,
de manera que las empresas puedan aplicarlas cuando corresponda.
También es posible establecer niveles de riesgo para distintos grupos de usuarios. En
muchos casos, puede ser útil aplicar distintas políticas de autenticación a distintos
perfiles en función de la relación del usuario con la empresa. Por ejemplo, la tolerancia al
riesgo puede ser mayor en el caso de los empleados que en el de los clientes o partners.
Si RSA Risk Engine determina que un intento de acceso está por debajo del nivel de
riesgo permitido, la autenticación se realiza de manera imperceptible, mientras que si lo
supera, el usuario deberá proporcionar más datos para demostrar su identidad.
Perfiles de dispositivo: sistemas pertenecientes a los usuarios
RSA Risk Engine examina dos tipos de información relacionada con cada intento de
acceso: los perfiles de dispositivo y los perfiles de comportamiento. La detección del
perfil de dispositivo basta para autenticar a la mayoría de los usuarios y consiste en
analizar el perfil del equipo de sobremesa o portátil desde el que suelen acceder al
sistema. Si se ha utilizado previamente, se considerará que el nivel de riesgo es
aceptable. Este análisis consta de dos sistemas: la identificación de elementos
distintivos y la identificación estadística.
Para usar la primera, es necesario incrustar dos elementos en el dispositivo del usuario:
(a) un tipo de cookies seguras denominadas first party cookies y (b) objetos compartidos
de Flash (también llamados flash cookies). Las cookies del primer tipo desempeñan un
papel importante a la hora de identificar equipos portátiles y de sobremesa. Son
identificadores criptográficos que se colocan en el dispositivo del usuario y suelen ser el
primer mecanismo para reconocerlo. Las flash cookies se combinan con las first party
cookies para reforzar la fiabilidad de la autenticación. RSA Authentication Manager
Express las utiliza para «etiquetar» el equipo de un usuario, mientras que las first party
cookies se utilizan para almacenar información y recuperarla más adelante. La ventaja de
las flash cookies es que los usuarios no las borran con tanta frecuencia como las first
party cookies porque no saben que existen (o, aunque lo sepan, desconocen cómo
eliminarlas).
Página 3
La tecnología de identificación estadística (también denominada «análisis forense de
dispositivos») se basa en las características de un dispositivo para identificar a un
usuario por medios estadísticos y asociarlo a un equipo en concreto. Por lo general, se
utiliza cuando no es posible detectar un identificador criptográfico en el dispositivo
porque se ha borrado.
En este tipo de identificación se analizan, por ejemplo, los datos de los encabezados
HTTP o los recopilados mediante scripts de Java™: la versión del sistema operativo, las
revisiones instaladas, la resolución de pantalla, la versión del navegador, datos relativos
al agente de usuario, las versiones del software, parámetros como el tamaño de la
pantalla y la profundidad del color, los objetos de navegador instalados, el software
instalado, la dirección IP y la configuración regional, horaria y de idioma.
Perfiles de comportamiento: acciones de los usuarios
Además de examinar los perfiles de dispositivo, RSA Authentication Manager Express
analiza el comportamiento del usuario antes de asignar un nivel de riesgo a sus intentos
de acceso. Los perfiles de comportamiento sirven para identificar los inicios de sesión de
alto riesgo en función de aspectos como la velocidad de identidad, la información sobre
direcciones IP y la actividad en cuentas o los intentos de acceso (por ejemplo, cambios
recientes en el perfil de un usuario o varios intentos de autenticación fallidos). Por
ejemplo, si un usuario suele iniciar sesión en una oficina de Nueva York e intenta
conectarse desde Moscú, es posible que el sistema lo considere inusual, mientras que si
viaja con frecuencia y se conecta habitualmente desde distintos lugares del mundo, el
mismo comportamiento podría considerarse normal.
Figura 1: RSA Risk Engine evalúa
decenas de elementos antes de
asignar un nivel de riesgo a los
intentos de acceso de los usuarios.
