RSA AUTHENTICATION MANAGER EXPRESS

Transcripción

1 RSA AUTHENTICATION MANAGER EXPRESS Solution Brief

2 Los riesgos asociados con los métodos de autenticación que solo utilizan contraseñas no son nuevos. Aún en la actualidad, el 44% de las organizaciones dependen de contraseñas para el acceso remoto seguro de empleados y contratistas 1. Ante un panorama de amenazas sofisticadas y el incremento constante de las filtraciones de datos, los sistemas que dependen de contraseñas estáticas para la seguridad quedan vulnerables y con riesgo de acceso no autorizado. La autenticación sólida es la solución más ampliamente aceptada para proteger el acceso a los datos y las aplicaciones de misión crítica. Sin embargo, para las pequeñas y medianas empresas (pymes), la implementación de soluciones de seguridad es, con frecuencia, un reto, ya que dichas empresas carecen de los recursos para proteger su red de manera integral y, de hecho, posiblemente crean que no son un blanco muy probable para la filtración de datos. Según un estudio reciente llevado a cabo por National Cyber Security Alliance, el 85% de las pymes creen ser un blanco menor para el delito cibernético que las empresas de gran tamaño 2. Desafortunadamente, los delincuentes cibernéticos son conscientes de que muchas pymes carecen de controles de seguridad sofisticados, por lo que están atacando cada vez más sus sistemas para robar datos confidenciales. Superación de los obstáculos para lograr una autenticación sólida Las pequeñas y medianas empresas deben superar gran cantidad de obstáculos para justificar el uso de la autenticación de dos factores. Los tres problemas principales que impiden que muchas de estas empresas implementen una solución de autenticación sólida son los siguientes: Costos altos Incomodidad para los usuarios Complejidad de implementación y de administración Costos Con frecuencia, las pymes mencionan el costo de las soluciones existentes como el mayor de los problemas que les impiden adoptar un método de autenticación sólida. Por ejemplo, la implementación de una solución de contraseñas de un solo uso requiere inversiones en hardware, como los dispositivos de usuarios finales y el servidor de autenticación. Además, existen costos de mantenimiento vinculados con el servicio al cliente y las actualizaciones de software. Dados los presupuestos de TI limitados, la mayoría de las pymes deciden proteger el acceso con un inicio de sesión básico mediante nombre de usuario y contraseña. Incomodidad para los usuarios Al implementar una autenticación sólida, la comodidad del usuario es un factor importante. Las organizaciones deben considerar si la seguridad adicional puede obstruir la productividad de los empleados y si, al intentar imponer la adopción de la nueva tecnología, es posible que los usuarios ofrezcan resistencia. Esta situación también puede afectar el costo total de la solución si se incrementan repentinamente las llamadas a help desk por parte de usuarios que requieren soporte adicional. Implementación y administración Es probable que la implementación inicial de una autenticación sólida requiera una inversión significativa de recursos del departamento de TI. Además, existen otras consideraciones, por ejemplo, la administración continua de la solución, que puede incluir tareas como el aprovisionamiento y el desaprovisionamiento de usuarios nuevos, y la distribución de hardware o software. Los recursos de TI de las pymes ya son limitados. Por lo tanto, es posible que el tiempo y el personal adicionales necesarios para administrar adecuadamente una estrategia de autenticación sólida resulten intimidatorios para un personal que ya se encuentra sobrecargado. 1 Forrester Research, Best Practices: Implementing Strong Authentication in Your Enterprise, julio de NCSA/Visa Inc. Small Business Study PÁGINA 2

