Los muchos beneficios de una fuerte autenticación
09 February, 2015
category: Seguridad física
Steve Bell, director tecnológico para seguridad, Gallagher
Un estudio global de 2014 sobre compañías con sede en los Estados Unidos, llevado a cabo por el Instituto Ponemon y Hewlett-Packard, encontró que el costo promedio del delito cibernético tuvo un incremento de más del 9% de año en año, siendo los más publicitados los recientes ataques de alto perfil contra Target y Home Depot.
Aunque la mayor parte de los ataques han estado dirigidos contra los servidores y redes informáticas, también quedan expuestas debilidades de seguridad de las credenciales de acceso y los protocolos de comunicaciones de campo.
Las credenciales tradicionales, como las de proximidad a 125 kHz, banda magnética, y las primeras tarjetas inteligentes sin contacto, han publicado compromisos de seguridad. En algunos casos, sencillamente carecen de alguna forma de autenticación. En otros, ha fallado la implementación criptográfica y en consecuencia se han expuesto. Los kits de herramientas que explotan esas debilidades pueden adquirirse en Internet por menos de $100. Frente a la realidad del incremento de esas amenazas a la seguridad, y los costos que implican, los empleados y consumidores tienen que considerar el empleo de productos y procesos de seguridad que implanten una fuerte autenticación y estándares de encriptación en todas las capas de sus sistemas de seguridad.
Además de enfocarse hacia los problemas de seguridad, la autenticación basada en estándares abiertos también puede mejorar la interoperabilidad de credenciales entre sitios, y la prueba futura de la inversión de un consumidor en sus credenciales y hardware de control de acceso. El primer intento verdadero de emplear la autenticación basada en estándares abiertos para el control de acceso físico se produjo con la emisión del estándar FIPS 201, introducido hace más de 10 años.
El estándar FIPS 201 documentó un proceso para la emisión de la credencial PIV (Verificación de Identidad Personal) y la autenticación fuerte, que permite que las credenciales sean interoperables entre sitios. Desarrollado inicialmente para las agencias del Gobierno Federal de EEUU, este estándar se ha ampliado para permitir credenciales PIV-I para contratistas de agencias federales, y credenciales CIV/PIV-C para sitios generales que quieren lograr los beneficios de seguridad e interoperabilidad que proporciona ese estándar. Cada vez más las organizaciones necesitan considerar si un enfoque de estándares abiertos para la autenticación es compatible con su sistema de control de acceso físico (PACS).
Aunque los beneficios de la autenticación fuerte están claros, muchas organizaciones evitan implementar esas medidas. El costo y tiempo asociado con el reemplazo de los sistemas heredados se cita en ocasiones como una razón por la cual los sitios dejan de implementar mejores procesos de autenticación. La sustitución del hardware de acceso y las credenciales, así como la re-capacitación del personal, pueden resultar caros y pueden también afectar la continuidad operacional.
Adicionalmente, las soluciones actuales para una autenticación más fuerte pueden disminuir la conveniencia y rapidez que los empleados esperan de un PACS. Por ejemplo, la autenticación más fuerte de credenciales entre una tarjeta de acceso y un lector de tarjetas puede requerir que se transfieran más datos entre la tarjeta, el lector y el panel de control, resultando en un rango de lectura de tarjeta más bajo, tiempos más lentos de acceso a puertas, y empleados frustrados.
Además, pese a la mayor publicidad sobre los ciberataques y sus costos, muchos consumidores de sistemas de seguridad siguen sin tener conciencia o no están convencidos de los riesgos y costos que puede implicar para sus organizaciones las insuficientes medidas de seguridad en sus organizaciones.
Hay varias pasos que la industria de seguridad puede dar para estimular que sus clientes adopten mejores medidas para la autenticación:
Reducir el costo del reemplazo del sistema heredado
Los productores de seguridad tienen la responsabilidad no solo de implementar medidas mejoradas para la autenticación en sus sistemas, sino también hacer que la migración a esos nuevos sistemas sea sencilla y rentable. Esto puede incluir medidas tales como proporcionar herramientas para la migración de las bases de datos, empleando infraestructura informática existente, proporcionando credenciales multi-tecnología, y reutilizando cableado ya existente de hardware para reducir el costo de cablear nuevo hardware.
Elevar la conciencia de los consumidores respecto a los riesgos y costos reales de los ataques electrónicos
La industria puede mejorar en la cuantificación de los riesgos y costos de los ataques electrónicos. Aunque las violaciones a los sistemas de control de acceso físico raramente reciben publicidad y por tanto es difícil cuantificarlas, colocar a los consumidores en escenarios hipotéticos de ataque puede ayudar a que logren apreciar mejor los potenciales costos de la pérdida de activos, IP, continuidad en los negocios y primas de seguros que puede producir un ataque.
Mejorar la facilidad de uso del acceso físico mediante implementación de autenticación fuerte
Los productores de seguridad tienen que mejorar continuamente el funcionamiento de todos los elementos de sus sistemas para brindar una fuerte autenticación sin comprometer la facilidad y conveniencia de las soluciones de acceso existentes. La mayoría de los empleados interactúan con el sistema de control de acceso físico solamente cuando usan las credenciales en las puertas, por lo que un buen rango de lectura de credenciales y la rapidez en la determinación del acceso son los elementos que crean en ellos su impresión duradera acerca del sistema. Esto significa asegurar que todos los elementos del sistema interactúen sin problemas para poder brindar la mejor experiencia al cliente, manteniendo al propio tiempo fuertes medidas de autenticación.
Adoptar métodos de credencial y autenticación de estándar abierto
La industria de seguridad tiene un importante rol que jugar cuando estimula la adopción de una autenticación fuerte. La industria puede hacer esto en primer lugar mediante el trabajo conjunto para adoptar arquitecturas de estándares abiertos para las credenciales que se emitan, y los mecanismos de autenticación que se emplean para validar la autenticidad de esas credenciales. Esto es cada vez más importante, ya que las credenciales se desplazan hacia el espacio móvil, en el cual nuevos formatos de credencial de propietario y métodos de autenticación amenazan conque una nueva generación de clientes dependa de los emisores de credenciales de propietario. Los estándares abiertos en esta área han de asegurar que las credenciales con fuerte autenticación puedan ser emitidas por una gran variedad de proveedores sin el riesgo de la dependencia respecto a un proveedor, y funcionan eficientemente en toda una amplia gama de sistemas de control de acceso físico.
Sobre el Panel de Expertos de AVISIAN Publishing
Al cierre de cada año, el equipo editorial de AVISIAN Publishing selecciona un grupo de líderes importantes de varios sectores del mercado para actuar como panelistas expertos. Se les pide compartir su visión única de diversos aspectos del mercado de tarjetas. Durante los meses de diciembre, enero y febrero las predicciones de esos panelistas se publican en SecureIDNews.