CA Technologies: “La seguridad multicapa cumple con los objetivos para el acceso desde cualquier dispositivo”

El uso cada vez más extendido de servicios móviles en smartphones y dispositivos móviles exige un nuevo paradigma en lo que a técnicas de seguridad se refiere. ¿Qué papel desempeña la seguridad en este nuevo entorno?

La seguridad representa un papel fundamental puesto que estos dispositivos se utilizan para acceder tanto a los datos personales como empresariales. La protección del acceso a las aplicaciones empresariales, la identidad, el canal de comunicación y cualquier dato que pueda residir en el dispositivo es crucial.

¿Cuáles son los principales desafíos que deben afrontar empresas y entidades financieras que ofrecen operaciones bancarias, compras y gestiones de pago mediante dispositivos móviles?

En tanto en cuanto las transacciones desde los dispositivos móviles no requieren presencia física del cliente, tal y como sucede en las gestiones bancarias que se realizan en las oficinas o las compras que se llevan a cabo en establecimientos comerciales, el principal desafío es garantizar de manera inequívoca la identidad del usuario que realiza la transacción y verificar que es realmente quien dice ser.

El siguiente desafío es verificar que esa identidad no ha sido suplantada y, por último, conseguir realizar todos los controles de seguridad sin que resulten incómodos o engorrosos para los usuarios.

¿Por qué seguimos atascados con medidas de seguridad tan anticuadas como el uso de contraseñas? ¿Cuál es la propuesta de CA Technologies para mejorar la seguridad? ¿Qué es la seguridad multicapa?

Los controles de seguridad que van más allá del clásico usuario/contraseña son más difíciles de aceptar por parte de los usuarios porque conllevan una mayor intervención suya. Conscientes de ello, las soluciones de CA Technologies consiguen, por una parte, implementar mecanismos de autenticación fuerte (software tokens, one time password, etc.) con intervención mínima o inexistente de los usuarios y, por otra, proporcionar a entidades financieras y empresas que realizan transacciones online funcionalidades de evaluación del riesgo basada en docenas de parámetros diferentes que pueden mitigan los riesgos a niveles asumibles.

Para nosotros, la seguridad multicapa cumple con los objetivos de securizar el acceso desde cualquier dispositivo, desde cualquier lugar y para cualquier usuario. Con este planteamiento, nos centramos en cuatro niveles:

1. Autenticación invisible: utilizando parámetros como el “ADN ” del dispositivo (identificación única con tecnología patentada en la que dos dispositivos aunque sean exactamente el mismo modelo y con las mismas características no tienen el mismo id), la localización (un mismo usuario no puede estar por ejemplo en Madrid y en Barcelona en el intervalo de una hora), el perfil del usuario (qué tipo de transacciones y acciones suele realizar), entre otros parámetros, y comparando estos datos y aplicandoles reglas y modelos, se hace una primera evaluación de riesgo que conllevará las acciones que hayamos predeterminado.

2. Autenticación fuerte: tanto de manera inicial como basándonos en el resultado de la evaluación de riesgo del punto anterior, podemos garantizar la identidad solicitando autenticaciones más robustas, por ejemplo, de doble factor en lugar del clásico usuario/contraseña.

3. Autenticación de la transacción, no solamente del usuario. Firmado de transacción, Sesión Virtual Privada, etc.

4. Más allá de la autenticación: Transformar la seguridad en motor del negocio mediante la autenticación de documentos, asociación de documentos a usuarios, marketing dirigido, etc.

¿Cuál es la mejor manera de medir la eficacia de un sistema de gestión seguridad en una empresa?

Existen múltiples marcos para evaluar diferentes métricas de los controles de seguridad de las empresas. En general, IS027000 proporciona un excelente punto de partida. De forma más específica la ISO/IEC 27002 (antes ISO 17799:2005) se presenta como una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Comprobar el estado de esos controles respecto al estado actual es una buena manera de medir la eficacia del sistema de gestión de seguridad de la información.

¿Por qué se siguen observando tantas violaciones de datos si las compañías continúan reforzando las defensas de seguridad mediante inversiones corporativas cada vez mayores? ¿De dónde provienen las principales amenazas?

Los mecanismos para realizar fraudes son cada vez más sofisticados, organizados y complejos. El mundo de las TI está cambiando rápidamente pero, en términos generales, las inversiones corporativas en seguridad no están avanzando en la misma dirección porque a menudo son parciales, como resultado de una respuesta reactiva frente a un incidente concreto o carecen de una visión holística de la seguridad, comprendiendo multitud de productos muy difíciles de interoperar o integrar.

Seguimos insistiendo en el concepto de defensa perimetral o defensiva en un mundo en el que el perímetro no existe o bien lo abarca todo ya que, por ejemplo, ¿a qué perímetro limitamos los smartphones, tablets o los servicios en la nube si no sabemos ni donde están? La filosofía que impulsa CA Technologies es pasar del concepto de la seguridad del “no” a la seguridad del “conocimiento”; conocer al usuario, los accesos requeridos, cuándo, cómo y dónde debe acceder exactamente a qué información y así poder usar las soluciones de seguridad para facilitar y proteger ese acceso.