Modernización de la gestión de identidades a gran escala

Una importante agencia estatal de servicios de tecnologías de la información gestiona la identidad y el acceso de más de 145 000 usuarios en docenas de organismos estatales, entre los que se incluyen organismos encargados de la aplicación de la ley cuyos sistemas deben cumplir los estrictos requisitos de seguridad de los Servicios de Información de Justicia Penal (CJIS).  

Como cliente de RSA desde hace mucho tiempo, la agencia había confiado durante años en RSA SecurID y Authentication Manager para proteger su entorno local. Lo que necesitaba a continuación era un plan de futuro: una forma de ampliar esa base de confianza a un entorno Microsoft centrado en la nube, eliminar la carga de trabajo del servicio de asistencia técnica, que había aumentado al crecer su base de usuarios, y establecer el modelo de autenticación sin contraseñas y resistente al phishing que exigía su estrategia Zero Trust. 

La agencia encontró ese camino gracias a RSA. En lugar de sustituir lo que ya tenía, la agencia modernizó sus capacidades, ampliando su plataforma RSA existente a la nube con RSA ID Plus, añadiendo autoservicio y automatización del ciclo de vida con RSA ID Plus Prime, e implementando RSA Help Desk Live Verify para subsanar una de las vulnerabilidades más explotadas en cualquier gran organización: el propio servicio de asistencia técnica. El resultado es una plataforma de identidad autorizada por FedRAMP, compatible con FIPS 140-3 y alineada con CJIS, que funciona en conjunto con Microsoft Entra Identity, protegiendo los recursos en la nube, híbridos y locales desde una única consola unificada. 

Las organizaciones de TI de los gobiernos estatales operan a una escala que hace que la modernización de la gestión de identidades sea a la vez urgente y compleja. Solo esta agencia gestiona más de 145 000 identidades de usuarios repartidas entre docenas de entidades, cada una con diferentes perfiles de riesgo, obligaciones de cumplimiento normativo y necesidades de autenticación. El entorno Microsoft, que constituye el núcleo de su infraestructura, había crecido de forma significativa, y ahora Microsoft 365 y Microsoft Entra Identity gestionaban el acceso a las cargas de trabajo en la nube en toda la empresa. Al mismo tiempo, los sistemas locales, el acceso a la red conectado a RADIUS, las aplicaciones heredadas y los entornos de alta seguridad que no podían trasladarse a la nube seguían siendo esenciales para las operaciones diarias. 

Microsoft ofrece sólidas capacidades de gestión de identidades dentro de su propio ecosistema, pero las áreas en las que Entra presentaba limitaciones eran precisamente aquellas en las que se concentraba el riesgo de esta agencia: cargas de trabajo híbridas y locales, aplicaciones heredadas que requieren autenticación mediante token de hardware, entornos aislados físicamente o dependientes de RADIUS, y casos de uso de alta seguridad con requisitos de cumplimiento de FIPS y CJIS. Para subsanar esas brechas de vulnerabilidad se necesitaba una plataforma diseñada específicamente para ampliar el alcance de Microsoft. RSA ID Plus, como complemento autorizado por FedRAMP para Microsoft Entra, era esa plataforma. 

La infraestructura de identidad existente de la agencia funcionaba con una versión anterior de una solución de autenticación RSA local. Esa solución anterior admitía aproximadamente 109 000 tokens de software y 36 000 tokens físicos. Y, aunque había sido fiable, ya no resultaba suficiente para satisfacer las crecientes necesidades de la agencia. Habían surgido varios problemas críticos para el negocio: 

