RSA AUTHENTICATION MANAGER EXPRESS
RSA AUTHENTICATION MANAGER EXPRESS
RSA AUTHENTICATION MANAGER EXPRESS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>RSA</strong> <strong>AUTHENTICATION</strong><br />
<strong>MANAGER</strong> <strong>EXPRESS</strong><br />
Solution Brief
Los riesgos asociados con los métodos de autenticación que solo utilizan contraseñas no<br />
son nuevos. Aún en la actualidad, el 44% de las organizaciones dependen de contraseñas<br />
para el acceso remoto seguro de empleados y contratistas 1 . Ante un panorama de<br />
amenazas sofisticadas y el incremento constante de las filtraciones de datos, los sistemas<br />
que dependen de contraseñas estáticas para la seguridad quedan vulnerables y con riesgo<br />
de acceso no autorizado.<br />
La autenticación sólida es la solución más ampliamente aceptada para proteger el acceso<br />
a los datos y las aplicaciones de misión crítica. Sin embargo, para las pequeñas y medianas<br />
empresas (pymes), la implementación de soluciones de seguridad es, con frecuencia, un<br />
reto, ya que dichas empresas carecen de los recursos para proteger su red de manera<br />
integral y, de hecho, posiblemente crean que no son un blanco muy probable para la<br />
filtración de datos. Según un estudio reciente llevado a cabo por National Cyber Security<br />
Alliance, el 85% de las pymes creen ser un blanco menor para el delito cibernético que las<br />
empresas de gran tamaño 2 . Desafortunadamente, los delincuentes cibernéticos son<br />
conscientes de que muchas pymes carecen de controles de seguridad sofisticados, por lo<br />
que están atacando cada vez más sus sistemas para robar datos confidenciales.<br />
Superación de los obstáculos para lograr una autenticación sólida<br />
Las pequeñas y medianas empresas deben superar gran cantidad de obstáculos para<br />
justificar el uso de la autenticación de dos factores. Los tres problemas principales que<br />
impiden que muchas de estas empresas implementen una solución de autenticación<br />
sólida son los siguientes:<br />
– Costos altos<br />
– Incomodidad para los usuarios<br />
– Complejidad de implementación y de administración<br />
Costos<br />
Con frecuencia, las pymes mencionan el costo de las soluciones existentes como el mayor<br />
de los problemas que les impiden adoptar un método de autenticación sólida. Por<br />
ejemplo, la implementación de una solución de contraseñas de un solo uso requiere<br />
inversiones en hardware, como los dispositivos de usuarios finales y el servidor de<br />
autenticación. Además, existen costos de mantenimiento vinculados con el servicio al<br />
cliente y las actualizaciones de software. Dados los presupuestos de TI limitados, la<br />
mayoría de las pymes deciden proteger el acceso con un inicio de sesión básico mediante<br />
nombre de usuario y contraseña.<br />
Incomodidad para los usuarios<br />
Al implementar una autenticación sólida, la comodidad del usuario es un factor importante.<br />
Las organizaciones deben considerar si la seguridad adicional puede obstruir la<br />
productividad de los empleados y si, al intentar imponer la adopción de la nueva<br />
tecnología, es posible que los usuarios ofrezcan resistencia. Esta situación también puede<br />
afectar el costo total de la solución si se incrementan repentinamente las llamadas a help<br />
desk por parte de usuarios que requieren soporte adicional.<br />
Implementación y administración<br />
Es probable que la implementación inicial de una autenticación sólida requiera una<br />
inversión significativa de recursos del departamento de TI. Además, existen otras<br />
consideraciones, por ejemplo, la administración continua de la solución, que puede incluir<br />
tareas como el aprovisionamiento y el desaprovisionamiento de usuarios nuevos, y la<br />
distribución de hardware o software. Los recursos de TI de las pymes ya son limitados. Por<br />
lo tanto, es posible que el tiempo y el personal adicionales necesarios para administrar<br />
adecuadamente una estrategia de autenticación sólida resulten intimidatorios para un<br />
personal que ya se encuentra sobrecargado.<br />
1 Forrester Research, “Best Practices: Implementing Strong Authentication in Your<br />
