Buenas prácticas para una identificación segura: soluciones de acceso físico, lógico y a la nube, por Timothée Paris. Area Sales Manager Iberia. HID Global

 

Hoy en día, las organizaciones se tienen que enfrentar a retos cada vez mayores, a la hora de asegurar el acceso a sus datos e instalaciones.  El mejor enfoque es implementar una solución de autenticación que sea versátil y que: a) admita un acceso convergente seguro a edificios, redes, y recursos y servicios basados en la nube; b) admita tokens de seguridad para dispositivos móviles, que ofrezcan un acceso cómodo y seguro desde smartphones o tabletas; c) ofrezca capacidad de autenticación multifactor, para disponer de la protección más eficiente contra amenazas; y que d) sea interoperable con distintos canales de comunicación, portátiles, tabletas y teléfonos para ofrecer comodidad al usuario y gozar de un nivel óptimo de seguridad.

 

HID GLOBAL
HID GLOBAL

 

EXISTEN de hecho una serie de buenas prácticas para apoyar el cumplimiento de estos requisitos, cuando llega la hora de asegurar infraestructuras físicas y lógicas, individualmente y en conjunto, como parte de una solución combinada que funcione con tarjetas tradicionales y con dispositivos inteligentes.

Buenas prácticas para un

acceso lógico seguro

Entre las buenas prácticas más importantes se encuentra la de impulsar la autenticación más allá de contraseñas y combinarla con un enfoque de capas de seguridad. Normalmente las empresas se han centrado en asegurar el perímetro de la red, confiando en contraseñas estáticas para autenticar a los usuarios dentro del firewall.  Este enfoque ha demostrado ser insuficiente dada la naturaleza multiforme de las amenazas persistentes avanzadas (APT, en sus siglas en inglés), hacking ad-hoc y riesgos internos asociados con la adopción de soluciones BYOD (traiga su propio dispositivo) entre los empleados. Las contraseñas estáticas entrañan un gran riesgo y están abocadas al fracaso, por lo que las empresas deberían ampliar el uso de soluciones de autenticación de alto nivel, que también aseguren servidores y aplicaciones individuales, además de los sistemas basados en la nube.

Un enfoque de seguridad de múltiples capas debería incluir autenticación multifactor, autenticación de dispositivos, protección para el navegador y autenticación de transacciones. Para ello se requiere una plataforma de autenticación versátil y la detección de amenazas en tiempo real. Es más que recomendable que el uso de la tecnología de detección de amenazas, que lleva ya tiempo empleándose en el comercio electrónico y la banca online, se amplíe al sector empresarial como un modo de ofrecer una capa adicional de seguridad, cuando se utilicen accesos remotos tales como redes privadas virtuales o escritorios virtuales.

Por lo general, las medidas de autenticación de dos factores han estado limitadas a tokens con contraseña de un solo uso (OTP, One-Time Password), tarjetas electrónicas y otros dispositivos físicos, pero ahora se están sustituyendo por «tokens de software» que pueden guardarse en dispositivos tales como teléfonos móviles, tabletas y tokens navegador. Las organizaciones pueden sustituir un token de seguridad dedicado por el smartphone del usuario, permitiendo que el segundo factor de autenticación («algo que tengo») crezca en popularidad por la comodidad que ofrece. Una aplicación para móviles genera una contraseña de un solo uso (OTP) o bien, estas se envían al teléfono por mensaje de texto. Para mejorar la seguridad, la credencial de autenticación se almacena en el elemento seguro del dispositivo móvil o en el chip del módulo de identidad de suscriptor (SIM). Los tokens de dispositivos móviles también se pueden combinar con capacidades de inicio de sesión único (SSO) de aplicaciones basadas en la nube, implementando en un único dispositivo la autenticación de dos factores clásica con un acceso optimizado para múltiples aplicaciones en la nube.

Debido a que la gestión de identidades se ejecuta cada vez más desde la nube, es necesario considerar otros elementos críticos. En la actualidad, el grueso de las discusiones que genera la seguridad de este modelo se centra en asegurar la plataforma, pero como las empresas no dejan de trasladar las aplicaciones a la nube, aprovechando las ventajas que ofrece el modelo de software como servicio (SaaS, por sus siglas en inglés), será decisivo solucionar los retos que supone el aprovisionamiento y revocación de credenciales de usuario en múltiples aplicaciones basadas en la nube, permitiendo al mismo tiempo que los usuarios puedan conectarse a estas aplicaciones de forma segura y sin tarjetas físicas. La industria necesita además definir unas buenas prácticas para gestionar y apoyar la influencia actual de los teléfonos móviles personales en entornos BYOD (traiga su propio dispositivo). La autenticación desde dispositivo móviles personales en aplicaciones de redes corporativas o basadas en la nube se convertirá en un requisito clave. Por otro lado, garantizar la privacidad personal de usuarios BYOD, protegiendo al mismo tiempo la integridad de los datos y recursos empresariales, será otro factor crítico a tener en cuenta.    

Buenas prácticas para un

acceso físico seguro

La tecnología más usada en aplicaciones de control de acceso físico es la de tarjetas inteligentes sin contacto, que emplean autenticación mutua y mecanismos de protección criptográfica con claves secretas. Las tarjetas también deben basarse en estándares abiertos e interoperar con una amplia gama de productos que emplean un protocolo de transmisión de información segura que se entrega en una plataforma de comunicaciones basada en la confianza, todo dentro de un ecosistema seguro. Si las tarjetas presentan un formato universal basado en estándares, se mejorará la adaptabilidad e interoperabilidad, garantizando al mismo tiempo su portabilidad para uso en smartphone, lo que ofrece a los usuarios la opción de emplear tarjetas inteligentes y dispositivos móviles indistintamente para el control de acceso físico.