3 Autenticación sólida para pequeñas y medianas empresas RSA Authentication Manager Express enfrenta las limitaciones de costo, de comodidad para el usuario y de administración de TI de las pymes, ya que brinda una solución rentable y conveniente sin comprometer la seguridad. La solución es una plataforma de autenticación sólida de varios factores que proporciona autenticación remota segura para hasta 2,500 usuarios. RSA Authentication Manager Express utiliza VPN con protocolo SSL y aplicaciones basadas en web a fin de permitir a las pymes implementar métodos de autenticación sólida y acceso seguro para las aplicaciones y los datos protegidos. RSA Authentication Manager Express incluye las funcionalidades de la tecnología de autenticación basada en riesgos de RSA. Uno de sus elementos principales es RSA Risk Engine, un sistema sofisticado que evalúa cada intento de inicio de sesión y cada actividad en tiempo real mediante el rastreo de docenas de indicadores de riesgo, y le asigna un nivel de riesgo a cada solicitud de usuario. RSA Authentication Manager Express tiene en cuenta varios factores para determinar el riesgo asociado con cada solicitud de acceso, entre ellos: Un conocimiento del usuario, como un nombre de usuario y una contraseña Un objeto del usuario, como una laptop o una PC de escritorio Una acción del usuario, como una autenticación reciente y la actividad de la cuenta RSA Risk Engine permite a las organizaciones asignar políticas personalizadas que se implementarán según su umbral de riesgo. Las organizaciones pueden asignar varios niveles de riesgo, de alto a bajo. RSA Authentication Manager Express también permite el establecimiento de niveles de riesgo según clases de usuarios. Las organizaciones pueden considerar distintas políticas de autenticación para perfiles de usuario diferentes sobre la base de su relación con la organización. Por ejemplo, es posible que las organizaciones tengan un mayor nivel de tolerancia al riesgo para el acceso de empleados que para el acceso de clientes o partners. Si RSA Risk Engine determina que el nivel de riesgo para una solicitud de acceso es inferior al límite permitido, se realiza una autenticación transparente del usuario. Sin embargo, si RSA Risk Engine determina que una solicitud de acceso se encuentra por encima del límite permitido, es posible que se le solicite al usuario que proporcione pruebas adicionales de su identidad. Perfil de dispositivo: un objeto del usuario RSA Risk Engine examina la información de cada solicitud de acceso de usuario según dos categorías principales: el perfil de dispositivo y el perfil de comportamiento. El primer componente, el perfil de dispositivo, permite la autenticación de la gran mayoría de los usuarios mediante el análisis del perfil de dispositivo de la laptop o la PC de escritorio físicas que generalmente utilizan para solicitar acceso y verifica si existen registros previos que asocien el dispositivo con el usuario. Los dos componentes principales del perfil de dispositivo son la identificación única del dispositivo y la identificación estadística del dispositivo. La identificación única del dispositivo permite identificar a un usuario mediante la incorporación de dos elementos principales en el dispositivo del usuario: (a) cookies seguras de origen y (b) objetos compartidos por Flash (también denominados Flash cookies ). Las cookies seguras de origen cumplen una función importante en la identificación de laptops y PC. Incluyen la ubicación de un identificador criptográfico único en el dispositivo del usuario y constituyen el mecanismo inicial que generalmente se utiliza para identificar a un usuario. Las Flash cookies se utilizan junto con las cookies de origen para brindar dos niveles de confiabilidad. RSA Authentication Manager Express utiliza Flash cookies para etiquetar la máquina de un usuario de la misma manera en que las cookies de origen almacenan información para recuperarla en otro momento. La ventaja de utilizar Flash cookies es que no se eliminan con tanta frecuencia como las cookies de origen, ya que la mayoría de los usuarios no sabe que existen. Incluso los usuarios que conocen su existencia no saben con seguridad cómo eliminarlas. PÁGINA 3

4 La identificación estadística del dispositivo es una tecnología que usa las características de un dispositivo para identificar a un usuario y asociarlo con un dispositivo específico de manera estadística. Este tipo de identificación, que también se conoce como análisis forense, análisis forense de dispositivos o identificación mediante huellas digitales para dispositivos, se usa, por lo general, como mecanismo de reserva en caso de no hallar un identificador criptográfico único (que puede eliminarse del dispositivo). Entre los elementos que se miden durante el proceso de identificación estadística del dispositivo, se incluyen los datos recopilados de encabezados HTTP y mediante Java script, por ejemplo, versiones de sistemas operativos, niveles de parches de sistemas operativos, resolución de pantalla, versión de navegador, datos de usuario/agente, versiones de software, parámetros de pantalla (tamaño y profundidad del color), idiomas, configuración de zona horaria, objetos de navegador instalados, software instalado, configuración regional y de idioma, e información de dirección IP. Perfil de comportamiento: una acción del usuario Además del perfil de dispositivo, RSA Authentication Manager Express tiene en cuenta el comportamiento de un usuario antes de asignar un nivel de riesgo a cada solicitud de acceso. La determinación del perfil de comportamiento se utiliza para identificar un inicio de sesión de alto riesgo mediante la medición de elementos, como velocidad, información de dirección IP y actividad de autenticación y de la cuenta (es decir, cambios recientes en el perfil del usuario o varios intentos fallidos de autenticación). Por ejemplo, si un usuario generalmente inicia sesión desde una oficina en Nueva York y, luego, intenta iniciar sesión desde una ubicación en Moscú, es probable que el sistema considere este comportamiento como inusual. Sin embargo, si el usuario viaja con frecuencia e inicia sesión desde ubicaciones diferentes del mundo de manera periódica, es posible que este comportamiento no se considere inusual. Figura 1. RSA Risk Engine tiene en cuenta docenas de elementos al asignar un nivel de riesgo a cada solicitud de usuario Información de IP Tokens específicos del dispositivo Patrones de comportamiento Perfil de dispositivo Historial de la cuenta PÁGINA 4

