Principales consideraciones sobre autenticación para su estrategia móvil. agility made possible

Transcripción

1 Principales consideraciones sobre autenticación para su estrategia móvil agility made possible

2 La necesidad de autenticación móvil se ha vuelvo masiva Según un viejo dicho, los consumidores hablan a través de sus bolsillos. Aunque ese dicho aún está vigente, es posible que pronto los consumidores comiencen a hablar a través de sus dispositivos móviles. El hecho es que el uso de dispositivos móviles ha estado creciendo a un ritmo fenomenal. De acuerdo con Forrester Research, mil millones de consumidores tendrán smartphones en Sólo los consumidores estadounidenses poseerán 257 millones de smartphones y 126 millones de tablets. 1 El impacto en los hábitos de compra es significativo. Así lo señalan las recientes estadísticas de consumidores de Nielsen 2 : 79% de los dueños de smartphones y tablets en los EE.UU. han utilizado sus dispositivos móviles en diversas actividades de compra. Entre esas actividades, el 36% de los usuarios de smartphones ha canjeado cupones móviles, mientras que el 29-42% de los usuarios de tecnologías móviles y tablets ha comprado artículos a través de sus dispositivos. Hacer búsquedas y localizar tiendas son algunas de las actividades más realizadas por todos los usuarios. Teniendo en cuenta estos datos, no es de extrañar que muchos consideren a la tecnología móvil como el nuevo punto de contacto con el cliente. Forrester estima que el gasto en tecnología móvil alcanzará los millones de dólares, mientras que el mercado de apps móviles llegará a los millones en Las empresas responden con más apps móviles Con la lealtad del cliente en juego y la presión competitiva en aumento, cada vez más empresas están aumentando sus presupuestos para apps móviles y sus esfuerzos de desarrollo. De ese modo, no sólo esperan mejorar su capacidad para vincularse con los clientes, sino también lograr los beneficios de un modelo de negocios de bajo costo. 1 Mobile is the New Face of Engagement, Forrester Research, Inc., 13 de febrero de How U.S. Smartphone and Tablet Owners Use Their Devices for Shopping, 3 de marzo de 2012, nielsen.com. 02

3 La necesidad de autenticación móvil se ha vuelvo masiva continuación La consumerización de TI también se extiende al lugar de trabajo. Estimuladas por los ejecutivos y los empleados remotos que desean trabajar de manera más productiva, las iniciativas BYOD (Bring Your Own Device) están cada vez más presentes en empresas de todos los tamaños. Sin embargo, para respaldarlas adecuadamente, es necesaria una estrategia de autenticación flexible que tenga en cuenta los tipos y el número de dispositivos involucrados. 52% de todos los que trabajan con información, utilizan tres o más dispositivos en la oficina; 60% de todos los dispositivos reportados se utilizan para propósitos tanto laborales como personales. 3 Preocupaciones de seguridad - % de Muy importante Dispositivos robados o datos corporativos expuestos Malware introducido en la red corporativa Requisitos de cumplimiento Datos en dispositivos que pasan de un empleado al siguiente empleador 41% 48% 61% 58% Era mucho más fácil proteger sus datos y transacciones empresariales cuando los empleados sólo accedían a los sistemas de la empresa a través de las estaciones de trabajo en el lugar. Una encuesta reciente de CA muestra las múltiples preocupaciones de seguridad que los directores de seguridad de la información enfrentan hoy en día a causa de las iniciativas BYOD Cuestiones legales sobre propiedad de los datos Falta de integración con los sistemas de TI tradicionales Costo de brindar soporte técnico 35% 29% 26% n=353 Fuente: CA Spring 2012 Security Market Survey, junio de Info Workers Using Mobile And Personal Devices For Work Will Transform Personal Tech Markets, Forrester Research, Inc., 22 de febrero de

