Seguridad

Fortaleciendo la Seguridad: Buenas Prácticas en la Implementación de MFA en IBM i

Por: Emiliano Lorences

Contenido

El Factor de Autenticación Múltiple (MFA) se ha convertido en uno de los métodos más efectivos para garantizar la seguridad de las cuentas de usuario en sistemas informáticos. No sólo en IBM i – AS400, sino en cualquier sistema informático. En un mundo cada vez más digital y amenazado por cibercriminales, contar con capas adicionales de seguridad más allá de una simple contraseña se ha vuelto esencial.

Assure Multi-Factor Authentication cuenta con los siguientes métodos de autenticación:

  • Autenticador incorporado: Assure Multi-Factor Authentication tiene un servicio de autenticación incorporado que transmite un token por correo electrónico y/o ventana emergente. Este método se recomienda para ahorro de costos.
  • Autenticadores compatibles con RADIUS: La solución contiene un cliente RADIUS que se ejecuta nativamente en IBM i para las organizaciones que deseen usar un autenticador basado en RADIUS existente o construir su propio servidor RADIUS. Esto incluye autenticadores como el DUO Authenticator y el Microsoft Azure Authenticator.
  • RSA SecurID®: Assure Multi-Factor Authentication está certificado por RSA como compatible con SecureID para atender los entornos más exigentes mediante la integración con servidores RADIUS RSA y servicios en la nube RSA. Los servicios en la nube RSA admiten biometría, como huellas dactilares o imágenes faciales desde un teléfono móvil, además de los métodos tradicionales de aprobación de mensaje de voz, token SMS y push.

En la actualidad, la importancia de la autenticación de múltiples factores (MFA) es innegable. Sin embargo, la simple instalación de una aplicación de MFA no es suficiente para garantizar la seguridad de tu sistema. En todas las actividades que realizamos, es esencial seguir buenas prácticas para asegurarnos de que todo funcione correctamente. A menudo, pensamos que estamos haciendo las cosas de la manera correcta, pero en realidad, siempre hay margen para mejoras e incluso es posible que hayamos estado cometiendo errores sin saberlo. En este artículo, exploraremos algunas buenas prácticas para la implementación exitosa de MFA, permitiéndote aprovechar al máximo esta herramienta de seguridad sin complicaciones innecesarias.

Las buenas prácticas de MFA

  • MFA para sistemas criticos

No es inusual que una organización promedio de IBM i tenga 2 o más servidores/particiones. Parte del proceso de implementación consiste en determinar cuáles servidores/particiones de IBM i requieren protección de inicio de sesión mediante MFA y cuáles no.

Un sistema que no sea fundamental en la operación y solo se use para pruebas no requiere la misma seguridad que un sistema productivo, dando un ejemplo.

  • ¿Necesito implementar MFA en todos los usuarios?

Aunque es recomendable implementar MFA en todos los usuarios, hay algunos casos de uso pueden quedar exentos de los inicios de sesión con autenticación multifactor. Estos usuarios pueden incluir:

• Un perfil de administrador de emergencia de respaldo (cuenta de “romper el cristal”) que solo se utilizará en situaciones en las que la solución de MFA no esté disponible (como si el sistema MFA falla y bloquea a todos fuera del sistema).

• Usuarios de bajo riesgo que no tienen acceso a información sensible y solo pueden acceder al sistema a través de dispositivos y programas seguros, como el personal de almacén que está restringido a inicios de sesión con escáner sin capacidades de acceso a datos.

• Cuentas de servicio que se conectan automáticamente a sistemas IBM i y realizan una variedad de procesos.

• Perfiles de soporte de proveedores.

• Un perfil de invitado que solo puede acceder al sistema a través de un dispositivo restringido y solo puede ejecutar programas limitados que no acceden a datos sensibles.

• Perfiles de usuarios por lotes sin capacidades de inicio de sesión.

Estos son solo algunos ejemplos de usuarios que pueden no requerir MFA, sin embargo, es aconsejable mantener este número de usuarios bajos y que estén inhabilitados o monitoreados por algún administrador para evitar el mal uso de los mismos.