Esta «eficiencia futura» es importante por numerosas razones. En el futuro, las organizaciones desearán implementar aplicaciones tales como los modelos biométricos. O bien, si se produce en el seno de la organización fusiones, adquisiciones o traslados, será necesario reorganizar y expedir nuevas credenciales. También es posible que sea necesario mejorar la gestión de riesgos a causa de coberturas de seguro exigidas o para reducir responsabilidades, especialmente si el sistema existente es una solución de baja frecuencia de fácil clonación. Asimismo, la nueva legislación o los nuevos requisitos normativos pueden exigir mejoras de la seguridad.  Por ello, es posible que sea ventajoso combinar múltiples aplicaciones en una única solución, que permita a la organización centralizar la gestión y que sea fácil de utilizar para los empleados, mediante la eliminación de distintas tarjetas para la apertura de puertas, acceso a ordenadores, uso de sistemas seguros de gestión de horarios y asistencia e impresoras, pago en cantinas y billetes de transporte, realización de compras sin efectivo en máquinas expendedoras y otras aplicaciones. Esta combinación también mejora la seguridad ya que permite la autenticación multifactor en sistemas y aplicaciones clave de toda la infraestructura de TI, en vez de limitar esta a su perímetro, además de reducir los costes al permitir a las organizaciones adaptar la inversión ya realizada en credenciales a la hora de añadir una solución de control de acceso lógico para iniciar sesión en la red y crear una solución de seguridad interoperable de múltiples capas en todas las redes, sistemas e instalaciones de la empresa.    

El paso al acceso móvil

Otra buena práctica que ha demostrado su eficacia es la combinación del control de acceso lógico y físico en un smartphone, un dispositivo que los usuarios nunca suelen perder ni olvidar.  Estos dispositivos representan una solución única muy cómoda para el acceso a instalaciones, redes seguras, aplicaciones y sistemas sin necesidad de tarjetas adicionales, tokens con contraseña de un solo uso ni llaveros. Además, el modelo de aprovisionamiento de identidades para el control de acceso móvil basado en la nube elimina la necesidad de copiar credenciales, cancelar credenciales perdidas o sustraídas, además de permitir la supervisión y modificación de los parámetros de seguridad siempre que sea necesario.   

A pesar de las ventajas que ofrece el control de acceso móvil, es muy improbable que esta tecnología sustituya por completo a las tarjetas inteligentes físicas en los próximos años. En lugar de ello, los smartphone probablemente coexistirán con tarjetas y placas identificativas para que las organizaciones puedan implementar una selección de tarjetas inteligentes, dispositivos móviles, o ambos, en su sistema de control de acceso físico. También será importante establecer una ruta de migración a este entorno de control de acceso híbrido con la garantía de que las inversiones actuales puedan aprovecharse en el futuro. La migración a nuevas capacidades requiere una plataforma de lectores y tarjetas inteligentes ampliables y adaptables a múltiples tecnologías, que permita la combinación de tecnologías nuevas y tradicionales de credenciales en la misma tarjeta, admitiendo al mismo tiempo las plataformas de los smartphone.   

Al mismo tiempo, las organizaciones también tienen que optimizar la expedición segura de sus tarjetas tradicionales. Esto incluye la incorporación de tecnologías lógicas y visuales críticas para la validación de múltiples capas y el uso de procedimientos de gestión de múltiples capas, que aumenten aún más la seguridad y mejoren a la vez la eficacia del sistema de emisión. La mayoría de los sistemas de emisión de tarjetas de identificación se apoyan en la validación bidimensional de identidades, comparando la persona que presenta las credenciales con los datos identificativos (tales como una identificación con fotografía) que se incluyen en la tarjeta. También se tienen en cuenta elementos más sofisticados como imágenes en alta resolución o atributos personalizados permanentes grabados con láser que prácticamente imposibilitan su falsificación o alteración. Los chips de las tarjetas inteligentes, las bandas magnéticas y otros elementos digitales representan una tercera dimensión de seguridad, mientras que la ampliación del almacenamiento de datos en la tarjeta permite la inclusión de información biométrica y de otro tipo para mejorar aún más el proceso de validación. Los procesos en línea de personalización de tarjetas inteligentes permiten realizar todas las gestiones necesarias en un solo paso, mientras que la integración de lectores/codificadores en las impresoras físicas de tarjetas es otra buena práctica ya que, con seguridad, permitirá a cualquier organización aprovechar las ventajas que ofrecen las aplicaciones de tarjetas inteligentes en el futuro.

Las buenas prácticas para el control de acceso físico y lógico, y para las soluciones que combinan ambas capacidades en una única solución, requieren el uso de tecnología de tarjetas inteligentes basada en estándares que admita múltiples aplicaciones y que, al mismo tiempo, se pueda trasladar a los smartphone. Si las empresas establecen estas bases y planifican de antemano la migración a nuevas capacidades, tendrán la opción de usar ambos tipos de tecnología de credenciales en sus sistemas de control de acceso físico.  Además, paralelamente podrán continuar adaptándose a nuevos requisitos con la confianza de que podrán aprovechar las inversiones que han realizado en su infraestructura existente.

 
Fotos: HID Global