4 La movilidad presenta otras preocupaciones de seguridad Desde los clientes hasta los empleados, la consumerización de TI está aquí para quedarse. Francamente, está complicando mucho la seguridad. Un gran número de personas están usando diversos sistemas operativos, dispositivos y aplicaciones móviles para acceder a datos confidenciales y realizar transacciones. Estas actividades deben ser protegidas adecuadamente para evitar el robo de identidad y la pérdida de datos de la organización. Las consideraciones tradicionales, tales como la seguridad, la practicidad y el costo, siempre han jugado un papel importante en la autenticación, pero, con la movilidad, la practicidad para el usuario es más importante que nunca. Además, como el número de usuarios móviles sigue creciendo, las demandas de acceso pueden llegar a máximos históricos, haciendo que la escalabilidad sea extremadamente crítica. Mientras tanto, los dispositivos perdidos y los problemas de autenticación han crecido como aspectos a tener cada vez más en cuenta. Sin embargo, a medida que su organización impulsa una interacción online cada vez mayor con el cliente, y las políticas BYOD están cada vez más presentes en el lugar de trabajo, los riesgos para la seguridad móvil pueden crecer rápidamente a lo largo de la gran cantidad de usuarios y puntos de acceso potenciales. Las preocupaciones de seguridad se ven agravadas por el creciente uso de los servicios en la nube en el trabajo por parte de los empleados y partners. Para proteger la información de su empresa y sus consumidores en estas condiciones, necesitará una estrategia de seguridad sólida que aborde, y proporcione mecanismos eficaces para, la autenticación móvil. Foco tradicional Seguridad Practicidad Costo Nueva dinámica PRACTICIDAD PARA EL USUARIO ESCALABILIDAD Dispositivos perdidos Control limitado o inexistente de los dispositivos Protección de credenciales Costos de soporte Flexibilidad/tiempo de salida al mercado Inteligencia de negocios 04

5 Hacia una estrategia unificada para la seguridad móvil Una estrategia integral para la seguridad móvil debe abordar los numerosos desafíos para proteger los datos. Pero un enfoque en la administración de la autenticación y los accesos es un buen lugar donde empezar. A la hora de mitigar los riesgos en estas áreas, es importante tener una visión completa de todas las iniciativas móviles en juego dentro de su organización. Por ejemplo: Qué apps móviles actuales están en desarrollo, quiénes son los usuarios previstos y cómo accederán a esas apps? De qué manera los equipos de desarrollo de apps móviles en diferentes unidades de negocio o áreas geográficas resolverán sus problemas de seguridad y autenticación? Será necesario habilitar la autenticación segura para los dispositivos no tradicionales, tales como quioscos o coches, en el futuro? Una vez que haya capturado esos detalles con respecto a las operaciones actuales y las necesidades a futuro, podrá identificar las brechas o los obstáculos de seguridad que deben abordarse a medida que avanza. Es esencial saber qué requisitos tiene por delante para crear una estrategia de autenticación móvil que proporcione protección a largo plazo para las aplicaciones y servicios móviles a los que acceden personas internas y externas. 05

6 Las prácticas de seguridad fragmentadas presentan desafíos adicionales Algunas de las prácticas de desarrollo actuales pueden dificultar, en lugar de simplificar, la entrega de apps móviles seguras. Para empezar, su organización puede estar impulsando el desarrollo y la implementación de nuevas apps rápidamente. Además, si está trabajando por fuera de otros grupos de desarrollo, es posible que carezca de un enfoque empresarial coordinado a la hora de cumplir con los plazos. Esto puede crear varios problemas: El empleo de políticas de seguridad y autenticación diferentes para dispositivos móviles, web y no tradicionales (como máquinas expendedoras), que conduce a demandas separadas de mantenimiento, soporte y control. El desarrollo de una seguridad específica para la administración de identidades y accesos en cada nueva aplicación y servicio, lo cual es muy ineficiente y retrasa el tiempo de salida al mercado, que puede ser crítico en situaciones competitivas Política de seguridad $ Empleados, partners, clientes Web, navegador móvil, Ubicación de la aplicación aplicaciones móviles (nube, en el lugar) Un enfoque coordinado para la autenticación y el acceso debería incluir todos sus métodos de interacción móvil y online con el usuario, para que los datos confidenciales siempre estén protegidos, sin importar cómo y desde dónde se acceda a ellos. La falta de coordinación en los esfuerzos de desarrollo, que resulta en una experiencia de usuario inconsistente en lo que respecta a la autenticación a través de diversos métodos de interacción, como la Web, la Web móvil y las aplicaciones móviles nativas. Estos enfoques fragmentados hacen difícil o imposible rastrear la actividad del usuario en los métodos de interacción para controlar la seguridad y la inteligencia de negocios/marketing. 06