  • Utilizar más de una categoría de autenticación

La MFA se puede categorizar en tres tipos principales, cada uno aportando una capa adicional de seguridad. Véase en:

Emplear una única categoría de MFA no necesariamente significa que sea desaconsejable, como ya exploramos en detalle anteriormente en este artículo. Es una elección adecuada para usuarios que no desempeñan un papel crítico en el sistema. Sin embargo, para aquellos usuarios que necesitan un nivel adicional de seguridad, resulta fundamental contar con al menos dos categorías distintas de MFA para mantener la integridad del usuario a salvo de algún intento de ingreso no solicitado.

  • Apoya a tus usuarios

Muchos utilizan el término “Educa a tus usuarios” para referirse a enseñarles a los usuarios finales las buenas prácticas de seguridad para sus contraseñas (cosas como tener una contraseña “débil”, compartirla o tenerla a la vista, entre otros.), es de vital importancia darle seguimiento a las practicas que realizan los usuarios para evitar que sus credenciales caigan en manos equivocadas.

No es un secreto que el usuario representa uno de los eslabones más débiles en la cadena de seguridad cibernética. La mayoría de los ataques cibernéticos están dirigidos hacia los mismos, y esto se debe a una simple razón: es más fácil robar accesos a una persona que superar un sistema de seguridad. A menudo, los delincuentes cibernéticos explotan la falta de conciencia o las prácticas de seguridad deficientes de los usuarios para obtener acceso no autorizado a cuentas y sistemas. Acciones aparentemente inofensivas, como compartir el acceso a una cuenta o utilizar contraseñas débiles y repetidas, pueden convertirse en puertas de entrada para amenazas cibernéticas. Por lo tanto, es fundamental que los usuarios cuiden adecuadamente su información y adopten medidas de seguridad, como la Autenticación Multifactor (MFA), para protegerse a sí mismos y a la red en la que operan.

  • “Phishing” el peor enemigo de MFA

El phishing es una táctica maliciosa en línea utilizada por estafadores para engañar a las personas haciéndose pasar por entidades de confianza, como empresas, asesores o incluso amigos, con el objetivo de obtener información confidencial, como contraseñas o datos de tarjetas de crédito. Estos intentos de engaño suelen realizarse a través de llamadas telefónicas o correos electrónicos diseñados para parecerse a mensajes legítimos de redes sociales y así “pescar” datos sensibles de los usuarios.

A menudo, nos resulta evidente que no debemos compartir nuestras credenciales de inicio de sesión con desconocidos, y generalmente asumimos que bajo ninguna circunstancia compartiremos esta información privada. Sin embargo, cuando recibimos un correo o una llamada que indica problemas en nuestra cuenta o un supuesto hackeo, nos sentimos vulnerables y buscamos “resolver” el problema rápidamente, proporcionando información a los cibercriminales.

En este contexto, es fundamental educar a los usuarios acerca de que ninguna empresa legítima solicitará datos personales o tokens de acceso. Además, es responsabilidad del usuario verificar la autenticidad del correo o la llamada, asegurándose de que provengan realmente de la empresa u organización en cuestión.

En conclusión, el Factor de Autenticación Múltiple (MFA) se ha convertido en un componente crucial en la defensa de la seguridad de cuentas de usuario en sistemas informáticos en un mundo cada vez más digital y amenazado por cibercriminales. Su implementación no es solo una recomendación, sino una necesidad.

En última instancia, la implementación efectiva de MFA no solo se trata de agregar una capa de seguridad, sino de integrarla adecuadamente en la infraestructura y educar a los usuarios para que sean conscientes de las amenazas cibernéticas. La seguridad cibernética es una responsabilidad compartida, y seguir buenas prácticas es esencial para proteger la integridad de los sistemas y la privacidad de los usuarios.

Suscríbete al newsletter
¿Necesitas ayuda?
Únete a nuestro nuevo foro especializado en IBM i - AS400. Busca o haz consultas específicas en las que nuestro equipo de ingeniería y la comunidad podemos apoyarte.
Más de 35 años de experiencia en Sistemas IBM i (Anteriormente AS/400 - iSeries)
Síguenos en
Tecnologías de Innovación y Mejora S.A. de C.V.
Ciudad de México
México

Suscríbete a nuestro newsletter

Información relevante para los profesionales en IBM i
TIMWare © 2024. Todos los derechos reservados
¿Necesitas ayuda?

Únete a nuestro nuevo foro especializado en IBM i - AS400

Sé parte de esta nueva comunidad de profesionales, entusiastas y desarrolladores involucrados en el IBM i para discutir temas, resolver problemas y compartir conocimientos sobre esta poderosa plataforma.