RSA Authentication Manager ExpreSS Análisis de la solución
A pesar de que los riesgos asociados a la autenticación basada exclusivamente en contraseñas no son nada nuevos, el 44% de las empresas sigue usando soluciones de este tipo para que su personal y otros agentes externos accedan a la información de forma remota 1. Lo cierto es que los sistemas de seguridad con contraseñas estáticas son más vulnerables que nunca a los intentos de acceso no autorizados: no hay más que advertir la aparición de amenazas cada vez más sofisticadas y el aumento imparable del robo de datos. Ante esta situación, la autenticación fuerte se perfila como la solución idónea para proteger el acceso a los datos y aplicaciones más importantes, pero las pequeñas y medianas empresas no siempre se deciden a dar el paso. Muchas carecen de recursos para proteger la red por completo y consideran que es poco probable que acaben siendo víctimas de un ataque. Según un estudio reciente de National Cyber Security Alliance, el 85% de las pymes considera que la ciberdelincuencia es un riesgo mucho mayor para las grandes empresas que para las de su tamaño 2. Desgraciadamente, quienes perpetran estos ataques saben que muchas pymes carecen de controles de seguridad avanzados y cada vez es más frecuente que aprovechen esta situación para apropiarse de sus datos confidenciales. Factores que dificultan la adopción de un sistema de autenticación fuerte Implantar un sistema de autenticación de dos factores presenta ciertas dificultades para las pymes. Los tres motivos principales por los que muchas descartan la idea son los siguientes: el coste; las molestias para los usuarios; la dificultad que suponen la implantación y la gestión del nuevo sistema. Factor 1: el coste El coste es una de las razones más frecuentes por las que las pymes se muestran reacias a adoptar un sistema de autenticación fuerte. Por ejemplo, para implantar una solución de contraseñas de un solo uso hay que adquirir el hardware necesario (los dispositivos para los usuarios y el servidor de autenticación) y la empresa tendrá que asumir los gastos de mantenimiento que generan la asistencia técnica y las actualizaciones del software. Dado que su presupuesto es limitado, muchas pymes se conforman con proteger el acceso mediante un sistema de inicio de sesión que simplemente solicite un nombre de usuario y una contraseña. Factor 2: las molestias para los usuarios Es muy importante que los usuarios se sientan cómodos con el sistema de autenticación fuerte que se decida utilizar. Antes de implantarlo, las empresas deben preguntarse si la productividad de los empleados se verá afectada o si habrá cierta reticencia a adoptar la nueva tecnología. Si los usuarios necesitan recurrir al servicio de asistencia telefónica con más frecuencia, aumentará el coste total de la solución. Factor 3: la implantación y la gestión En muchos casos, la implantación de una solución de autenticación exige un gran esfuerzo por parte del departamento informático. A largo plazo, pueden ser necesarias tareas de gestión como facilitar permisos o recursos a los usuarios (o retirárselos cuando corresponda) y distribuir hardware o software. Dado que el personal informático de las pymes suele ser limitado y tener una carga de trabajo ya excesiva, la empresa puede verse abrumada ante la idea de asignarle la gestión de una estrategia de autenticación fuerte. 1 Forrester Research, Best Practices: Implementing Strong Authentication in Your Enterprise, (Prácticas recomendadas para implantar un sistema de autenticación fuerte en su empresa), julio de 2009. 2 2010 NCSA/Visa Inc. Estudio sobre pequeñas empresas. Página 2
Autenticación fuerte para pequeñas y medianas empresas RSA Authentication Manager Express es una solución pensada para proteger de forma práctica y rentable a las pymes, teniendo en cuenta factores como el coste, la comodidad para los usuarios y la facilidad de gestión. Se trata de una plataforma de autenticación fuerte y multifactor para un máximo de 2.500 usuarios que facilita acceso seguro desde cualquier lugar a las aplicaciones y datos protegidos. Para ello, se integra con las principales soluciones VPN basadas en SSL y aplicaciones web. RSA Authentication Manager Express utiliza la tecnología de autenticación basada en riesgos de RSA, cuyo elemento más importante es RSA Risk