Garantizando la seguridad en una economía cada vez más móvil, global y flexible

Por Abrar Ahmed, SureID y Jerome Becquart, Axiad IDS

La Oficina de Administración de Personal de Estados Unidos (OPM) abordó el problema de las vulnerabilidades de la seguridad en su “Cybersecurity Sprint” federal donde señala que la ciberseguridad plantea algunos de los desafíos económicos y de seguridad más serios de este siglo. En junio la Administración Obama señaló la necesidad de “acelerar drásticamente la implementación de la autenticación multifactor” como paso crucial para perfeccionar la ciberseguridad.

Con tal propósito, el Departamento de Defensa ya implantó la Tarjeta de Acceso Común (CAC) para su personal y la Verificación de Identidad Personal (PIV) para los empleados de gobierno. Ahora está recomendando las tarjetas de Verificación de Identidad Personal Interoperable (PIV-I) con vistas a posibilitar la autenticación multifactor para su base de contratistas.

Este sistema de credencial también da soporte a la autenticación multifactor de identidad con foto, huellas digitales y un PIN, representando la manera más efectiva de resolver las vulnerabilidades de la seguridad tanto en línea como localmente. Es de beneficio para todos, tanto para las agencias federales como para sus diversos grupos de usuarios, dado que funciona eficientemente en toda una amplia gama de sistemas de control de acceso físico y lógico.

¿Por qué PIV/PIV-I?

La base de confianza hizo posible que PIV/PIV-I forme parte de los requisitos de emisión y demostración de identidad asociados con altos niveles de credenciales seguras. The foundation for trust enabled by PIV/PIV-I lies in the identity proofing and issuance requirements associated with high levels of assurance credentials. El gobierno federal trazó directrices políticas específicas para varios niveles de confianza asociados con diferentes tipos de credenciales, lo que se denomina “nivel de garantía”.

Esta política federal identifica cuatro niveles de garantía, siendo el nivel uno el más bajo, que no requiere verificación de identidad — piense en un email en Internet en sitios web comerciales que permiten que usuarios anónimos no verificados creen cuentas — y el nivel cuatro que representa la más alta garantía de confianza posible. Las credenciales PIV/PIV-I son consideradas como “nivel de garantía cuatro” o LOA4 para los requerimientos de la demostración de identidad en persona, almacenamiento de certificado digital basado en hardware, y política de emisión segura, de manera que la persona correcta reciba la credencial correcta.

Este año las entidades contratantes con el gobierno federal puede que necesiten incrementar la implementación y uso de credenciales que PIV-I para autenticación multifactor. El Director de Informática de Estados Unidos, Tony Scott, plantea que hacia finales del término del Presidente Obama quiere alcanzar el 100% de empleo de tarjetas PIV para usuarios privilegiados de sistemas federales. Como resultado, las agencias federales han redoblado sus esfuerzos para implementar PIV y PIV-I para usuarios tanto privilegiados como no privilegiados.

Este programa no solo aportará más seguridad al gobierno y sus contratistas, sino que también proporciona un modelo de seguridad que las empresas privadas pueden adoptar para evitar la próxima gran violación a la seguridad.

PIV para la empresa comercial: PIV Civil (PIV-CIV)

Las violaciones de seguridad no son una opción, sobre todo para organizaciones para las cuales una violación puede tener un impacto altamente nocivo, como es el caso de las instituciones financieras globales que realizan transacciones multimillonarias, las compañías que manejan sensibles datos personales de salud o las plantas nucleares que administran activos de misión crítica.

La eficiencia y ubicuidad del modelo PIV-I — o PIV-CIV cuando se usa en el espacio comercial — compensa ampliamente la inversión inicial en tiempo y recursos cuando literalmente hay en línea información y activos por un valor de miles de millones de dólares.

Más aún, el marco PIV proporciona la flexibilidad de administrar fuerza de trabajo cada vez más diversa que demanda más opciones en relación a dónde y cómo se ejecuta el trabajo. En los años recientes se han hecho grandes avances para hacer más accesible este marco.

Credenciales derivadas para empleados móviles

Desde que en la pasada década se introdujo por primera vez el estándar PIV, la naturaleza del trabajo y la forma en que se conduce han continuado evolucionando. A medida que los empleados se han hecho más móviles y flexibles, trabajando cada vez más de manera remota desde una diversidad de ubicaciones geográficas y con una variedad de dispositivos, la autenticación multifactor que utiliza una identidad digital segura puede reducir grandemente la amenaza de las violaciones de ciberseguridad.

Hoy en día muchas laptops incluyen capacidades de lectura de tarjeta inteligente y, en combinación con el soporte nativo para PIV/PIV-I de Microsoft Windows, un usuario móvil puede conectarse con la misma seguridad en la identidad y privilegios de acceso conque lo hace en su centro de trabajo.

