Parece obvio, pero la postura de ciberseguridad de una organización no puede ser fragmentaria. Aunque una organización puede tratar a determinados usuarios de forma diferente a otros, y aunque puede necesitar protección adicional para los usuarios de mayor riesgo, un programa de seguridad debe tener en cuenta a todos los usuarios.
Satisfacer esa necesidad puede resultar cada vez más complejo a medida que las organizaciones crecen, ya que los responsables de TI deben evaluar el coste de las soluciones de autenticación multifactor (MFA) junto con el comportamiento de los usuarios, al tiempo que crean un marco de ciberseguridad sólido.
Para muchas organizaciones, los dispositivos móviles tienden a ser un compromiso pragmático que equilibra seguridad, coste y comodidad. Los dispositivos móviles son omnipresentes y fáciles de usar para cumplir los requisitos de autenticación multifactor (AMF): 73% de los usuarios creen que los smartphones eran el método más cómodo para cumplir la AMF.
Por muy buena que sea la autenticación basada en aplicaciones móviles a la hora de crear un programa de seguridad para toda la organización y equilibrar los costes, no son una panacea que funcione siempre para todo el mundo. El coste de la autenticación multifactor varía en función del tipo de solución y de la estrategia de implantación.
Preferencias y capacidades del usuario
En determinadas situaciones, es posible que algunos usuarios no puedan utilizar dispositivos móviles o dependan de la conectividad móvil para autenticarse (piense en una sala blanca de fabricación). En otros casos, puede que los empleados no se sientan cómodos instalando aplicaciones obligatorias de la empresa en sus dispositivos personales para cumplir los requisitos de seguridad.
Fichas de hardware
Las organizaciones utilizan dos tipos de soluciones para autenticar a estos usuarios. La primera son los autenticadores de hardware que utilizan contraseñas de un solo uso (OTP). Autenticadores de hardware como el DS100 son el estándar de oro en autenticación: ayudan a las organizaciones a prescindir de contraseñas unificando las ventajas criptográficas de los protocolos FIDO2 y las ventajas de seguridad de OTP.
La segunda solución es la AMF tradicional, como la autenticación basada en SMS (que envía las OTP directamente a los dispositivos personales de los usuarios) y la OTP por voz.
Gastos de mantenimiento y asistencia
Las cuotas de mantenimiento y asistencia también pueden aumentar el coste total con el tiempo, especialmente en el caso de las soluciones de AMF para móviles. Estos costes suelen incluir actualizaciones continuas de las aplicaciones móviles, garantizar la compatibilidad con los sistemas operativos más recientes y abordar las vulnerabilidades de seguridad específicas de las plataformas móviles. Los proveedores también pueden cobrar por mantener servicios fiables de notificaciones push, solucionar problemas específicos de cada dispositivo o prestar asistencia a usuarios con diversos dispositivos móviles. Además, las organizaciones pueden tener que invertir en formación de los usuarios para gestionar las actualizaciones de las aplicaciones móviles y garantizar una integración perfecta con su ecosistema informático. Con el tiempo, estos factores pueden influir significativamente en el coste total de propiedad de las implantaciones de AMF móvil.
Las OTP por SMS y voz tienen fallos de seguridad conocidos: La OTP por SMS no está cifrada y es vulnerable a las interrupciones de la red, el intercambio de SIM, la ingeniería social y los ataques SS7 y man-in-the-middle. RSA recomienda que las organizaciones opten por una autenticación más segura y sin contraseña a largo plazo.
Sin embargo, muchas organizaciones siguen confiando en estos métodos porque:
- apoyar a diversos grupos de usuarios con distintos niveles de acceso y riesgo.
- suelen ser las opciones de AMF más asequibles para pequeñas empresas o entornos específicos.
El Instituto Nacional de Normas y Tecnología de EE.UU. (NIST) lo dijo cuando escribió que las agencias deben equilibrar "los aspectos prácticos de las implementaciones actuales con las necesidades del futuro", y que aprovechar "el SMS a móvil como segundo factor hoy es menos eficaz que algunos otros enfoques, pero más eficaz que un único factor".
No existe una única forma correcta de equilibrar la necesidad de tener en cuenta a todos los usuarios, mejorar la ciberseguridad y controlar los costes. Las organizaciones deben sopesar cada uno de estos factores por sí mismas y elegir soluciones basadas en su perfil de riesgo, recursos, usuarios y objetivos.
He aquí algunos pasos prácticos para controlar el coste de la autenticación multifactor:
- Aprovechar los dispositivos existentes, como los teléfonos móviles, para minimizar la inversión en hardware.
- Elija soluciones AMF escalables que crezcan con su organización.
- Utilice pruebas gratuitas o pilotos para evaluar las soluciones antes de comprometerse con una inversión a largo plazo.
Aunque no hay un camino correcto, sí hay al menos uno incorrecto: las organizaciones no deben dejar que sus soluciones de seguridad sean dictadas por los proveedores. Equilibrar estos factores ya es bastante difícil de por sí: se agrava cuando los proveedores imponen plazos o eliminan capacidades que, aunque imperfectas, siguen satisfaciendo necesidades importantes.
