Aproximadamente 13.000 organizaciones utilizan SecurID para verificar que sus 30 millones de usuarios son quienes dicen ser. Software SecurID funcionan como y cuando lo hacen nuestros clientes, proporcionando la sencillez, seguridad y comodidad que toda empresa necesita para hacer frente a sus desafíos de identidad únicos.
Pero ser la plataforma de identidad de confianza significa garantizar que somos capaces de apoyar cada y aunque los tokens SecurID soft son fáciles de usar y gestionar, a veces los tokens hard siguen siendo la mejor opción.
Hay varias razones por las que una organización puede optar por utilizar fichas duras:
- Los tokens duros ofrecen una protección mucho mayor para el material criptográfico (la semilla) y reducen la posibilidad de que cualquier malware acceda al token.
- Los tokens blandos suelen instalarse en los teléfonos inteligentes, lo que resulta práctico en la mayoría de los casos, pero en algunos casos, introducir un teléfono inteligente en un entorno muy controlado o sensible puede ser imposible.
- Es posible que los empleados no quieran o no se les permita instalar software relacionado con la empresa en sus smartphones privados.
Pero el hardware no tiene por qué ser difícil de distribuir, difícil de manejar, difícil de gestionar o difícil de sustituir: Los tokens duros SecurID pueden asignarse, activarse, desactivarse y configurarse desde la nube.
Los usuarios pueden incluso restablecer su PIN a través de la página MyPage del servicio de autenticación en la nube SecurID Access. Esta funcionalidad por sí sola puede suponer un gran ahorro: en las grandes empresas, casi 50 por ciento de los costes del servicio de asistencia informática se destinan al restablecimiento de contraseñas.
Llevo casi 20 años ayudando a los clientes de SecurID a configurar sus procesos de IAM, y a estas alturas tengo claro que cada empresa tiene sus propias necesidades de identidad. Durante una reciente seminario web, compartí algunos de los factores que las empresas deben tener en cuenta a la hora de decidir entre tokens duros y blandos. Es una cuestión importante y que las empresas pasan mucho tiempo sopesando.
Otra cuestión igual de importante pero que suele pasarse por alto es: "¿Cómo debemos asignar autenticadores a los usuarios?".
Es algo a lo que me gustaría que las empresas dedicaran más tiempo en una fase más temprana del proceso, porque es otra oportunidad para que las empresas desarrollen procesos de IAM que satisfagan sus necesidades.
Las empresas pueden elegir entre dos métodos para gestionar este paso:
Es un buen método para las empresas que ya disponen de un mecanismo de entrega seguro.
En este caso, un administrador asigna un token específico a un usuario concreto y, a continuación, se lo envía (idealmente, con un embalaje a prueba de manipulaciones). Los costes pueden ser un poco más elevados porque, en este caso, los administradores no pueden enviar los tokens a granel.
Sin embargo, el mayor coste también puede suponer una mayor seguridad: los administradores pueden enviar tokens desactivados a los usuarios y activarlos una vez que el usuario confirme su recepción. El usuario recibe exactamente el token que le pertenece.
Este método funciona mejor si su equipo de seguridad dispone de una forma de autenticar a los usuarios de forma segura durante el proceso de asignación. También es rentable: basta con tener un montón de tokens sin asignar disponibles para que cada usuario los recoja. Incluso enviarlos por correo es más fácil: alguien sólo tiene que enviar por correo un token (cualquier token disponible) a cada destinatario. No hay que preocuparse de qué ficha se envía a cada usuario.
Otra posibilidad es que los usuarios compren sus propios tokens, incluidos los de FIDO2.
Lo más complicado es vincular el token a una identidad concreta, lo que debe hacerse de forma segura. Además, la confianza que la empresa deposita en el token no puede ser significativamente mayor que la confianza inicial que el usuario crea durante el registro; esto es especialmente cierto en el caso de los tokens FIDO, ya que pueden proceder de cualquier lugar. Cualquiera que sea la cantidad de "confianza de registro" que se utilice para autenticar un token se convierte en el factor limitador de ese token a lo largo de su vida útil.