7 Cómo implementar un enfoque efectivo para la autenticación móvil Por otro lado, cuando se estandarizan y unifican los procesos de autenticación móvil dentro su estrategia general de seguridad, es posible crear una capacidad integral para interactuar de forma segura con los clientes y empleados. Grupos de usuarios móviles Puntos de acceso Seguridad centralizada en todos los canales Repositorio de identidades Acceso protegido La implementación de políticas de acceso que pueden aplicarse a varios métodos de interacción proporciona una experiencia más sencilla y consistente, mientras simplifica su administración y reduce los costos de soporte. Empleados Clientes Web Navegador móvil Acceso web Autenticación sólida Administración de sesiones Aplicación $ Partners Apps móviles nativas Políticas Capacidades Política común de seguridad para la administración de accesos Capacidad de utilizar el repositorio de identidades existente Política de seguridad única para todos los accesos, navegadores grandes (equipo de escritorio), navegadores pequeños (navegador móvil) y apps nativas Varios métodos de administración de sesiones para diversos canales de acceso Benefícios Permite implementar nuevas aplicaciones más rápidamente Genera un registro de auditoría común para todos los puntos de acceso No es necesario crear seguridad específica para cada plataforma Brinda soporte para dispositivos corporativos o personales 07

8 Cómo implementar un enfoque efectivo para la autenticación móvil continuación A medida que avanza con las iniciativas de movilidad para ampliar el acceso a las apps empresariales, puede comenzar con la integración de los usuarios móviles en su solución actual de administración de identidades y accesos (IAM). Esto le proporciona una forma rápida de aprovechar las capacidades de administración centralizadas, mientras ofrece una experiencia común para el usuario. El tipo de enfoque de autenticación que tome desde este punto depende de la app específica, y de cómo y donde espera que sea utilizada. Por ejemplo: Qué plataformas móviles (y no móviles) debe adaptar para permitir el acceso del cliente o el empleados a la app? La aplicación es una app móvil nativa o una app web? Cada una tendrá requisitos de soporte específicos. De qué manera los usuarios interactúan con la app? El usuario deberá acceder a otra app para completar una transacción específica? Cuán confidenciales son los datos y las transacciones relacionadas con la app en cuestión? Una vez que ha tratado estos temas, junto con los factores de conveniencia y el volumen previsto de usuarios, podrá asignarlos al enfoque de autenticación más adecuado para el manejo de las cuestiones de seguridad relacionadas con la aplicación. 08