Engine, un sistema sofisticado que asigna un nivel de riesgo a cada intento de autenticación. La peligrosidad se evalúa en tiempo real a partir de una serie de indicadores. Para determinar qué riesgo representa cada solicitud de acceso, RSA Authentication Manager Express analiza factores como los siguientes: información conocida por los usuarios, como nombres de usuario o contraseñas; sistemas pertenecientes a los usuarios, como ordenadores de sobremesa o portátiles; acciones de los usuarios, como actividades recientes en cuentas e intentos de autenticación. RSA Risk Engine permite crear políticas personalizadas para distintos niveles de riesgo, de manera que las empresas puedan aplicarlas cuando corresponda. También es posible establecer niveles de riesgo para distintos grupos de usuarios. En muchos casos, puede ser útil aplicar distintas políticas de autenticación a distintos perfiles en función de la relación del usuario con la empresa. Por ejemplo, la tolerancia al riesgo puede ser mayor en el caso de los empleados que en el de los clientes o partners. Si RSA Risk Engine determina que un intento de acceso está por debajo del nivel de riesgo permitido, la autenticación se realiza de manera imperceptible, mientras que si lo supera, el usuario deberá proporcionar más datos para demostrar su identidad. Perfiles de dispositivo: sistemas pertenecientes a los usuarios RSA Risk Engine examina dos tipos de información relacionada con cada intento de acceso: los perfiles de dispositivo y los perfiles de comportamiento. La detección del perfil de dispositivo basta para autenticar a la mayoría de los usuarios y consiste en analizar el perfil del equipo de sobremesa o portátil desde el que suelen acceder al sistema. Si se ha utilizado previamente, se considerará que el nivel de riesgo es aceptable. Este análisis consta de dos sistemas: la identificación de elementos distintivos y la identificación estadística. Para usar la primera, es necesario incrustar dos elementos en el dispositivo del usuario: (a) un tipo de cookies seguras denominadas first party cookies y (b) objetos compartidos de Flash (también llamados flash cookies). Las cookies del primer tipo desempeñan un papel importante a la hora de identificar equipos portátiles y de sobremesa. Son identificadores criptográficos que se colocan en el dispositivo del usuario y suelen ser el primer mecanismo para reconocerlo. Las flash cookies se combinan con las first party cookies para reforzar la fiabilidad de la autenticación. RSA Authentication Manager Express las utiliza para «etiquetar» el equipo de un usuario, mientras que las first party cookies se utilizan para almacenar información y recuperarla más adelante. La ventaja de las flash cookies es que los usuarios no las borran con tanta frecuencia como las first party cookies porque no saben que existen (o, aunque lo sepan, desconocen cómo eliminarlas). Página 3
La tecnología de identificación estadística (también denominada «análisis forense de dispositivos») se basa en las características de un dispositivo para identificar a un usuario por medios estadísticos y asociarlo a un equipo en concreto. Por lo general, se utiliza cuando no es posible detectar un identificador criptográfico en el dispositivo porque se ha borrado. En este tipo de identificación se analizan, por ejemplo, los datos de los encabezados http o los recopilados mediante scripts de Java : la versión del sistema operativo, las revisiones instaladas, la resolución de pantalla, la versión del navegador, datos relativos al agente de usuario, las versiones del software, parámetros como el tamaño de la pantalla y la profundidad del color, los objetos de navegador instalados, el software instalado, la dirección IP y la configuración regional, horaria y de idioma. Perfiles de comportamiento: acciones de los usuarios Además de examinar los perfiles de dispositivo, RSA Authentication Manager Express analiza el comportamiento del usuario antes de asignar un nivel de riesgo a sus intentos de acceso. Los perfiles de comportamiento sirven para identificar los inicios de sesión de alto riesgo en función de aspectos como la velocidad de identidad, la información sobre direcciones IP y la actividad en cuentas o los intentos de acceso (por ejemplo, cambios recientes en el perfil de un usuario o varios intentos de autenticación fallidos). Por ejemplo, si un usuario suele iniciar sesión en una oficina de Nueva York e intenta conectarse desde Moscú, es posible que el sistema lo considere inusual, mientras que si viaja con frecuencia y se conecta habitualmente desde distintos lugares del mundo, el mismo comportamiento podría considerarse normal. Figura 1: RSA Risk Engine evalúa decenas de elementos antes de asignar un nivel de riesgo a los intentos de acceso de los usuarios. 10.0.1.195 Información sobre direcciones IP Software de autenticación para dispositivos específicos Pautas de comportamiento Perfiles de dispositivo Historial de las cuentas Página 4