Como la labor se realiza cada vez más en plataformas y dispositivos móviles, los titulares de tarjeta pueden también beneficiarse de las “credenciales derivadas”, que se llevan en los dispositivos móviles en lugar de llevar consigo una tarjeta.

Esta opción ofrece una alternativa económica para añadir lectores de tarjeta inteligente a los dispositivos móviles, o reemplazar los equipos que no dan soporte al factor de forma. Además incrementa la productividad, acomodando a los empleados que prefieren utilizar sus dispositivos móviles personales para trabajar.

Adicionalmente, cada vez más dispositivos móviles ofrecen validación biométrica, como reconocimiento facial y escaneo de huellas digitales, que pueden utilizarse de conjunto con la credencial derivada PIV/PIV-I.

Emerge un ecosistema PIV: convergencia lógica y física

Muchas instituciones federales ya han utilizado las tarjetas PIV como credenciales de fuerte autenticación multifactor para el acceso lógico interno. También hemos observado mandatos adicionales, tales como el memorándum M-11-11 de la OMB que requiere el uso de tarjetas PIV para acceso físico.

Esos mandatos han creado un ecosistema de una variedad de proveedores, tales como Microsoft y HID Global, que están sentando las bases para la futura adopción. Microsoft ha dado soporte a PIV para el login, así como para firma digital y encriptación, comenzando con Windows 7. Varios proveedores comerciales producen ahora lectores de tarjetas de acceso físico y sistemas de control de acceso físico (PACS) compatibles con los estándares PIV.

Las agencias federales ya han logrado enormes avances en la implementación. En junio pasado el Departamento de Asuntos de Veteranos (VA) implementó una política para hacer que las tarjetas PIV sean obligatorias en los sistemas informáticos de VA. Además esto incluye a los que acceden a la red con privilegios elevados.

Ese esfuerzo parece que ya está rindiendo beneficios. En su informe mensual al Congreso correspondiente al mes de diciembre, el VA observaba que desde noviembre las violaciones de datos relacionadas con la información personal de salud habían decrecido en más del 60%.

Entretanto, a finales del pasado año la Oficina del Censo de EEUU comenzó a hacer pruebas de las credenciales derivadas de PIV para su uso en la tecnología móvil y en los teléfonos inteligentes en la preparación del censo de 2020. La meta es reducir ineficiencias logísticas en sus tareas de recolección de datos, que en el 2010 le costó a los contribuyentes un estimado de $17,800 millones, lo que significa un incremento del 56% respecto al 2000.

Las lecciones aprendidas en estos ensayos de la Oficina del Censo en EEUU beneficiarán también al sector privado. Las industrias de misión crítica, consideradas en gran medida como conservadoras respecto a la informática, tales como energía, servicios públicos y tratamiento de residuales, están al frente en el porcentaje de usuarios que se conectan a su trabajo solamente desde sus dispositivos móviles.

¿Una panacea de seguridad?

PIV, PIV-I y PIV-CIV siguen siendo las credenciales más fuertes para reemplazar contraseñas y ofrecer la autenticación multifactor requerida para enfrentar las amenazas a la ciberseguridad. PIV-CIV, en particular, es flexible y puede coincidir con todos los requerimientos de seguridad de la empresa comercial. Aunque estas credenciales ofrecen el nivel de seguridad más alto disponible hoy día, nunca habrá una sola credencial que rija a todas las demás.

Otros métodos de autenticación menos fuertes, como son los tokens de contraseña de un solo uso, continuarán sirviendo a su propósito en el contexto apropiado. En general existirá una permanente necesidad de credenciales que se ajusten al nivel de riesgo o confianza necesarios para controlar el acceso a los recursos y servicios.

Para PIV-I y PIV-CIV el futuro es ahora

Luego de confrontar una serie de obstáculos en el camino a convertirse en el sistema robusto que representa hoy en día, el marco PIV es y seguirá siendo el estándar de oro para la autenticación multifactor en el actual panorama de la ciberseguridad.

El daño infligido por los hackeos de alto perfil en los sectores gubernamental y privado ha puesto al descubierto el tremendo costo que suponen las insuficientes medidas de seguridad y ha colocado bajo una nueva óptica el análisis costo-beneficio de invertir en las opciones de seguridad más robustas del mundo. En definitiva, las instituciones gubernamentales e industrias más sensibles del mundo ya no pueden permitirse no implementar un proceso de autenticación multifactor con PIV, PIV-I o PIV/CIV.

Al guiar por el camino hacia un futuro más seguro, el gobierno federal continúa creando e implementando el conjunto normativo de prácticas y tecnologías requeridas para elevar los estándares de seguridad en todo el globo. Esperamos que con el tiempo este esfuerzo continuado hará que las grandes violaciones de la ciberseguridad pasen a ser un episodio de la historia empresarial.

Autores:

Ahmed es director de información y vicepresidente senior de Servicios Técnicos de SureID. Becquart es vicepresidente de Operaciones y Marketing de Axiad ID.