Aplica MFA uniforme a recursos de empresas

Problema empresarial

Las contraseñas comprometidas son una de las principales causas de las violaciones de la seguridad de los datos. Una vez que una contraseña se ve vulnerada, el hacker tiene los mismos permisos que el empleado para acceder a los datos de la empresa.

La autenticación de varios factores (MFA) es una herramienta importante para proteger los recursos empresariales. La MFA, también llamada “verificación en dos pasos” (2SV), exige que los usuarios verifiquen su identidad por medio de algo que sepan (como una contraseña), y de algo que tengan (como una clave física o un código de acceso).

Para proteger las cuentas y los datos de los usuarios, tu empresa decidió que todos los usuarios se deben autenticar mediante la 2SV para acceder a los recursos corporativos.

Soluciones

Si Cloud Identity es tu proveedor de identidad (IdP), puedes implementar la 2SV de varias formas. Si usas un IdP de terceros, consulta con ellos para conocer su oferta de 2SV.

Puedes seleccionar diferentes niveles de aplicación de 2SV:

Opcional: el empleado decide si usa 2SV.
Obligatorio: el empleado elige el método de 2SV.
Llaves de seguridad obligatorias: el empleado debe usar una llave de seguridad.

Llaves de seguridad

Las llaves de seguridad ofrecen el método de 2SV más seguro.

Las llaves de seguridad ofrecen la protección más sólida entre los métodos de 2SV. Por lo general, los usuarios insertan la clave física en el puerto USB de una computadora. Cuando se les pide, tocan la clave y esta genera una firma criptográfica.

Algunos estafadores configuran sitios de suplantación de identidad que se hacen pasar por Google y piden códigos 2SV. Dado que las llaves de seguridad de Google usan encriptación y verifican la legitimidad de los sitios que los usuarios visitan, las llaves de seguridad son menos propensas a los ataques de suplantación de identidad.

Para usar una llave de seguridad con dispositivos móviles Android, el usuario debe presionar la llave de seguridad en su dispositivo de Comunicación de campo cercano (NFC). Además, existen opciones de USB y Bluetooth de bajo consumo (BLE) para dispositivos Android. