jueves 18 de octubre de 2018
Revista Innovación Seguridad » Control de accesos » 21 feb 2016

ACCESO SEGURO SIN NECESIDAD DE TARJETA

Las organizaciones no se transformarán en móviles, ya lo son. Es la forma en que trabajan hoy las empresas, pero la movilidad generalizada trae consigo retos para los profesionales de TI y la seguridad.Los dispositivos móviles cambian el panorama de seguridad. HID Global integra la tecnología móvil a la arquitectura de control de acceso.


La computación en nube ayuda a las organizaciones a funcionar con menos infraestructura, reduciendo costos de capital a la vez que hacen disponibles los recursos de la empresa para un equipo de trabajo global. Gartner estima que para el 2017 más del 50 por ciento de las organizaciones se habrán mudado a servicios basados en nube.

Al mismo tiempo la popularidad de los dispositivos móviles ha diluido la línea entre la oficina y el hogar. De acuerdo con la reciente investigación de Forrester, el uso mundial de la tableta y el teléfono inteligente en la empresa se está elevando: casi el 20 % de las compras de tabletas en el mundo para 2017 las realizarán directamente las empresas, permitiendo a los empleados un acceso más fácil a los documentos de la compañía conforme se trasladan de la oficina a la casa y a todos los puntos intermedios.

Los dispositivos móviles cambian el panorama de seguridad
En un mundo móvil basado en la nube, los usuarios necesitan soluciones que permitan un acceso rápido a información y servicios. Los métodos actuales de autenticación diseñados para el uso con teclados, son incómodos o en ocasiones son imposibles con dispositivos móviles. Más aún, el aumento en "trae tu propio dispositivo móvil" (BYOD) en el lugar de trabajo, aumenta los riesgos de seguridad para una organización. De acuerdo con un estudio realizado por HID Global y los profesionales globales de TI de Tech Target en el 2015, casi la mitad de los encuestados respondieron que el aumento en la movilidad ha incrementado el riesgo de filtraciones de seguridad y/o pérdida de información.

Tanto los gerentes de TI como los usuarios finales respaldan la necesidad de soluciones de autenticación que les permitan ser productivos rápidamente sin escribir códigos o palabras clave adicionales. Los empleadores necesitan equilibrar entre proporcionar una experiencia de usuario amigable y sencilla y la protección de los activos de la empresa del malware, pérdida y robo.

A continuación describiremos el panorama de la seguridad para los dispositivos móviles y cómo las comunicaciones de campo cercano pueden mejorar la experiencia del usuario en los dispositivos móviles, a la vez que permiten a las compañías proteger sus activos y gestionar eficientemente los costos.


Soluciones actuales de seguridad para dispositivos móviles
Todas las organizaciones quieren validar la identidad de las personas que acceden a la información de la compañía y asegurarse de que tengan los derechos para hacerlo. Pero los métodos de autenticación existentes no engranan bien con los dispositivos móviles.

Autenticación de dos factores

La autenticación de dos factores combina una autenticación de un solo registro, una combinación de nombre de usuario y contraseña (OTP) generada por un dispositivo de hardware, correo electrónico o texto. La contraseña única proporciona un nivel de seguridad adicional para un proceso de un solo registro.

Pero escribir contraseñas usando un teléfono o una tableta no es fácil. Las compañías generalmente requieren contraseñas complejas, y esto en un dispositivo móvil significa cambiar entre los teclados de caracteres, numéricos y símbolos para ingresar una contraseña. Si un usuario tiene que conectar un dispositivo de hardware para generar una contraseña OTP o esperar un correo electrónico o un mensaje de texto, el proceso puede demorar aún más. Los protocolos de autenticación sencilla o de dos factores también son proclives a ataques de suplantación.

Tarjetas inteligentes y certificados
Las tarjetas inteligentes y los certificados proporcionan un alto nivel de seguridad con base en la criptografía asimétrica. Estas soluciones requieren de un lector para la autenticación, lo cual con frecuencia no es físicamente posible con un dispositivo móvil. Están disponibles las mangas de lector para dispositivos móviles, pero son voluminosas para usarse. Cada manga cuesta entre 100 y 200 dólares, las mangas son soluciones caras para que las adquiera y gestione una organización.

Cómo funcionan las comunicaciones de campo cercano en dispositivos móviles
Las comunicaciones de campo cercano (NFC) es un protocolo de comunicación inalámbrica con base en normas ISO de radiofrecuencias de identificación (RFID). NFC no requiere de una etapa de descubrimiento y emparejamiento, así que el tiempo de conexión es tan rápido como 0.1 milisegundos. En comparación con el tiempo de conexión de una conexión Bluetooth que es de aproximadamente seis segundos.
Usando la tecnología NFC, dos teléfonos inteligentes pueden intercambiar contactos, fotos y otra información entre sí. Los usuarios con teléfonos habilitados con NFC pueden pagar por compras y almacenar pases de abordar electrónicos de línea aérea, boletos para eventos e identificación de productos entre otros usos. Las aplicaciones basadas en NFC se usan en la venta al detalle, la atención de la salud, la tecnología ecológica, la industria automotriz y la educación, así como también en otros mercados.

Experiencia amigable de usuario
Los chips NFC están incrustados en los teléfonos inteligentes, dispositivos móviles y computadoras portátiles. De acuerdo con RapidNFC, los 10 principales fabricantes de teléfonos venden todos dispositivos móviles con tecnología NFC integrada. La experiencia para los usuarios finales resulta familiar y sencilla. Sólo necesitan tocar su teléfono contra otro dispositivo.

Diseñada para protección
NFC es fundamentalmente segura porque solamente funciona en rangos extremadamente cortos, de puntos de toque o de unos cuantos centímetros. Un pirata cibernético necesitaría estar incómodamente cerca para aprovecharse de la señal de un usuario de dispositivo móvil cercano.

Más aún, el circuito integrado de los dispositivos NFC está construido con mecanismos de seguridad más allá de los procesadores normales. Cada circuito está diseñado con una firma digital exclusiva para protección contra ataques tanto de software como de hardware.

Las soluciones de seguridad para la fuerza de trabajo móvil
ActivID Tap Authentication de HID Global
En el lugar de trabajo los empleados esperan acceder a las aplicaciones en nube, información y servicios desde cualquier lugar y a todos los lugares. HID Global, un líder en la creación y gestión de identidades seguras, usa la tecnología NFC para ofrecer una experiencia rápida de autenticación que reemplaza las contraseñas de doble factor OTP en dispositivos móviles.

Simplificar la experiencia del usuario
La solución de autenticación por toque ActivID Tap Authentication confirma la identidad de usuario exclusivo usando la misma tarjeta para el acceso tanto físico como virtual. Un usuario puede acceder a las aplicaciones en nube y los servicios en teléfonos, tabletas y computadoras personales en segundos, con sólo un toque a la misma tarjeta que usó para ingresar a un edificio.

Entregando valor de negocios
Para las organizaciones que ya usan tarjetas inteligentes para el acceso físico, ActiveID Tap Authentication puede ahorrarles mucho el costo de investigación y la gestión de hardware adicional. Debido a que la autenticación por toque ActiveID usa una nube para autenticar a los usuarios, las organizaciones se pueden mover a un modelo basado en suscripciones, en lugar de un modelo común de licencia perpetua con métodos más antiguos de autenticación. El precio por la autenticación por toque ActivID Tap Authentication es de dos dólares por usuario cada mes, con un mínimo de 12 meses de suscripción, haciendo que la protección de seguridad sea accesible para negocios de cualquier tamaño.

La sociedad de HID y Microsoft
La plataforma de autenticación por toque ActivID Tap Authentication está integrada dentro del entorno de los servicios de federación de Microsoft Active Directory y de Microsoft Windows Server 2012 R2. Es un proceso sencillo de tres pasos para conectarse, ahorrando la contratación de servicios profesionales.
La autenticación por toque ActivID Tap Autentication funciona con Microsoft Office 365, Salesforce.com y más de 2200 aplicaciones en nube. La solución está disponible en el portal de My Apps, permitiendo a los usuarios acceder a las aplicaciones en nube con una simple cuenta albergada en el Microsoft Azure Active Directory.

Juntos, HID y Microsoft hacen posible autenticación en tiempo real para usuarios de movilidad. La autenticación por toque ActivID Tap Authentication aprovecha las características de seguridad de la tecnología NFC y funciona con Azure Authentication y el poder de Azure Active Directory para ofrecer a los usuarios finales acceso cómodo y seguro sin importar qué dispositivo puedan estar usando.
Esta solución única brinda a los gerentes de TI una mejor visibilidad y control de usuarios autenticados y un solo punto de revocación, reduciendo los riesgos en seguridad, permitiéndoles adoptar BYOD y lograr ahorros en costos mediante el uso de tarjetas y credenciales existentes.
Tanto para el usuario final como para el gerente de TI, la autenticación por toque ActivID Tap Authentication hace que la seguridad sea más fácil y rápida.
    