Métodos de autenticación adicionales para intentos de acceso de alto riesgo Si un intento de acceso no reúne los requisitos de seguridad mínimos establecidos por la empresa, RSA Authentication Manager Express hará que se utilicen otros métodos de autenticación. Esto ocurriría, por ejemplo, si un usuario intenta acceder a la red de forma remota con un dispositivo que no ha usado antes y que, por tanto, el sistema no reconoce. En casos como ésos, RSA Authentication Manager Express ofrece a las empresas dos métodos de autenticación entre los que elegir: SMS fuera de banda y preguntas de confirmación. Envío de mensajes de texto (SMS) fuera de banda Los mensajes de texto fuera de banda se envían cuando se considera que un intento de acceso supone un riesgo elevado. En ese caso, RSA Authentication Manager Express inicia un sencillo procedimiento con el que se solicita al usuario que demuestre su identidad de otro modo. En primer lugar, el usuario tendrá que indicar el PIN secreto que eligió al registrarse. A continuación, el sistema generará un SMS de forma automática y lo enviará al teléfono móvil designado para recibir mensajes. El mensaje contiene un código de ocho cifras que el usuario deberá escribir en su navegador para que el sistema lo verifique y le dé acceso inmediato. RSA Authentication Manager Express también permite enviar este código de un solo uso por correo electrónico. Este tipo de autenticación resulta muy cómodo porque puede utilizarse con cualquier teléfono móvil y el usuario no tiene que comprar ningún dispositivo ni instalar ningún programa. Preguntas de confirmación Cuando un usuario se registra (o en el momento en que su empresa empieza a utilizar un sistema de autenticación fuerte), debe responder a unas preguntas de confirmación que elegirá de una lista. Para evitar que alguien descubra estas preguntas y respuestas secretas, durante el proceso de autenticación sólo se formulará una parte elegida al azar. Las empresas que lo prefieran también podrán crear sus propias preguntas a partir de las prediseñadas que se incluyen en RSA Authentication Manager Express. Implantación y gestión RSA Authentication Manager Express viene instalado en un dispositivo que funciona en cuanto se conecta y es compatible con los principales servidores web y las soluciones VPN basadas en SSL más frecuentes. Gracias a RSA Quick Setup, bastan unos sencillos pasos para configurar el servidor. Los usuarios también podrán empezar a usar el sistema enseguida. Una vez que se conecte RSA Authentication Manager Express a un servidor de directorios existente, el sistema pedirá a los usuarios que se registren en su siguiente intento de autenticación. Dado que este proceso es totalmente automático y no es necesario que intervengan los administradores, éstos se ahorran las tareas que exigen otros métodos de autenticación. Página 5
Principales ventajas RSA Authentication Manager Express es una solución de autenticación fuerte adaptada a las necesidades de las pymes. Rentabilidad. RSA Authentication Manager Express es un producto pensado para las necesidades y presupuestos de empresas con un máximo de 2.500 usuarios. Comodidad para el usuario. Con RSA Authentication Manager Express, la mayoría de los usuarios se identifican con su nombre de usuario y contraseña habituales. En este caso, la autenticación multifactor se realiza de forma imperceptible porque RSA Risk Engine funciona en un segundo plano. Sólo cuando un intento de acceso se considera de alto riesgo se insta al usuario a identificarse de otro modo. Facilidad de implantación y gestión. RSA Authentication Manager Express viene instalado en un dispositivo que funciona nada más conectarse y es compatible con los