9 Métodos para la autenticación móvil El uso de un nombre de usuario y contraseña básicos, o incluso sin autenticación, puede ser suficiente para permitir el acceso a aplicaciones móviles de bajo riesgo. Sin embargo, cuando una aplicación contiene datos más confidenciales de los clientes o de la compañía, se debe garantizar una forma más fuerte de información de autenticación. Un enfoque por capas, que le permite evaluar múltiples factores de riesgo y requerir un nivel adecuado de autenticación, proporciona una mayor seguridad para proteger los datos y transacciones más confidenciales. Veamos las diversas tácticas que puede emplear para abordar sus requisitos de autenticación fuerte. 1 Aplicaciones en el lugar Autenticación de dos factores fuera de banda: este método es útil cuando los usuarios intentan acceder a sus aplicaciones web a través de una computadora portátil, tablet o estación de trabajo, y desea autenticar su identidad más allá de su nombre de usuario y contraseña. Implica la utilización de un dispositivo separado (teléfono móvil) en el proceso de autenticación para proporcionar una mayor seguridad. Por ejemplo, puede enviar una contraseña de un solo uso (one-time-password OTP-) a los smartphones de los usuarios por , correo de voz o SMS después de que hayan suministrado sus credenciales iniciales, lo que funciona como una confirmación secundaria cuando se han detectado riesgos elevados o cuando necesitan restablecer su contraseña. Aplicaciones en la nube 4 3 Fuera de banda 2 App móvil de OTP O Envío de OTP por SMS, , voz La contraseña de un solo uso (OTP) puede ser enviada al teléfono del usuario para proveer seguridad adicional cuando el usuario está accediendo a las aplicaciones web desde cualquier otro dispositivo. 1. El usuario inicia sesión 2. Se envía la OTP al teléfono del usuario a través de SMS, o mensaje de voz 3. El usuario ingresa la OTP para completar el inicio de sesión 4. Accede a la aplicación 09

10 Métodos para la autenticación móvil continuación Autenticación fuerte integrada en aplicaciones móviles nativas: la primera línea de defensa contra las potenciales amenazas de seguridad comienza durante el desarrollo de aplicaciones móviles. Cualquiera sea el lugar de su empresa donde tengan lugar las iniciativas de desarrollo, podrá aprovechar un SDK común de autenticación fuerte e integrar las bibliotecas de software necesarias para crear un nivel consistente de seguridad en sus aplicaciones móviles nativas. Autenticación basada en riesgos, que incluye la identificación de dispositivos: transparente para el usuario, esta forma de autenticación realiza una evaluación en segundo plano y en tiempo real de los factores contextuales, como la identificación del dispositivo, la localización geográfica, los detalles de la transacción y ciertos datos históricos para evaluar el riesgo. Si se identifica una actividad sospechosa, es posible pedir al usuario que proporcione autenticación adicional, emitir una alerta o simplemente denegar la actividad. Firma de transacciones: la firma de transacciones añade otra capa de seguridad a los métodos de autenticación de dos factores, al requerir que un usuario firme digitalmente una transacción para lograr una mayor protección contra las nuevas formas de fraude web. En este escenario, el cliente debe confirmar la transacción online ingresando (en su dispositivo móvil) su PIN y otros detalles de la transacción, como el monto, el número de cuenta o el beneficiario. Una vez que se verifican esos elementos, el cliente recibe una contraseña de un solo uso para confirmar la transacción. Este proceso ayuda a evitar los ataques del tipo man-in-the-middle o man-in-the-browser, a través de los cuales los hackers intentan cambiar el monto y la información del beneficiario para cometer fraude. 10

11 Su estrategia móvil necesita un enfoque de autenticación coordinado Los dispositivos móviles son muy utilizados por los clientes y empleados, proporcionando a su empresa la oportunidad de emplearlos como un elemento clave en la autenticación fuerte. El número cada vez mayor de aplicaciones móviles nativas y aplicaciones web móviles también requiere formas nuevas y sencillas de autenticación fuerte que permitan el acceso directamente desde el dispositivo móvil. Para ser eficaz, su estrategia móvil requiere un enfoque coordinado para la autenticación a través de todos estos escenarios. Ampliar fácilmente el acceso a las apps móviles y a una amplia gama de dispositivos móviles Obtener una visión de sus clientes a través del canal, para que pueda mejorar el vínculo con ellos Aumentar la productividad de los empleados a través del acceso a las apps en todo momento y lugar Escalar de forma segura para trabajar con grandes volúmenes de dispositivos y apps Impulsar la seguridad, prevenir el fraude y mejorar el cumplimiento 11