• Carga de trabajo del servicio de asistencia técnica: Los restablecimientos de credenciales y las solicitudes de incorporación generaban aproximadamente 2.500 llamadas al servicio de asistencia al mes. La experiencia de autoservicio vinculada a la solución heredada ofrecía una personalización limitada y no permitía reducir ese volumen. Peor aún, el propio servicio de asistencia técnica suponía un riesgo para la seguridad: los ataques de ingeniería social que suplantaban la identidad de usuarios legítimos para obtener acceso a través de los canales de asistencia eran un riesgo que no se había abordado. 
• «Zero Trust» y autenticación multifactorial (MFA) resistente al phishing: La iniciativa «Zero Trust» de la agencia exigía una autenticación resistente al phishing en todos los entornos, no solo en los sistemas nativos de la nube. Los flujos tradicionales basados en contraseñas y en códigos OTP no podían satisfacer ese requisito, por lo que la agencia necesitaba ampliar sus opciones para incluir autenticadores de hardware certificados según los estándares push, biométricos, códigos QR, FIDO2 y FIDO, al tiempo que mantenía intacta su inversión actual en tokens. 
• Cumplimiento normativo y certificación: Las unidades de aplicación de la ley de la agencia exigían un sistema de autenticación conforme a la normativa CJIS, con registros de auditoría centralizados e informes en tiempo real. Los requisitos de armonización federal apuntaban hacia soluciones autorizadas por FedRAMP. Los casos de uso de alta seguridad exigían autenticadores de hardware certificados según la norma FIPS 140-3.
• Informes y gobernanza: La elaboración manual de informes mediante hojas de cálculo no podía adaptarse para satisfacer las exigencias de auditoría y cumplimiento normativo en toda 145 000 usuarios. La agencia necesitaba disponer de información automatizada y en tiempo real sobre los eventos de autenticación, el estado del ciclo de vida de los tokens y la actividad de los usuarios. 

La modernización tenía que abordar todos estos aspectos a la vez, y hacerlo sin imponer una sustitución total que hubiera afectado a una plantilla de 145 000 usuarios que ya estén familiarizados con la autenticación RSA. 

RSA ID Plus cuenta con la autorización de FedRAMP y ha sido diseñado específicamente para muy complejo entornos híbridos. Se integra con Microsoft Entra Identidad a través de SAML y OpenID Connect, lo que permite aplicar una política de autenticación coherente en Microsoft 365, las aplicaciones alojadas en la nube y los sistemas locales, sin sustituir la capa de identidad Microsoft ni obligar a la agencia a gestionar dos consolas distintas. Mientras que Entra cubre la nube Microsoft, RSA cubre todo lo demás: RADIUS, aplicaciones heredadas, entornos aislados físicamente y cargas de trabajo que requieren un nivel de seguridad superior al que ofrecen las herramientas nativas de la nube. 

“La agencia no tuvo que elegir entre proteger su entorno Microsoft y preservar su inversión en RSA. RSA ID Plus hizo posible ambas cosas al mismo tiempo”.”

RSA también ofrecía algo que ninguna solución puntual podía ofrecer: una respuesta completa al problema del servicio de asistencia técnica. RSA Help Desk Live Verify (patente en trámite) proporciona una verificación de identidad bidireccional y sin contraseña para las interacciones con el servicio de asistencia técnica, lo que permite al personal de dicho servicio y a los usuarios verificar mutuamente sus identidades sin necesidad de PIN, claves compartidas ni preguntas de seguridad basadas en conocimientos que puedan investigarse o ser objeto de ingeniería social. Para una agencia que gestiona 145 000 usuarios En decenas de entidades, Help Desk Live Verify solucionó una vulnerabilidad sistémica que la mera ampliación de la autenticación multifactorial (MFA) por sí sola no habría podido subsanar. 

Para los casos de uso que requieren el máximo nivel de seguridad de la agencia, los entornos regulados por el CJIS, los sistemas de las fuerzas del orden y las funciones que exigen hardware certificado según FIPS, RSA ofreció la serie RSA iShield Key 2: autenticadores de hardware con certificación FIDO2 y certificación FIPS 140-3 de nivel 3, que admiten una autenticación resistente al phishing y sin contraseña que cumple con la Orden Ejecutiva 14028, OMB M-22-09 y M-24-14. Ningún otro proveedor de la evaluación pudo ofrecer ese nivel de garantía de hardware junto con la amplitud de soluciones híbridas que proporcionó RSA. 