Consideraciones administrativas
El manejo de gafetes y tarjetas de identidad puede ser una tarea que lleve mucho tiempo al personal de seguridad. Los beneficios del acceso móvil no se limitan a la comodidad de abrir puertas. Los dispositivos móviles conectados introducen nuevas posibilidades para administrar las identidades móviles en un tiempo real cercano. Al usar un portal basado en la nube, para manejar centralmente las identidades, libera el tiempo del personal que actualmente maneja los gafetes físicos. Un sistema de administración de identidad móvil robusto tiene procesos comprobados para la administración de empleados y estudiantes y todo el ciclo de vida de las identidades móviles, aumentando la eficiencia de los administradores de seguridad.

Una característica principal que se debe considerar al implementar el control de acceso móvil, es la forma como un empleado se le otorga y entrega la identidad móvil. Simplemente al añadir un nombre de usuario y el correo electrónico, se debe accionar el proceso de envío de un correo electrónico de invitación a un empleado, con las instrucciones para instalar la aplicación. Cuando la aplicación esté instalada y configurada, la identidad móvil correcta se debe entregar al dispositivo móvil y el administrador de seguridad deberá notificar cuando el proceso esté completo. En compañías más grandes, debe ser posible cargar datos masivos de usuarios a partir de un archivo. La plataforma de identidad móvil deberá validar los datos, y para cada usuario, pasar por el proceso de enviar el correo electrónico de invitación, emitir una identidad móvil adecuada y notificar al administrador de seguridad cuando un usuario haya instalado la aplicación y le haya proporcionado una clave.


Las identidades móviles deben ser únicas, y cuando se soliciten se deben configurar automáticamente para que correspondan con los atributos específicos de la organización y con las instalaciones en donde se usarán. Para emitir una identidad móvil a un empleado o estudiante, sólo se debe requerir seleccionar el usuario y la identidad móvil correcta. Al ingresar manualmente los números del sistema de control de acceso físico (PACS) y los códigos de instalación, hay posibilidad de cometer errores y toma mucho tiempo, lo que probablemente dará como resultado una mala experiencia para el personal que administra las identidades móviles.

Muchas organizaciones tienen oficinas en todo el mundo con diferentes sistemas de control de acceso, y un empleado que visita una oficina remota con frecuencia requiere obtener un gafete de visitante. Con una solución de acceso móvil que respalde varias identidades móviles por dispositivo móvil, un empleado puede recibir una identidad móvil adicional antes de irse, o al llegar. Al hacerse más comunes las iPads y tabletas en el lugar de trabajo, que tienen la posibilidad de conectar a un empleado con diferentes dispositivos móviles, será otra característica importante.

Usar un dispositivo móvil para el acceso lógico para autenticar diferentes servicios, es una tendencia clara en el mercado. Muchas organizaciones hoy en día ven el beneficio de convergir el acceso físico y lógico para cortar costos y mejorar la seguridad. Una plataforma de identidad móvil común para el acceso físico y lógico, facilita a los administradores de seguridad el manejo de los derechos de acceso, y a los empleados les facilita validar diferentes servicios, ya que el dispositivo móvil será una plataforma común. Un administrador de seguridad puede enviar identidades sobre demanda a un solo empleado o a un grupo de empleados. Éstas se pueden usar posteriormente para el acceso lógico, para ingresar a servicios como VPN y correo electrónico, usando una autenticación sólida, todo ello administrado en una sola plataforma de identidad móvil.

Consideraciones de seguridad
Los ataques pueden provenir de muchas direcciones, usando muchas herramientas y tácticas. Al proteger cada vínculo dentro de una solución de acceso móvil y al asegurar que no haya un solo punto de falla entre lectores, los dispositivos móviles y sistemas de seguridad de respaldo requieren un modelo de seguridad multicapas. En el raro evento de que los delincuentes tengan éxito para traspasar una capa, las puertas siguientes permanecerán cerradas. Manejar claves digitales en dispositivos móviles requiere un punto de vista holístico de la seguridad de origen y destino, iniciando con la forma cómo se generen las claves digitales, cómo se administren durante su ciclo de vida y cómo se almacenen en los teléfonos móviles. La plataforma de identidad móvil se debe diseñar teniendo la seguridad como primera prioridad, y todas las identidades móviles e información de usuario se deben proteger en una bóveda segura con base en Modelos de Seguridad de Hardware, en donde las claves encriptadas se almacenen y usen en operaciones criptográficas.