12 Soluciones de autenticación s móvil de CA Technologies Al trabajar con CA Technologies, podrá abordar una amplia gama de desafíos en la autenticación móvil a través de soluciones unificadas que ayudan a reducir la exposición potencial a cualquier actividad maliciosa en sus entornos de TI tradicionales o en la nube. Nuestras soluciones de autenticación móvil brindan un enfoque de seguridad de varias capas. Incluyen: CA AuthMinder : ofrece una amplia gama de credenciales de autenticación fuerte y métodos fuera de banda para lograr interacciones online más seguras. Esto le permite incorporar la protección de múltiples factores a través de métodos fuera de banda, credenciales OTP o credenciales PKI para la protección adicional contra ataques de seguridad de fuerza bruta o del tipo man-in-the-middle. Las capacidades de firma de transacciones también están disponibles para ayudar a proteger las actividades de compra, transferencia o pago. CA RiskMinder : permite la evaluación transparente del riesgo en varios canales y la detección de fraudes mediante reglas y análisis estadísticos basados en el riesgo, para detectar y bloquear el fraude en tiempo real. Puede utilizar estas capacidades para crear un proceso de análisis de riesgos específico que calcule el potencial de fraude de cada inicio de sesión y transacción online en base al nivel de riesgo, los perfiles del usuario y el dispositivo, y las políticas de la organización. CA SiteMinder : incluye inicio único de sesión, autenticación flexible, autorización basada en políticas, administración de sesiones y auditoría, para proporcionar una solución de seguridad consistente a través de múltiples canales de acceso y plataformas. CA CloudMinder Advanced Authentication: proporciona autenticación como un servicio (SaaS), incluyendo las capacidades de CA AuthMinder y CA RiskMinder. Ofrece una forma rápida y rentable para implementar y administrar una variedad de métodos de autenticación fuerte, y proteger tanto inicios de sesión como transacciones. 12

13 Conozca más, para avanzar con confianza Si desea más detalles acerca de cómo CA puede respaldar sus iniciativas de movilidad, acceda a nuestro último seminario web sobre autenticación móvil También puede leer más acerca de nuestro enfoque descargando el whitepaper sobre cómo vincularse con sus clientes móviles mientras protege datos confidenciales, o simplemente: Contáctenos en CA Technologies (NASDAQ: CA) es una empresa soluciones y software de administración de TI, con experiencia en todos los entornos de TI, desde mainframe y distribuidos, hasta virtuales y de nube. CA Technologies administra y protege entornos de TI y permite a los clientes entregar servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proveen información y control esenciales para que las organizaciones de TI impulsen la agilidad en el negocio. La mayoría de las empresas Global Fortune 500 confían en CA Technologies para administrar los cambiantes ecosistemas de TI. Para más información, visite CA Technologies en ca.com/ar. Copyright 2013 CA. Todos los derechos reservados. Todas las marcas registradas, nombres comerciales, marcas de servicio y logotipos mencionados aquí pertenecen a sus respectivas compañías. Este documento debe utilizarse solamente para fines informativos. CA no asume ninguna responsabilidad por la precisión y la exhaustividad de la información. dentro de los límites permitidos por las leyes aplicables, CA proporciona este documento tal cual está sin garantía de ninguna clase, incluyendo, aunque no limitada a, cualquier garantía implícita de comerciabilidad, adecuación para un propósito o no incumplimiento. Bajo ninguna circunstancia CA será responsable por cualquier pérdida o daño, directo o indirecto, por el uso de este documento, incluyendo, aunque no limitada a, ganancias perdidas, interrupción en los negocios, buena voluntad o datos perdidos, incluso si CA es notificada por adelantado sobre la posibilidad de tales daños. CA no proporciona asesoramiento legal. Ni este documento ni ningún producto de software mencionado en este documento sirve como un sustituto de su cumplimiento de las leyes (incluyendo pero no limitado a cualquier ley, estatuto, reglamento, regla, directiva, norma, política, orden administrativa, orden ejecutiva y así sucesivamente (colectivamente, las Leyes )) mencionadas en este documento o de cualquier obligación con terceros. Usted debe consultar con un abogado competente en relación con cualquiera de dichas leyes u obligaciones contractuales.