Enterprise”, julio de 2009<br />
2 2010 NCSA/Visa Inc. Small Business Study PÁGINA 2
Autenticación sólida para pequeñas y medianas empresas<br />
<strong>RSA</strong> Authentication Manager Express enfrenta las limitaciones de costo, de comodidad<br />
para el usuario y de administración de TI de las pymes, ya que brinda una solución rentable<br />
y conveniente sin comprometer la seguridad. La solución es una plataforma de autenticación<br />
sólida de varios factores que proporciona autenticación remota segura para hasta 2,500<br />
usuarios. <strong>RSA</strong> Authentication Manager Express utiliza VPN con protocolo SSL y aplicaciones<br />
basadas en web a fin de permitir a las pymes implementar métodos de autenticación<br />
sólida y acceso seguro para las aplicaciones y los datos protegidos.<br />
<strong>RSA</strong> Authentication Manager Express incluye las funcionalidades de la tecnología de<br />
autenticación basada en riesgos de <strong>RSA</strong>. Uno de sus elementos principales es <strong>RSA</strong> Risk<br />
Engine, un sistema sofisticado que evalúa cada intento de inicio de sesión y cada actividad<br />
en tiempo real mediante el rastreo de docenas de indicadores de riesgo, y le asigna un<br />
nivel de riesgo a cada solicitud de usuario. <strong>RSA</strong> Authentication Manager Express tiene en<br />
cuenta varios factores para determinar el riesgo asociado con cada solicitud de acceso,<br />
entre ellos:<br />
– Un conocimiento del usuario, como un nombre de usuario y una contraseña<br />
– Un objeto del usuario, como una laptop o una PC de escritorio<br />
– Una acción del usuario, como una autenticación reciente y la actividad de la cuenta<br />
<strong>RSA</strong> Risk Engine permite a las organizaciones asignar políticas personalizadas que se<br />
implementarán según su umbral de riesgo. Las organizaciones pueden asignar varios<br />
niveles de riesgo, de alto a bajo.<br />
<strong>RSA</strong> Authentication Manager Express también permite el establecimiento de niveles de<br />
riesgo según clases de usuarios. Las organizaciones pueden considerar distintas políticas<br />
de autenticación para perfiles de usuario diferentes sobre la base de su relación con la<br />
organización. Por ejemplo, es posible que las organizaciones tengan un mayor nivel de<br />
tolerancia al riesgo para el acceso de empleados que para el acceso de clientes o partners.<br />
Si <strong>RSA</strong> Risk Engine determina que el nivel de riesgo para una solicitud de acceso es inferior<br />
al límite permitido, se realiza una autenticación transparente del usuario. Sin embargo, si<br />
<strong>RSA</strong> Risk Engine determina que una solicitud de acceso se encuentra por encima del límite<br />
permitido, es posible que se le solicite al usuario que proporcione pruebas adicionales de<br />
su identidad.<br />
Perfil de dispositivo: un objeto del usuario<br />
<strong>RSA</strong> Risk Engine examina la información de cada solicitud de acceso de usuario según dos<br />
categorías principales: el perfil de dispositivo y el perfil de comportamiento. El primer<br />
componente, el perfil de dispositivo, permite la autenticación de la gran mayoría de los<br />
usuarios mediante el análisis del perfil de dispositivo de la laptop o la PC de escritorio<br />
físicas que generalmente utilizan para solicitar acceso y verifica si existen registros previos<br />
que asocien el dispositivo con el usuario. Los dos componentes principales del perfil de<br />
dispositivo son la identificación única del dispositivo y la identificación estadística<br />
del dispositivo.<br />
La identificación única del dispositivo permite identificar a un usuario mediante la<br />
incorporación de dos elementos principales en el dispositivo del usuario: (a) cookies<br />
seguras de origen y (b) objetos compartidos por Flash (también denominados “Flash<br />
cookies”). Las cookies seguras de origen cumplen una función importante en la<br />
identificación de laptops y PC. Incluyen la ubicación de un identificador criptográfico único<br />
en el dispositivo del usuario y constituyen el mecanismo inicial que generalmente se<br />
utiliza para identificar a un usuario. Las Flash cookies se utilizan junto con las cookies de<br />
