Por qué hace falta mejor autenticación y cómo lograrla
03 February, 2015
category: Seguridad en Internet
Por Josh Jabs, Vicepresidente Marketing Estratégico, Entrust Datacard
La gestión y autenticación de identidad son desde hace mucho tiempo un aspecto central en la seguridad de la información. Podemos asumir que una “mejor autenticación” es algo más que contraseñas. ¿Por qué? No creo que nadie sea muy fanático de las contraseñas, con razón Wiki tiene su propia entrada denominada “fatiga de las contraseñas”. A los departamentos informáticos usualmente no les agrada dar soporte a un gran número de esquemas y restablecimientos de contraseñas, y lo que es más importante aún, la usabilidad de las contraseñas no es muy buena considerando que interactuamos con una gran cantidad de servicios en línea — y ahora también móviles — y todos necesitan una contraseña.
Por tanto, si las contraseñas no son tan buenas para los usuarios, y las organizaciones en realidad no quieren emplearlas ¿Por qué son tan comunes? Históricamente, cuando hubo que implementar una autenticación “mejor”, la facilidad en el uso y los costos operacionales de las diferentes opciones constituyeron los principales obstáculos insalvables, salvo en entornos de alto valor.
Esto plantea la interrogante ¿Tendremos nuevamente otra década del mismo status quo en cuanto a las contraseñas? Es dudoso que así sea, y pienso que se puede decir con seguridad que estamos en medio de fluctuaciones reales que cambiarán de modo fundamental la forma en que las organizaciones manejan la autenticación en las aplicaciones de consumo, empresariales y de los ciudadanos.
Observemos qué es lo que impulsa este cambio.
En primer lugar, se desarrolla una mayor comprensión de las organizaciones respecto al riesgo que se corre en los entornos heredados, y esto está siendo impulsado por la atención que se presta a las violaciones de datos en las firmas comerciales, los incidentes cibernéticos a nivel de nación, y otros ataques de alto perfil.
Las ventajas operacionales de la nube, junto con los factores mencionados, desplazan el enfoque respecto a la seguridad informática desde las industrias de alta seguridad hacia la sociedad en general.
En segundo lugar, estamos observando también una consolidación de los servicios que ofrecen las organizaciones. No se trata solo de las áreas de mediano a alto riesgo, sino también en el entorno más amplio de consumo, de nube y social, y a través de aplicaciones como Facebook Connect y Google+ — que ahora brindan oportunidades para la consolidación de contraseñas. Y no se detienen en la consolidación, sino que cada uno de estos proveedores de servicios comienzan ya a ofrecer opciones de autenticación más allá de las contraseñas.
Y posiblemente el cambio más significativo es el que procede de la consumerización y la movilidad. Vale la pena ir un poco atrás y observar la consumerización, ya que pensamos que será el factor primario de impulso no solo en el entorno de consumo, sino que jugará un rol significativo en el entorno laboral digital y el de los servicios a ciudadanos.
En el espacio de consumo se producen rápidos cambios en el entorno móvil que están impulsando cambios significativos en las expectativas. Los móviles nos permiten tener acceso y recibir servicios personalizados y en tiempo real en cualquier lugar y momento — pensemos en Uber, ApplePay, Instagram, Snapchat, etc. Los consumidores ya esperan una experiencia sin problemas tanto en línea como en el hogar, sobre la marcha con sus dispositivos móviles, o en una tienda o sucursal.
Esa expectativa también ejerce presión sobre los entornos empresariales y en cómo los gobiernos interactúan con sus ciudadanos. Eleva el nivel y crea una expectativa diferente. Como ciudadanos, esperamos que nuestros gobiernos funcionen con la misma conectividad y brinden la misma conveniencia de nuestros comerciantes favoritos, sea viajando a través de las fronteras o accediendo a los portales electrónicos gubernamentales.
Como empleados, sacamos ventaja de las tecnologías y aplicaciones móviles para acceder a la información y colaborar en formas más productivas. Estas variaciones han ido ocurriendo gradualmente durante más de una década, con muchos cambios sutiles en las diferentes formas en que interactuamos con nuestro mundo, sin que apenas nos demos cuenta de ellos. Hoy día la conectividad y la consumerización han llegado a un punto álgido, los cambios se producen con mayor rapidez y los impactos son más críticos y complejos que nunca.
