En los últimos años, las violaciones de seguridad en el área de TI se escuchan con más frecuencia. Recientemente con el ataque a SolarWinds se mostró la vulnerabilidad de los sistemas de información gubernamentales, los cuales deben cumplir con estándares muy altos de seguridad. Para muchos, esto sirvió como una llamada de atención y destacó la importancia de la autenticación multifactor como una herramienta crítica contra los ataques maliciosos.
La autenticación multifactor (MFA por sus siglas en inglés) es un proceso en el que la identidad de un usuario se verifica utilizando más de un medio. Usando el MFA, el usuario debe utilizar al menos dos de las siguientes pruebas de su identidad:
Ejemplificando el primer elemento, se presenta cuando al usuario se le solicita nombre de usuario y contraseña, es decir, algo que sabe. Sin embargo es por más sabido que este tipo de información se ve fácilmente comprometida.
Con la autenticación multifactor, también solicitaría al usuario que proporcione alguna de las otras dos pruebas de identidad.
Muchos de nosotros ya usamos MFA sin darnos cuenta. Cuando ingresamos al sitio web de su banco y realizamos alguna transacción, se solicita un Token. Otro ejemplo es cuando se solicita un código de acceso único que se envía por correo electrónico, mensaje de texto o llamada telefónica. Aunque existen riesgos porque los correos electrónicos y SMS pueden verse comprometidos, aún así se brinda una protección mayor a una simple combinación de nombre de usuario y contraseña.
Muchas empresas han implementado MFA utilizando dispositivos móviles. Google Authenticator y Microsoft Authenticator son aplicaciones que se pueden instalar en un teléfono móvil y funcionan de la misma manera que lo haría un dispositivo de token seguro. Cada 30 segundos, la aplicación genera un nuevo código. Los bancos y los sitios web pueden ofrecer autenticación MFA mediante las aplicaciones de Google y Microsoft, sin la necesidad de proporcionar dispositivos de token electrónicos a cada uno de sus usuarios.
Es importante tener en cuenta que los sistemas que requieren dos o más elementos del mismo factor de autenticación no incluyen la autenticación multifactorial. Por ejemplo, si un inicio de sesión requiere una combinación válida de nombre de usuario y contraseña, pero también requiere que el usuario responda una pregunta sobre su número de Seguro Social, eso no es MFA, porque está limitado a solo uno de los tres factores. En este caso, solicita varios elementos de la categoría “algo que sabe”.
Con la llegada de la pandemia y el trabajo desde casa, la autenticación multifactorial se tornó sumamente importante hoy en día debido a la proliferación de dispositivos y al aumento de accesos remotos. La mayoría de las organizaciones han cambiado a una fuerza de trabajo híbrida en sitio y remota, lo que resulta en más conexiones remotas. Además, muchos han instituido políticas de “traiga su propio dispositivo” (BYOD) que presentan nuevos desafíos en términos de seguridad.
Al mismo tiempo las organizaciones deben de cumplir con una lista cada vez más larga de estándares para mejorar la seguridad de la información crítica, incluida la información médica protegida (HIPAA), las transacciones con tarjetas de crédito (PCI-DSS 3.2), los datos financieros (23 NYCRR 500) y más.
La autenticación multifactor tiene la ventaja de ser fácil para los usuarios finales, así como simple, rentable de personalizar, administrar y eficaz como medio para autenticar las identidades.
El mundo avanza hacia una adopción cada vez mayor de la autenticación multifactorial como estándar en la lucha contra los ciberdelincuentes.
Las aplicaciones avanzadas para MFA pueden incluir escenarios basados en reglas condicionales en los que se requieren múltiples factores solo en determinadas circunstancias. Por ejemplo, tenemos un empleado que normalmente inicia sesión en el sistema desde su casa todos los días de la semana alrededor de las 9 AM. Se puede identificar fácilmente la dirección IP desde la que se origina su inicio de sesión, por lo que cuando combinamos esa información con el tiempo y la comparamos con los patrones existentes, podemos estar razonablemente seguros de que el intento de acceso es legítimo. En este caso, pueden configurar las reglas de MFA para permitir el acceso con una combinación simple de nombre de usuario y contraseña.
Si, por otro lado, se está intentando acceder al sistema a las 4 AM desde una dirección IP con sede en Europa del Este, debería indicarnos que tengamos más cuidado al autenticar su identidad. Con la solución adecuada, las reglas de MFA se pueden configurar para requerir autenticación multifactorial en esas circunstancias.
MFA también se puede utilizar para proporcionar seguridad adicional en un escenario de “cuatro ojos” en el que la información altamente confidencial requiere que dos personas autorizadas participen en el proceso de inicio de sesión juntas, ambas mediante autenticación multifactorial.
Si está considerando una solución MFA para sus sistemas IBM i, es importante buscar productos que puedan integrarse con la pantalla de inicio de sesión de IBM i, así como con otras aplicaciones o procesos de IBM i. Cualquier proceso que acceda a los datos del Servidor, incluidas las bases de datos externas o las aplicaciones basadas en la nube, debe poder protegerse mediante la solución MFA.
También debe buscar una solución MFA que funcione con las soluciones de autenticación existentes que ya utiliza su organización.
Finalmente, busque soluciones que estén certificadas por un organismo de estándares ampliamente reconocido como RSA o NIST.
Timware ofrece la solución “Assure Security”, que proporciona un conjunto completo de capacidades de control de acceso y seguridad para entornos IBM i Series. Tenemos más de 30 años de experiencia con sistemas IBM i – AS/400 y podemos proporcionar servicios de evaluación de riesgos personalizados junto con una gama de capacidades de productos para mejorar la seguridad de su Sistema. Sin compromiso, podemos ofrecerle sin costo consultoría diagnóstico de sus sistemas IBM i- AS/400 para ayudarlo a tomar la mejor decisión.
Artículo originalmente publicado en Precisely