principales servidores web y las soluciones VPN basadas en SSL más frecuentes. Como el procedimiento de registro es automático, los administradores apenas tienen que hacer nada para que los usuarios empiecen a usar el sistema (o para que dejen de utilizarlo). Tecnología de eficacia demostrada. La tecnología de autenticación basada en riesgos de RSA Authentication Manager Express es la misma que la que utilizan más de 8.000 clientes en ámbitos como los servicios financieros, la asistencia sanitaria, los seguros, el comercio minorista y el sector público. En la actualidad, la tecnología de este tipo que ofrece RSA protege más de 250 millones de identidades de usuario y da acceso seguro a toda una gama de aplicaciones y sistemas, como sitios web, portales y aplicaciones VPN basadas en SSL. Conclusión RSA Authentication Manager Express permite a las pequeñas y medianas empresas implantar un sistema de autenticación fuerte que, además de ser rentable, resulte cómodo para los usuarios y los administradores informáticos. Con su ayuda, las pymes están mejor equipadas para prevenir accesos no autorizados, reducir el riesgo de robos de datos, cumplir las normativas sin salirse del presupuesto y permitir que más usuarios accedan a la información desde donde lo deseen sin ningún peligro. Página 6
Verdades y mentiras sobre la autenticación fuerte Falso Verdadero En mi empresa usamos contraseñas complejas que los empleados tienen que cambiar periódicamente, así que estamos expuestos a un riesgo muy bajo. Aunque es cierto que las contraseñas complejas (aquéllas que incluyen números, letras mayúsculas o caracteres especiales) son difíciles de adivinar para un hacker, los empleados tienden a olvidarlas. Por este motivo, muchos acaban anotándolas o incurriendo en otros comportamientos inaceptables, lo que aumenta el nivel de riesgo. Una solución de autenticación fuerte debe basarse en más de un factor: no basta con usar una contraseña. La autenticación fuerte es demasiado cara. Mi empresa no puede permitírsela. Las ventajas de la autenticación fuerte no son tantas si se tiene en cuenta su coste. La autenticación fuerte puede resultar muy rentable, y no sólo para las grandes empresas. Por ejemplo, RSA Authentication Manager Express es un producto diseñado para empresas con un número de usuarios relativamente pequeño y un presupuesto informático limitado. Implantar un sistema de autenticación fuerte cuesta mucho menos que hacer frente a un robo de datos o pagar una sanción por incumplir las normativas. Además, si se tiene en cuenta que su uso ayuda a generar oportunidades comerciales (con el consiguiente aumento de ingresos) y a simplificar los procesos empresariales, el coste resulta insignificante. La ciberdelincuencia sólo afecta a las grandes empresas y al sector público. Nada más lejos de la realidad. Los ciberdelincuentes atacan con frecuencia a las pequeñas y medianas empresas porque saben que cuentan con controles de seguridad deficientes. Página 7
Perfil de RSA RSA, la división de seguridad de EMC, es el principal proveedor de soluciones de seguridad, gestión de riesgos y cumplimiento de las normativas para empresas. Muchos clientes de renombre utilizan sus productos para resolver cuestiones de seguridad complejas como la gestión de riesgos, la protección de los sistemas de colaboración y el acceso mediante dispositivos móviles, la demostración del cumplimiento de las normativas y la protección de entornos virtuales y de cloud computing. Las soluciones de RSA ponen a disposición de estas empresas excelentes funciones de control de identidades, prevención de pérdidas de datos, cifrado y tokenización, protección frente a fraudes, seguridad de la información y gestión de eventos (SIEM), gobernabilidad, gestión de riesgos y cumplimiento de normativas en la empresa (egrc) y servicios de consultoría. Gracias a ellas, millones de identidades de usuario, las transacciones que se realizan con ellas y los datos que se generan son más visibles e infunden más confianza. www.rsa.com RSA, el logotipo de RSA, EMC², EMC y «where information lives» son marcas registradas o comerciales de EMC Corporation en Estados Unidos y otros países. El resto de las marcas comerciales pertenecen a sus respectivos propietarios. 2011 EMC Corporation. Reservados todos los derechos. Publicado en Estados Unidos. AMX SB 0111