origen para brindar dos niveles de confiabilidad. <strong>RSA</strong> Authentication Manager Express<br />
utiliza Flash cookies para etiquetar la máquina de un usuario de la misma manera en que<br />
las cookies de origen almacenan información para recuperarla en otro momento. La<br />
ventaja de utilizar Flash cookies es que no se eliminan con tanta frecuencia como las<br />
cookies de origen, ya que la mayoría de los usuarios no sabe que existen. Incluso los<br />
usuarios que conocen su existencia no saben con seguridad cómo eliminarlas.<br />
PÁGINA 3
Figura 1. <strong>RSA</strong> Risk Engine tiene en<br />
cuenta docenas de elementos al<br />
asignar un nivel de riesgo a cada<br />
solicitud de usuario.<br />
La identificación estadística del dispositivo es una tecnología que usa las características<br />
de un dispositivo para identificar a un usuario y asociarlo con un dispositivo específico de<br />
manera estadística. Este tipo de identificación, que también se conoce como análisis<br />
forense, análisis forense de dispositivos o identificación mediante huellas digitales para<br />
dispositivos, se usa, por lo general, como mecanismo de reserva en caso de no hallar un<br />
identificador criptográfico único (que puede eliminarse del dispositivo).<br />
Entre los elementos que se miden durante el proceso de identificación estadística del<br />
dispositivo, se incluyen los datos recopilados de encabezados HTTP y mediante Java<br />
script, por ejemplo, versiones de sistemas operativos, niveles de parches de sistemas<br />
operativos, resolución de pantalla, versión de navegador, datos de usuario/agente,<br />
versiones de software, parámetros de pantalla (tamaño y profundidad del color), idiomas,<br />
configuración de zona horaria, objetos de navegador instalados, software instalado,<br />
configuración regional y de idioma, e información de dirección IP.<br />
Perfil de comportamiento: una acción del usuario<br />
Además del perfil de dispositivo, <strong>RSA</strong> Authentication Manager Express tiene en cuenta el<br />
comportamiento de un usuario antes de asignar un nivel de riesgo a cada solicitud de<br />
acceso. La determinación del perfil de comportamiento se utiliza para identificar un inicio<br />
de sesión de alto riesgo mediante la medición de elementos, como velocidad, información<br />
de dirección IP y actividad de autenticación y de la cuenta (es decir, cambios recientes en<br />
el perfil del usuario o varios intentos fallidos de autenticación). Por ejemplo, si un usuario<br />
generalmente inicia sesión desde una oficina en Nueva York y, luego, intenta iniciar sesión<br />
desde una ubicación en Moscú, es probable que el sistema considere este comportamiento<br />
como inusual. Sin embargo, si el usuario viaja con frecuencia e inicia sesión desde<br />
ubicaciones diferentes del mundo de manera periódica, es posible que este comportamiento<br />
no se considere inusual.<br />
10.0.1.195<br />
Información de IP<br />
Patrones de<br />
comportamiento<br />
Perfil de dispositivo<br />
Historial de<br />
la cuenta<br />
Tokens específicos<br />
del dispositivo<br />
PÁGINA 4
Autenticación adicional para solicitudes de acceso de alto riesgo<br />
<strong>RSA</strong> Authentication Manager Express puede recurrir a métodos adicionales de autenticación<br />
en caso de que una solicitud de acceso sobrepase el umbral de riesgo establecido por la<br />
organización. Particularmente, esto es usual en situaciones en las que un usuario remoto<br />
inicia sesión desde un dispositivo no reconocido y que no se ha utilizado anteriormente<br />
para acceder a la red. <strong>RSA</strong> Authentication Manager Express permite a las organizaciones<br />
elegir entre dos métodos: SMS (mensaje de texto) fuera de banda y preguntas de‑validación.<br />
Mensaje de texto SMS fuera de banda<br />
La validación mediante mensaje de texto SMS fuera de banda se inicia si el nivel de riesgo<br />
asociado con la solicitud de acceso es alto. Cuando esto ocurre, <strong>RSA</strong> Authentication<br />
Manager Express solicita al usuario que proporcione una prueba adicional de identidad<br />
mediante un proceso fácil de comprender.<br />