Los sistemas operativos móviles modernos como Android e iOS son creados para mantener un alto nivel de seguridad y una aplicación de acceso móvil se deberá crear para sacar ventaja de las características de seguridad. La aplicación deberá correr en un Sandbox especializado que asegure que ninguna otra aplicación pueda acceder o modificar los datos usados por la aplicación. Los datos sensibles y las claves se deberán proteger con un llavero del dispositivo, que es un área de los dispositivos móviles que se usa para el almacenamiento de los datos sensibles. Además de la seguridad del OS móvil, las identidades móviles se deberán firmar y encriptar para prevenir cualquier manipulación de las identidades móviles.
Al igual que con las tarjetas físicas, el control final de las personas a las que se les permite el acceso a un edificio, lo decide el sistema de control de acceso local. Si se pierde, es robado o se comprometen los derechos de acceso de la credencial digital de un dispositivo móvil, se puede inhibir el sistema de control de acceso, evitando accesos no deseados. En el poco probable caso de que un dispositivo móvil sea comprometido, el ataque deberá estar limitado a las identidades móviles específicas instaladas en el dispositivo, ya que cada clave digital debe ser única. Es más probable que un empleado se percate de la pérdida de un dispositivo móvil, que de un gafete físico.

Los dispositivos móviles también tienen la ventaja sobre las tarjetas físicas de estar en línea. Si un administrador de seguridad quiere eliminar una clave digital de un dispositivo, la identidad móvil se puede revocar en el aire, en tanto el dispositivo esté conectado a la red inalámbrica. Si un empleado reporta la pérdida de un dispositivo, las identidades móviles se pueden revocar antes de que el dispositivo acabe en manos equivocadas.

Para reducir más el impacto de un dispositivo robado, las identidades móviles se pueden configurar para que se acoplen a los lectores solamente cuando el dispositivo móvil esté desbloqueado. Esto significa que un usuario no autorizado tendría que evadir el NIP del dispositivo, el reconocimiento de cara o la protección con huella digital, para poder usarlo para abrir las puertas y entrar al edificio.

Consideraciones al implementar el acceso móvil
Al implementar el acceso móvil existen algunos aspectos que se deben tomar en cuenta antes de decidir el tipo de lector en el que se va a invertir. La base instalada de un dispositivo móvil puede afectar la elección de la tecnología, ya que los iPhones 5s y anteriores no soportan el NFC. En las compañías que tengan una base grande de iPhones, el Bluetooth Smart es la única opción. También se deben tomar en cuenta los tipos de puertas que funcionarán de forma móvil. Los estacionamientos, puertas de entrada principal y elevadores, se pueden beneficiar al tener un rango de lectura más amplio, aumentando la comodidad de los empleados. Las aéreas en donde hay muchos lectores colocados muy cerca uno de otro, deben usar la experiencia de toque para minimizar el riesgo de abrir la puerta equivocada. Tanto los lectores NFC como los Bluetooth Smart pueden soportar la experiencia de toque.

Muchas compañías tienen una plataforma de administración de dispositivos móviles, en la que las aplicaciones corporativas se difunden y corren en un contenedor específico del dispositivo móvil. Asegurar que la solución de acceso móvil sea interoperable con la plataforma MDM puede tener sentido, especialmente si las configuraciones de seguridad se controlan con la plataforma MDM:

También se debe considerar el incremento de las inversiones existentes en tarjetas físicas y lectores. Aunque el acceso móvil aumente la comodidad, algunas compañías pueden permitir que sus empleados mantengan el gafete físico como respaldo, a la vez que promueven una migración imperceptible hacia un estándar y movilidad más seguros


Mientras las compañías fusionan la seguridad con la conveniencia a la puerta, al transformar los smartphones y otros dispositivos móviles en credenciales confiables fáciles de usar, que puedan reemplazar las llaves y las tarjetas inteligentes, hay ciertos aspectos que se deben tomar en cuenta al elegir una solución de acceso móvil. Para tener la certeza de que la solución funciona con las tecnologías de smartphones más recientes, y que pueda evolucionar con la industria móvil, se debe arraigar en la tecnología de tarjetas basada en estándares, que se pueda emular en un gran número de teléfonos móviles, tabletas y dispositivos portátiles. Para ganar la aceptación entre los usuarios, la experiencia debe ser igual a la que tienen con las tarjetas físicas.

Las primeras impresiones perduran, y la solución puede ser descartada fácilmente si no cumple con las expectativas. La experiencia de abrir las puertas con los dispositivos móviles debe ser aerodinámica, intuitiva y cómoda. No debe requerir que el usuario realice demasiados pasos. Una propuesta de valor interesante de acceso móvil es la posibilidad de enviar y revocar las identidades móviles casi en tiempo real, y como beneficio máximo, la plataforma identidad móvil se debe diseñar para la comodidad y eficiencia del administrador. El acceso móvil presenta la oportunidad de cambiar dramáticamente la forma como abrimos las puertas, e interactuar con nuestro medio ambiente, y al implementarla correctamente, el futuro del control de acceso vendrá golpeando.

VIDEOS