La colaboración se llevó a cabo gracias a Tecnología ThunderCat como distribuidor de soluciones y Carahsoft Technology Corp en calidad de distribuidor, aportando ambos una amplia experiencia en contratación pública al programa. RSA Professional Services proporcionó un consultor residente a media jornada durante doce meses, integrado en el entorno de la agencia y responsable del diseño, la implementación y la transferencia de conocimientos a lo largo de todo el proceso. 

La implementación se llevó a cabo en dos fases. En la primera, se implementó RSA ID Plus en un modelo de nube híbrida, conectando la solución de autenticación RSA heredada de la agencia a la plataforma en la nube de RSA a través de «Identity Routers» integrados. Los tokens de hardware y software existentes se mantuvieron sin necesidad de volver a registrarlos. Se integraron Microsoft Active Directory y LDAP como fuentes de identidad. Las políticas de autenticación se ampliaron a Microsoft Entra y Microsoft 365 a través de SAML y OIDC. Se habilitó toda la gama de autenticadores modernos —notificaciones push, datos biométricos, códigos QR y hardware certificado por FIDO2 y FIDO— junto con el parque de tokens heredado. La agencia implementó su primer portal de inicio de sesión único (SSO).  

En la segunda fase, se implementó RSA ID Plus Prime en la plataforma. El portal de autoservicio de Prime sustituyó a la consola heredada de Authentication Manager, configurada para reflejar los flujos de trabajo existentes, de modo que la transición requirió una formación adicional mínima. El portal de administración del servicio de asistencia técnica proporcionó al personal de soporte una interfaz específica, mientras que RSA Help Desk Live Verify protegió esas interacciones contra la ingeniería social. El marco de integración Prime AMIS sustituyó la generación manual de informes por capacidades automatizadas y en tiempo real de API, flujos de trabajo y auditoría. La verificación de identidad a través del portal Prime Identity Verification Portal, como interfaz de Socure ID Proofing (la solución de verificación de identidad existente de la agencia), garantizó y agilizó los flujos de trabajo de incorporación de nuevos usuarios y recuperación de credenciales sin necesidad de una intervención intensiva del departamento de TI con los usuarios finales. 

La modernización ha dado resultados en tres ámbitos: el nivel de seguridad, la eficiencia operativa y la preparación para el cumplimiento normativo. 

Seguridad y cumplimiento normativo 

• Autenticación multifactorial (MFA) resistente al phishing en toda la empresa: La agencia pasó de la OTP tradicional a un conjunto completo de autenticadores resistentes al phishing, notificaciones push, datos biométricos, códigos QR, FIDO2 y hardware certificado según la norma FIPS 140-3, todo ello gestionado desde una única consola en entornos en la nube, híbridos y locales. De este modo, se cumplieron los requisitos del modelo «Zero Trust» y se satisfacían las exigencias del CJIS en materia de autenticación de alta seguridad en los sistemas de las fuerzas del orden.
• Alineación entre FedRAMP y FIPS: La autorización FedRAMP de RSA ID Plus proporcionó el nivel básico de cumplimiento de la normativa federal que exigía la agencia. Para los casos de uso que exigían el máximo nivel de garantía, la certificación FIPS 140-3 de nivel 3 de RSA iShield Key 2 cumplía los requisitos establecidos en la Orden Ejecutiva 14028 y la norma OMB M-22-09, sin que existiera un equivalente disponible en el conjunto de herramientas nativo de Microsoft. 
• Se ha eliminado el riesgo de ingeniería social en el servicio de asistencia técnica: RSA Help Desk Live Verify ha eliminado el vector de ataque al servicio de asistencia técnica al sustituir la verificación basada en la base de conocimientos por una verificación de identidad bidireccional y sin contraseña, lo que garantiza que ni los usuarios ni el personal de asistencia técnica puedan ser víctimas de ingeniería social que dé lugar a la filtración de credenciales. 