En primer lugar, el sistema solicitará al usuario que introduzca el PIN secreto que haya<br />
seleccionado al registrarse. Luego, el sistema generará un mensaje de texto SMS<br />
automático que se enviará al teléfono celular que el usuario haya registrado para la<br />
recepción de mensajes. El mensaje de texto SMS contiene un código único de ocho dígitos<br />
que el usuario debe introducir en el navegador web. Una vez que el sistema verifica el<br />
código, se permite el acceso inmediato del usuario. <strong>RSA</strong> Authentication Manager Express<br />
también brinda soporte para el envío por correo electrónico de una contraseña de un<br />
solo uso.<br />
El beneficio clave de la autenticación por SMS fuera de banda es que puede utilizarse con<br />
cualquier teléfono celular y no requiere que el usuario final adquiera hardware nuevo<br />
o instale software.<br />
Preguntas de validación<br />
Las preguntas de validación son preguntas que el usuario selecciona de una lista y para las<br />
que brinda respuestas durante el proceso de registro inicial o cuando una organización<br />
decide implementar una solución de autenticación sólida para los usuarios. Al usuario<br />
solamente se le solicitan las respuestas de un subconjunto de preguntas durante el<br />
proceso de autenticación a fin de minimizar el riesgo de que una persona no autorizada<br />
obtenga las preguntas y respuestas secretas del usuario. De manera alternativa, las<br />
organizaciones pueden personalizar su propio conjunto de preguntas en lugar de usar<br />
el conjunto de preguntas predeterminado que proporciona <strong>RSA</strong> Authentication<br />
Manager Express.<br />
Implementación y administración<br />
<strong>RSA</strong> Authentication Manager Express es un dispositivo “Plug‑and‑Play” que soporta<br />
servidores web y VPN con protocolo SSL líderes de manera inmediata. Además, mediante<br />
la configuración rápida de <strong>RSA</strong>, el servidor puede ponerse en funcionamiento con solo<br />
algunos pasos de manera sencilla.<br />
La implementación para los usuarios finales es igual de simple. <strong>RSA</strong> Authentication<br />
Manager Express puede conectarse directamente a un servidor de directorios existente y<br />
los usuarios son guiados automáticamente por un proceso de autorregistro cuando<br />
realizan la siguiente autenticación. Dado que el proceso de registro es completamente<br />
automático, los administradores pueden evitar el tiempo de aprovisionamiento que otros<br />
métodos de autenticación requieren.<br />
PÁGINA 5
Beneficios clave<br />
<strong>RSA</strong> Authentication Manager Express está diseñado para enfrentar los requerimientos<br />
de autenticación sólida de las pequeñas y medianas empresas.<br />
Rentabilidad. El diseño y el precio de <strong>RSA</strong> Authentication Manager Express se pensaron<br />
para satisfacer las necesidades de organizaciones con hasta 2,500 usuarios.<br />
Comodidad del usuario. <strong>RSA</strong> Authentication Manager Express permite que la mayoría<br />
de los usuarios se autentiquen mediante su nombre de usuario y su contraseña usuales.<br />
En estos casos, la autenticación de varios factores es transparente para el usuario, ya que<br />
<strong>RSA</strong> Risk Engine funciona en segundo plano. El único caso en que se solicita la validación<br />
del usuario es cuando <strong>RSA</strong> Risk Engine establece que la solicitud de acceso es de<br />
alto riesgo.<br />
Facilidad de implementación y administración. <strong>RSA</strong> Authentication Manager Express<br />
se proporciona en un dispositivo “Plug‑and‑Play” que soporta servidores web y VPN<br />
con protocolo SSL líderes de manera inmediata. Además, el proceso de registro es<br />
completamente automático, lo cual reduce el tiempo que tardan los administradores<br />
en provisionar y desprovisionar usuarios.<br />
Tecnología probada. <strong>RSA</strong> Authentication Manager Express utiliza la misma tecnología<br />
de autenticación basada en riesgos implementada por más de 8,000 organizaciones de<br />
diferentes sectores, como servicios financieros, servicios de salud, servicios de seguros,<br />
venta minorista y entes gubernamentales. Actualmente, la tecnología de autenticación<br />