10.0.1.195
Información sobre
direcciones IP
Software de autenticación
para dispositivos específicos
Pautas de
comportamiento
Perfiles de dispositivo
Historial de las cuentas
Página 4
Métodos de autenticación adicionales para intentos de acceso de
alto riesgo
Si un intento de acceso no reúne los requisitos de seguridad mínimos establecidos por la
empresa, RSA Authentication Manager Express hará que se utilicen otros métodos de
autenticación. Esto ocurriría, por ejemplo, si un usuario intenta acceder a la red de forma
remota con un dispositivo que no ha usado antes y que, por tanto, el sistema no
reconoce. En casos como ésos, RSA Authentication Manager Express ofrece a las
empresas dos métodos de autenticación entre los que elegir: SMS fuera de banda y
preguntas de confirmación.
Envío de mensajes de texto (SMS) fuera de banda
Los mensajes de texto fuera de banda se envían cuando se considera que un intento de
acceso supone un riesgo elevado. En ese caso, RSA Authentication Manager Express
inicia un sencillo procedimiento con el que se solicita al usuario que demuestre su
identidad de otro modo.
En primer lugar, el usuario tendrá que indicar el PIN secreto que eligió al registrarse. A
continuación, el sistema generará un SMS de forma automática y lo enviará al teléfono
móvil designado para recibir mensajes. El mensaje contiene un código de ocho cifras que
el usuario deberá escribir en su navegador para que el sistema lo verifique y le dé acceso
inmediato. RSA Authentication Manager Express también permite enviar este código de
un solo uso por correo electrónico.
Este tipo de autenticación resulta muy cómodo porque puede utilizarse con cualquier
teléfono móvil y el usuario no tiene que comprar ningún dispositivo ni instalar ningún
programa.
Preguntas de confirmación
Cuando un usuario se registra (o en el momento en que su empresa empieza a utilizar un
sistema de autenticación fuerte), debe responder a unas preguntas de confirmación que
elegirá de una lista. Para evitar que alguien descubra estas preguntas y respuestas
secretas, durante el proceso de autenticación sólo se formulará una parte elegida al azar.
Las empresas que lo prefieran también podrán crear sus propias preguntas a partir de las
prediseñadas que se incluyen en RSA Authentication Manager Express.
Implantación y gestión
RSA Authentication Manager Express viene instalado en un dispositivo que funciona en
cuanto se conecta y es compatible con los principales servidores web y las soluciones
VPN basadas en SSL más frecuentes. Gracias a RSA Quick Setup, bastan unos sencillos
pasos para configurar el servidor.
Los usuarios también podrán empezar a usar el sistema enseguida. Una vez que se
conecte RSA Authentication Manager Express a un servidor de directorios existente, el
sistema pedirá a los usuarios que se registren en su siguiente intento de autenticación.
Dado que este proceso es totalmente automático y no es necesario que intervengan los
administradores, éstos se ahorran las tareas que exigen otros métodos de autenticación.
Página 5
Principales ventajas
RSA Authentication Manager Express es una solución de autenticación fuerte adaptada a
las necesidades de las pymes.
Rentabilidad. RSA Authentication Manager Express es un producto pensado para las
necesidades y presupuestos de empresas con un máximo de 2.500 usuarios.
Comodidad para el usuario. Con RSA Authentication Manager Express, la mayoría de los
usuarios se identifican con su nombre de usuario y contraseña habituales. En este caso,
la autenticación multifactor se realiza de forma imperceptible porque RSA Risk Engine
funciona en un segundo plano. Sólo cuando un intento de acceso se considera de alto
riesgo se insta al usuario a identificarse de otro modo.
Facilidad de implantación y gestión. RSA Authentication Manager Express viene instalado
en un dispositivo que funciona nada más conectarse y es compatible con los principales
servidores web y las soluciones VPN basadas en SSL más frecuentes. Como el
procedimiento de registro es automático, los administradores apenas tienen que hacer
nada para que los usuarios empiecen a usar el sistema (o para que dejen de utilizarlo).
Tecnología de eficacia demostrada. La tecnología de autenticación basada en riesgos de
RSA Authentication Manager Express es la misma que la que utilizan más de 8.000
clientes en ámbitos como los servicios financieros, la asistencia sanitaria, los seguros, el
comercio minorista y el sector público. En la actualidad, la tecnología de este tipo que
ofrece RSA protege más de 250 millones de identidades de usuario y da acceso seguro a
toda una gama de aplicaciones y sistemas, como sitios web, portales y aplicaciones VPN
basadas en SSL.