5 Autenticación adicional para solicitudes de acceso de alto riesgo RSA Authentication Manager Express puede recurrir a métodos adicionales de autenticación en caso de que una solicitud de acceso sobrepase el umbral de riesgo establecido por la organización. Particularmente, esto es usual en situaciones en las que un usuario remoto inicia sesión desde un dispositivo no reconocido y que no se ha utilizado anteriormente para acceder a la red. RSA Authentication Manager Express permite a las organizaciones elegir entre dos métodos: SMS (mensaje de texto) fuera de banda y preguntas de validación. Mensaje de texto SMS fuera de banda La validación mediante mensaje de texto SMS fuera de banda se inicia si el nivel de riesgo asociado con la solicitud de acceso es alto. Cuando esto ocurre, RSA Authentication Manager Express solicita al usuario que proporcione una prueba adicional de identidad mediante un proceso fácil de comprender. En primer lugar, el sistema solicitará al usuario que introduzca el PIN secreto que haya seleccionado al registrarse. Luego, el sistema generará un mensaje de texto SMS automático que se enviará al teléfono celular que el usuario haya registrado para la recepción de mensajes. El mensaje de texto SMS contiene un código único de ocho dígitos que el usuario debe introducir en el navegador web. Una vez que el sistema verifica el código, se permite el acceso inmediato del usuario. RSA Authentication Manager Express también brinda soporte para el envío por correo electrónico de una contraseña de un solo uso. El beneficio clave de la autenticación por SMS fuera de banda es que puede utilizarse con cualquier teléfono celular y no requiere que el usuario final adquiera hardware nuevo o instale software. Preguntas de validación Las preguntas de validación son preguntas que el usuario selecciona de una lista y para las que brinda respuestas durante el proceso de registro inicial o cuando una organización decide implementar una solución de autenticación sólida para los usuarios. Al usuario solamente se le solicitan las respuestas de un subconjunto de preguntas durante el proceso de autenticación a fin de minimizar el riesgo de que una persona no autorizada obtenga las preguntas y respuestas secretas del usuario. De manera alternativa, las organizaciones pueden personalizar su propio conjunto de preguntas en lugar de usar el conjunto de preguntas predeterminado que proporciona RSA Authentication Manager Express. Implementación y administración RSA Authentication Manager Express es un dispositivo Plug-and-Play que soporta servidores web y VPN con protocolo SSL líderes de manera inmediata. Además, mediante la configuración rápida de RSA, el servidor puede ponerse en funcionamiento con solo algunos pasos de manera sencilla. La implementación para los usuarios finales es igual de simple. RSA Authentication Manager Express puede conectarse directamente a un servidor de directorios existente y los usuarios son guiados automáticamente por un proceso de autorregistro cuando realizan la siguiente autenticación. Dado que el proceso de registro es completamente automático, los administradores pueden evitar el tiempo de aprovisionamiento que otros métodos de autenticación requieren. PÁGINA 5