Mejoras operativas 

• Se ha reducido el volumen de consultas al servicio de asistencia: El portal de autoservicio Prime permitía a los usuarios gestionar sus propias credenciales, registrar dispositivos de autenticación y completar el proceso de incorporación sin necesidad de intervención del departamento de TI. La agencia prevé reducir en 2.500 el número de llamadas al servicio de asistencia al mes relacionadas con cuestiones de identidad.
• Informes en tiempo real y preparación para auditorías: La generación automatizada de informes a través del marco Prime AMIS sustituyó a los procesos manuales, lo que proporcionó a los equipos de cumplimiento normativo una visibilidad en tiempo real de los eventos de autenticación, el estado del ciclo de vida de los tokens y la actividad de los usuarios, aspectos fundamentales para cumplir con las obligaciones de auditoría del CJIS en todas las entidades policiales de la agencia. 
• Modernización sin interrupciones: Se conservaron y mantuvieron los 109 000 tokens de software y los 36 000 tokens de hardware de la agencia. No fue necesario que los 145 000 usuarios se volvieran a registrar. El nuevo portal de autoservicio se configuró para reflejar los flujos de trabajo existentes. Los usuarios finales percibieron la transición como una mejora, no como una interrupción. 
• Alta disponibilidad a gran escala: La arquitectura híbrida de alta disponibilidad garantizó la resiliencia en todas las vías de autenticación —en la nube, en las instalaciones y en RADIUS— sin necesidad de ampliar la infraestructura. 

Se ha reforzado el entorno Microsoft 

• RSA como la capa de seguridad que Entra necesitaba: RSA ID Plus amplió la política de autenticación a Microsoft 365, las cargas de trabajo de Azure y los sistemas locales mediante una única integración, aportando la cobertura híbrida, la garantía de hardware y el nivel de cumplimiento normativo que Microsoft Entra por sí sola no podía ofrecer. La integración del Método de Autenticación Externa (EAM) de RSA/Microsoft Entra mantuvo intacta la inversión existente en Microsoft, al tiempo que elevó el nivel de seguridad en todo el entorno combinado. 
• Experiencia unificada en ambas plataformas: El portal de inicio de sesión único (SSO) «RSA My Page» ofrecía a los usuarios una interfaz de autenticación uniforme, independientemente de si su carga de trabajo se encontraba en Microsoft 365 o en un sistema local. Las políticas se aplicaban al usuario independientemente del entorno. 

La plataforma que gestiona actualmente la agencia está diseñada para crecer. Su arquitectura híbrida puede incorporar nuevas agencias, usuarios y casos de uso sin necesidad de rediseñar la arquitectura. Se han implementado las capacidades de FIDO2, verificación de identidad y hardware con certificación FIPS para dar respuesta a los requisitos de autenticación sin contraseña a medida que se extienden a las entidades estatales. La transferencia de conocimientos integrada a lo largo de la residencia de RSA Professional Services garantiza que el propio personal de la agencia pueda gestionar y ampliar la plataforma de forma independiente. 

Para una organización gubernamental estatal que llevaba años confiando en RSA y necesitaba modernizarse sin tener que empezar de cero, el camino a seguir pasaba directamente por la colaboración que ya mantenía y por un entorno Microsoft que, gracias a ello, es ahora considerablemente más seguro. 

Esta iniciativa se llevó a cabo en colaboración con TruenoCen Technology, uno de los principales distribuidores de tecnología para el sector público, y Carahsoft Technology Corp, uno de los mayores distribuidores de TI para el sector público de Estados Unidos. TruenoCen Además, la experiencia de Carahsoft a la hora de desenvolverse en los canales de contratación pública estatales y federales contribuyó a que este programa de modernización se formalizara de manera eficiente., Además, su participación continuada en el ecosistema de la RSA respalda las iniciativas en materia de identidad del sector público que se están llevando a cabo en todo el país.