La respuesta breve es que ambos métodos pueden funcionar y que no existe un modelo "óptimo" para distribuir fichas de hardware.
La respuesta más larga es que, al igual que la IAM en general, la distribución y la autenticación deben satisfacer las necesidades de su empresa. Las organizaciones necesitan soluciones que sean prácticas suficiente y seguro suficiente para equilibrar los comportamientos de los usuarios y abordar los problemas de seguridad más probables, frecuentes e impactantes.
Se podría argumentar que "Asignar, luego distribuir" es el más seguro de los dos métodos. En un mundo perfecto, utilizar un número de serie para asociar un token a un usuario concreto podría ser una forma útil de reducir las variables y controlar la autenticación desde el principio.
Pero 'Asignar, luego distribuir' no tienen es el más seguro de los dos. Distribuir y luego asignar" puede ser lo bastante seguro y práctico para satisfacer las necesidades de tu equipo.
Y recuerde que, independientemente del método, cualquier cantidad de seguridad es inútil si no es práctica. Esa es una de las razones por las que pedir a los empleados que recuerden y gestionen hasta 100 contraseñas de media puede crear vulnerabilidades significativas para las organizaciones.
Otro factor es que muchos de nosotros estamos intentando adaptarnos a COVID-19, que lo ha cambiado todo, desde la forma en que trabajo a cómo vote. Hoy en día, pedir a su equipo que se agolpe en una oficina y recoja una ficha puede no ser ideal, seguro o práctico.
La buena noticia para los clientes de SecurID es que, tanto si opta por "Asignar y luego distribuir" como por "Distribuir y luego asignar", el token de hardware SecurID: SecurID Access puede gestionar ambas opciones.
De hecho, nuestros tokens de hardware se diseñaron para ofrecer la máxima flexibilidad posible similar a la del software:
- Los clientes de SecurID Access Cloud Authentication pueden registrar y gestionar tokens SecurID 700 desde cualquier lugar
- Añadir nuevos tokens es muy sencillo: todo lo que tienen que hacer los administradores es cargar un archivo semilla XML y proporcionar la contraseña correspondiente.
- Desactivar los tokens es igual de sencillo: los administradores pueden eliminar por lotes todos los tokens caducados o proporcionar los números de serie de tokens específicos que deben eliminarse
- Una vez registrados, los administradores pueden establecer políticas de bloqueo y PIN de usuario según las necesidades de su organización. Los administradores también pueden activar o desactivar las notificaciones por correo electrónico sobre bloqueos o restablecimiento de PIN.
- ¿Necesita saber cuántos tokens gestiona o a quién pertenecen? Eso también es fácil: basta con crear un informe sobre todos sus tokens importados. El informe también proporciona visibilidad del número de serie del token, su tipo, fecha de caducidad, estado, usuario asignado, etc.
- Los equipos de seguridad también pueden ajustar los niveles de garantía según sea necesario. autenticación basada en el riesgo para reducir la necesidad de escalones y aumentar la comodidad sin sacrificar la seguridad.
Su organización puede utilizar estos tokens con aplicaciones web, RADIUS, autenticación multifactor SecurID (AMF) (incluidos Windows 10 y MacOS).
De hecho, los tokens de hardware SecurID son solo un tipo de token de hardware que puede gestionar desde la nube: cualquier token compatible con FIDO U2F o FIDO2 puede gestionarse a través del servicio de autenticación en la nube SecurID Access.
Sea cual sea la elección de su organización, asegúrese de que su solución IAM puede adaptarse a sus necesidades, y no al revés.
¿Quiere quitarle lo "difícil" al hardware? Póngase en contacto con nosotros para ver lo fáciles que pueden ser las fichas de hardware.