basada en riesgos de <strong>RSA</strong> se utiliza para proteger más de 250 millones de identidades de<br />
usuarios y proteger el acceso a una variedad de aplicaciones y sistemas, entre ellos, sitios<br />
web, portales y aplicaciones de VPN con protocolo SSL.<br />
Conclusión<br />
<strong>RSA</strong> Authentication Manager Express permite a las pequeñas y medianas empresas<br />
realizar la transición hacia una autenticación sólida que sea rentable y conveniente para<br />
usuarios finales y administradores de TI. Gracias a <strong>RSA</strong> Authentication Manager Express,<br />
las pymes pueden evitar el acceso no autorizado, reducir el riesgo de filtración de datos,<br />
enfrentar requerimientos de cumplimiento de normas ajustándose a su presupuesto<br />
y ampliar con confianza los privilegios de acceso remoto a usuarios nuevos.<br />
PÁGINA 6
La verdad sobre los mitos de la autenticación sólida<br />
Mito Realidad<br />
Mi empresa usa<br />
contraseñas sólidas<br />
y nuestros empleados<br />
deben cambiarlas de<br />
manera regular para<br />
disminuir el riesgo.<br />
Mi empresa no puede<br />
pagar el costo de la<br />
autenticación sólida.<br />
El costo de la<br />
autenticación sólida<br />
excede sus beneficios.<br />
El blanco de las amenazas<br />
cibernéticas son solo las<br />
organizaciones de gran<br />
tamaño y los entes<br />
gubernamentales.<br />
Es posible que las contraseñas sólidas que incluyen<br />
números, letras mayúsculas o caracteres sean difíciles<br />
de adivinar para un hacker, pero también son difíciles<br />
de recordar para los empleados. Por este motivo, es<br />
probable que los empleados escriban las contraseñas<br />
en papel o realicen otras acciones que, de hecho,<br />
incrementen el riesgo. La verdadera autenticación sólida<br />
requiere más de un factor, no solo una contraseña.<br />
La autenticación sólida puede ser muy rentable, no<br />
solo para organizaciones de gran tamaño. Por ejemplo,<br />
el diseño y el precio de <strong>RSA</strong> Authentication Manager<br />
Express se pensaron específicamente para empresas<br />
con una base de usuarios pequeña y un presupuesto<br />
de TI limitado.<br />
El costo de la autenticación sólida es muy inferior<br />
a los costos en los que su organización debe incurrir<br />
en caso de filtración de datos o multas y sanciones por<br />
incumplimiento de normas. Además, la autenticación<br />
sólida puede ayudar a crear oportunidades de negocios<br />
que generen nuevos ingresos y a optimizar los procesos<br />
del negocio, lo cual hace que el costo de una seguridad<br />
más sólida parezca insignificante.<br />
Todo lo contrario. Los delincuentes cibernéticos<br />
atacan las pequeñas y medianas empresas de manera<br />
frecuente, ya que estas, por lo general, cuentan con<br />
controles de seguridad limitados, lo que las hace<br />
más vulnerables.<br />
PÁGINA 7
www.rsa.com<br />
Acerca de <strong>RSA</strong><br />
<strong>RSA</strong> es el principal proveedor de soluciones de seguridad, riesgo y cumplimiento<br />
de normas que ayudan a las organizaciones más importantes del mundo a alcanzar<br />
el éxito resolviendo los retos de seguridad más complejos y delicados. Estos retos<br />
incluyen la administración del riesgo organizacional, la protección del acceso móvil<br />
y de la colaboración, las pruebas de cumplimiento de normas, y la seguridad en<br />
ambientes virtuales y de nube.<br />
Mediante la combinación de controles críticos para el negocio en la comprobación<br />
de identidad, la prevención de pérdida de datos, la encriptación y Tokenization, la<br />
protección contra fraudes y SIEM con funcionalidades de eGRC líderes del sector,<br />
<strong>RSA</strong> brinda confianza y visibilidad respecto a millones de identidades de usuarios,<br />
a las transacciones que realizan y a los datos que se generan.<br />
<strong>RSA</strong>, el logotipo de <strong>RSA</strong>, EMC², EMC y “where information lives” son marcas registradas o marcas comerciales de EMC<br />
Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales utilizadas en este<br />
documento pertenecen a sus respectivos propietarios. ©2011 EMC Corporation. Todos los derechos reservados.<br />
AMX SB 0111