6 Beneficios clave RSA Authentication Manager Express está diseñado para enfrentar los requerimientos de autenticación sólida de las pequeñas y medianas empresas. Rentabilidad. El diseño y el precio de RSA Authentication Manager Express se pensaron para satisfacer las necesidades de organizaciones con hasta 2,500 usuarios. Comodidad del usuario. RSA Authentication Manager Express permite que la mayoría de los usuarios se autentiquen mediante su nombre de usuario y su contraseña usuales. En estos casos, la autenticación de varios factores es transparente para el usuario, ya que RSA Risk Engine funciona en segundo plano. El único caso en que se solicita la validación del usuario es cuando RSA Risk Engine establece que la solicitud de acceso es de alto riesgo. Facilidad de implementación y administración. RSA Authentication Manager Express se proporciona en un dispositivo Plug-and-Play que soporta servidores web y VPN con protocolo SSL líderes de manera inmediata. Además, el proceso de registro es completamente automático, lo cual reduce el tiempo que tardan los administradores en provisionar y desprovisionar usuarios. Tecnología probada. RSA Authentication Manager Express utiliza la misma tecnología de autenticación basada en riesgos implementada por más de 8,000 organizaciones de diferentes sectores, como servicios financieros, servicios de salud, servicios de seguros, venta minorista y entes gubernamentales. Actualmente, la tecnología de autenticación basada en riesgos de RSA se utiliza para proteger más de 250 millones de identidades de usuarios y proteger el acceso a una variedad de aplicaciones y sistemas, entre ellos, sitios web, portales y aplicaciones de VPN con protocolo SSL. Conclusión RSA Authentication Manager Express permite a las pequeñas y medianas empresas realizar la transición hacia una autenticación sólida que sea rentable y conveniente para usuarios finales y administradores de TI. Gracias a RSA Authentication Manager Express, las pymes pueden evitar el acceso no autorizado, reducir el riesgo de filtración de datos, enfrentar requerimientos de cumplimiento de normas ajustándose a su presupuesto y ampliar con confianza los privilegios de acceso remoto a usuarios nuevos. PÁGINA 6

7 La verdad sobre los mitos de la autenticación sólida Mito Realidad Mi empresa usa contraseñas sólidas y nuestros empleados deben cambiarlas de manera regular para disminuir el riesgo. Es posible que las contraseñas sólidas que incluyen números, letras mayúsculas o caracteres sean difíciles de adivinar para un hacker, pero también son difíciles de recordar para los empleados. Por este motivo, es probable que los empleados escriban las contraseñas en papel o realicen otras acciones que, de hecho, incrementen el riesgo. La verdadera autenticación sólida requiere más de un factor, no solo una contraseña. Mi empresa no puede pagar el costo de la autenticación sólida. La autenticación sólida puede ser muy rentable, no solo para organizaciones de gran tamaño. Por ejemplo, el diseño y el precio de RSA Authentication Manager Express se pensaron específicamente para empresas con una base de usuarios pequeña y un presupuesto de TI limitado. El costo de la autenticación sólida excede sus beneficios. El costo de la autenticación sólida es muy inferior a los costos en los que su organización debe incurrir en caso de filtración de datos o multas y sanciones por incumplimiento de normas. Además, la autenticación sólida puede ayudar a crear oportunidades de negocios que generen nuevos ingresos y a optimizar los procesos del negocio, lo cual hace que el costo de una seguridad más sólida parezca insignificante. El blanco de las amenazas cibernéticas son solo las organizaciones de gran tamaño y los entes gubernamentales. Todo lo contrario. Los delincuentes cibernéticos atacan las pequeñas y medianas empresas de manera frecuente, ya que estas, por lo general, cuentan con controles de seguridad limitados, lo que las hace más vulnerables. PÁGINA 7

8 Acerca de RSA RSA es el principal proveedor de soluciones de seguridad, riesgo y cumplimiento de normas que ayudan a las organizaciones más importantes del mundo a alcanzar el éxito resolviendo los retos de seguridad más complejos y delicados. Estos retos incluyen la administración del riesgo organizacional, la protección del acceso móvil y de la colaboración, las pruebas de cumplimiento de normas, y la seguridad en ambientes virtuales y de nube. Mediante la combinación de controles críticos para el negocio en la comprobación de identidad, la prevención de pérdida de datos, la encriptación y Tokenization, la protección contra fraudes y SIEM con funcionalidades de egrc líderes del sector, RSA brinda confianza y visibilidad respecto a millones de identidades de usuarios, a las transacciones que realizan y a los datos que se generan. RSA, el logotipo de RSA, EMC², EMC y where information lives son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales utilizadas en este documento pertenecen a sus respectivos propietarios EMC Corporation. Todos los derechos reservados. AMX SB 0111