La autenticación de los usuarios móviles es más importante que nunca
Cifrar los datos es un buen paso inicial, pero si no autentica adecuadamente a sus usuarios, la información sensible puede caer en las manos equivocadas.
Tener una apropiada autenticación de usuarios es esencial para el éxito de TI, pero con el enfoque de hoy en la movilidad, los riesgos son cada vez más complejos.
Cuando las discusiones de TI se vuelcan en los asuntos de la seguridad, la atención se centra casi siempre en el cifrado. Codificar datos sensibles para protegerlos de intrusos y ladrones es sin duda un gran lugar para comenzar. Pero de igual importancia es la autenticación del usuario, en donde al menos una de las partes en una conexión dada -e idealmente, ambas partes– debe(n) probar su(s) identidad(es) a la otra.
Tal como con la encriptación, la autenticación no es garantía de seguridad absoluta. (No existe tal cosa.) Las credenciales –frecuentemente nombres de usuario y contraseñas– pueden ser robadas o caer en las manos equivocadas. Dado que estas credenciales son a menudo un factor en la determinación de las claves utilizadas en el cifrado y descifrado, un fallo en la autenticación puede tener resultados desastrosos. Una vez que la información digital sensible se ve comprometida, permanece así para siempre. Recuperarse de una infracción de este tipo puede ser lento, costoso e incluso imposible.
Estos son algunos consejos a tener en cuenta conforme la autenticación de los usuarios móviles se torna más importante para la empresa:
Diseñar políticas de autenticación de usuario
Las políticas de seguridad y autenticación son a menudo únicas para una organización determinada; la seguridad eficaz nunca es una propuesta de unitalla. Una política de seguridad básica –definir qué información es sensible, quién puede tener acceso a esta información y en qué circunstancias, y qué hacer en caso de una violación– es una necesidad. Elementos simples y evidentes, como el requerimiento de los códigos PIN en los dispositivos móviles y los cambios regulares de contraseñas, son esenciales. La política puede ir más allá para explicar lo que una combinación determinada entre un usuario y su dispositivo pueden hacer con base en las credenciales y el contexto. Sólo después de que las políticas se establecen y se prueban en un entorno aislado o piloto se deben considerar tecnologías específicas de autenticación de usuario.
Considere la autenticación de usuario móvil de dos factores
De creciente importancia es la autenticación de dos factores (2FA), que se describe en términos generales como la solicitud de "algo que usted tiene además de algo que usted sabe", antes de conceder el acceso de los usuarios. El "algo que usted sabe" suele ser el tradicionalmente la combinación del usuario y la contraseña. El "algo que usted tiene" es un token de seguridad generado por un dispositivo de hardware dedicado, una aplicación móvil como Google Authenticator o un mensaje SMS. La vinculación de un usuario específico a un dispositivo específico es clave, y es mucho más seguro que solamente la combinación nombre de usuario y contraseña.
La amenaza de malware es una razón más para mejorar sus procesos de autenticación de usuarios móviles. El reto de saber exactamente lo que una aplicación o aplicación dada está haciendo siempre permanece, y la capacidad de los ladrones para capturar subrepticiamente credenciales motiva aún más el requisito para la autenticación de dos factores.
Dé el salto en la gestión de identidades
Las implementaciones contemporáneas de autenticación de usuarios se refieren a menudo la gestión de identidades, que define las clases de usuarios y concede permisos específicos para cada uno –desde los clientes y trabajadores del conocimiento hasta los administradores de sistemas, la alta dirección y más allá. La mayoría de los productos de gestión de identidades se aprovechan de los servicios de directorio existentes, minimizando los dolores de cabeza de la implementación y eliminando redundancias potencialmente dañinas.
Conforme la consumerización y la movilidad se asientan, y los trabajadores exigen el acceso a los activos corporativos de una mezcla de dispositivos de empleados y de propiedad del empleador, la demanda por gestión de identidades ha crecido. Proporcionar un repositorio central de capacidades basadas en el usuario, dispositivo, credenciales y contexto tiene mucho sentido, y también reduce la carga en el personal administrativo, en consecuencia, la reducción de los gastos operativos.
¿Cómo sabe que las medidas de seguridad adecuadas están en su lugar, y cómo se puede comprobar la funcionalidad y la eficacia? Lamentablemente, la seguridad es uno de los aspectos de las TI donde nunca se hace el suficiente trabajo. Es necesaria la diligencia continua, no importa con qué políticas y soluciones cuente.