No obstante, tales cambios le ofrecen oportunidades a las organizaciones para establecer diferencias a través de su interacción con los consumidores y las relaciones que crean con sus usuarios. Hacen posible que las empresas logren incrementos en su productividad y fortalezcan la efectividad de su organización a través del entorno laboral digital, así como permite que los gobiernos ofrezcan servicios más efectivos y eficientes a los ciudadanos.
No obstante, precisamente cuando logramos cierto nivel de madurez en comprender cómo asegurar la organización, esas tendencias tecnológicas y de comportamiento cambian las reglas del juego. Para exacerbar aún más el asunto, los departamentos informáticos tienen que proteger ahora más información, y las organizaciones obtienen ventajas de los ahorros en costos operacionales y de tiempo de puesta en mercado (time-to-market) gracias a la nube. El resultado es un desplazamiento del entorno exclusivo Windows con una seguridad perimetral, a uno en que los servicios y los datos están disponibles en todo momento y lugar, y son provistos desde múltiples fuentes. Ese entorno eleva el nivel para las organizaciones que entienden quién — o qué — está consumiendo un servicio y lo que están tratando de hacer.
¿Y qué hacemos ahora para garantizar una mejor autenticación y mayor seguridad? ¿Acaso hemos de ir atrás a los debates del 2005 en cuanto a emitir tokens para todo el mundo? Eso no es probable. Pero hay un lado positivo en todo esto.
Cuando se utilizan correctamente, la proliferación de móviles y la disponibilidad de la información cambian la ecuación facilidad de uso vs. seguridad que ha frenado la adopción de una “mejor” autenticación. Ya la autenticación fuerte no equivale a una experiencia no tan buena para el usuario. El acceso a información permite tomar decisiones de autenticación “inteligentes” y basadas en el contexto.
Por ejemplo, los servicios de las aplicaciones de localización y conducción de coches que utilizamos actualmente, son magníficas porque obtienen información situacional – en qué lugar estás — para perfeccionar la respuesta a la necesidad del usuario “Quiero el recorrido a partir del lugar en donde estoy”.
Ahora la autenticación funciona de la misma manera. Las decisiones de autenticación pueden obtener información como por ejemplo, qué es lo que pretende hacer el usuario, y además a partir de qué, de dónde, etc. para evaluar el riesgo y seleccionar las técnicas de autenticación que se basan en políticas de riesgo establecidas por las organizaciones. Las plataformas móviles también son muy buenas para una autenticación fuerte y transparente. Pueden combinar la información contextual que señalamos anteriormente, con seguridad incorporada (certificados, generadores OTP y más) para una autenticación transparente.
Por último, no solo podemos lograr que parte de la autenticación sea transparente, sino que podemos utilizar la potencia informática y la conectividad del dispositivo para situar de nuevo al usuario en control de cosas tales como confirmaciones sobre acceso, firma de transacciones, y muchas más. Y todo esto funciona exactamente igual que el resto de las magníficas aplicaciones que se proveen para satisfacer las expectativas de los usuarios.
El quid de esto es recordar que no se trata simplemente de sustituir las contraseñas por una autenticación más fuerte. Se trata de comprender el cambiante comportamiento del usuario, el enfoque que como resultado de ello adoptarán las organizaciones para cubrir las expectativas de los usuarios, cualquier cambio en los perfiles de riesgo, y el uso de la misma tecnología y enfoques con el fin de no solo adaptar la autenticación al entorno, sino de posibilitar aplicaciones adicionales mediante la reducción del riesgo. Si hacemos bien esto, entonces no será simplemente una autenticación más fuerte, sino mejor.
Sobre el Panel de Expertos de AVISIAN Publishing
Al cierre de cada año, el equipo editorial de AVISIAN Publishing selecciona un grupo de líderes importantes de varios sectores del mercado para actuar como panelistas expertos. Se les pide compartir su visión única de diversos aspectos del mercado de tarjetas. Durante los meses de diciembre y enero las predicciones de esos panelistas se publican en SecureIDNews.