Conclusión
RSA Authentication Manager Express permite a las pequeñas y medianas empresas implantar un sistema de autenticación fuerte que, además de ser rentable, resulte cómodo
para los usuarios y los administradores informáticos. Con su ayuda, las pymes están mejor
equipadas para prevenir accesos no autorizados, reducir el riesgo de robos de datos,
cumplir las normativas sin salirse del presupuesto y permitir que más usuarios accedan a
la información desde donde lo deseen sin ningún peligro.
Página 6
Verdades y mentiras sobre la autenticación fuerte
Falso
Verdadero
En mi empresa
usamos contraseñas
complejas que los
empleados tienen
que cambiar
periódicamente, así
que estamos
expuestos a un
riesgo muy bajo. Aunque es cierto que las contraseñas complejas (aquéllas
que incluyen números, letras mayúsculas o caracteres
especiales) son difíciles de adivinar para un hacker, los
empleados tienden a olvidarlas. Por este motivo, muchos
acaban anotándolas o incurriendo en otros
comportamientos inaceptables, lo que aumenta el nivel de
riesgo. Una solución de autenticación fuerte debe basarse
en más de un factor: no basta con usar una contraseña.
La autenticación
fuerte es demasiado
cara. Mi empresa no
puede permitírsela.
La autenticación fuerte puede resultar muy rentable, y no
sólo para las grandes empresas. Por ejemplo, RSA
Authentication Manager Express es un producto diseñado
para empresas con un número de usuarios relativamente
pequeño y un presupuesto informático limitado.
Las ventajas de la
autenticación fuerte
no son tantas si se
tiene en cuenta su
coste.
Implantar un sistema de autenticación fuerte cuesta
mucho menos que hacer frente a un robo de datos o pagar
una sanción por incumplir las normativas. Además, si se
tiene en cuenta que su uso ayuda a generar oportunidades
comerciales (con el consiguiente aumento de ingresos) y a
simplificar los procesos empresariales, el coste resulta
insignificante.
La ciberdelincuencia
sólo afecta a las
grandes empresas y
al sector público.
Nada más lejos de la realidad. Los ciberdelincuentes
atacan con frecuencia a las pequeñas y medianas
empresas porque saben que cuentan con controles de
seguridad deficientes.
Página 7
Perfil de RSA
RSA, la división de seguridad de EMC, es el principal proveedor de soluciones de seguridad, gestión de riesgos y cumplimiento de las normativas para empresas. Muchos
clientes de renombre utilizan sus productos para resolver cuestiones de seguridad
complejas como la gestión de riesgos, la protección de los sistemas de colaboración
y el acceso mediante dispositivos móviles, la demostración del cumplimiento de las
normativas y la protección de entornos virtuales y de cloud computing.
Las soluciones de RSA ponen a disposición de estas empresas excelentes funciones
de control de identidades, prevención de pérdidas de datos, cifrado y tokenización,
protección frente a fraudes, seguridad de la información y gestión de eventos (SIEM),
gobernabilidad, gestión de riesgos y cumplimiento de normativas en la empresa
(eGRC) y servicios de consultoría. Gracias a ellas, millones de identidades de usuario,
las transacciones que se realizan con ellas y los datos que se generan son más
visibles e infunden más confianza.
RSA, el logotipo de RSA, EMC², EMC y «where information lives» son marcas registradas o comerciales de EMC
Corporation en Estados Unidos y otros países. El resto de las marcas comerciales pertenecen a sus respectivos
propietarios. © 2011 EMC Corporation. Reservados todos los derechos. Publicado en Estados Unidos.
www.rsa.com
AMX SB 0111
Documentos relacionados
Desde los inicios de la informática ha existido siempre la necesidad
Desde los inicios de la informática ha existido siempre la necesidad
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
programa de introducción a la computación
programa de introducción a la computación
anafinan_28jul12 - Rodriguez Silvero y Asociados
anafinan_28jul12 - Rodriguez Silvero y Asociados
Firma Electrónica y Firma Digital MITOS Y
Firma Electrónica y Firma Digital MITOS Y
Presentación 3
Presentación 3
Pago Seguro en Internet
Pago Seguro en Internet
Descargar
Anuncio
Anuncio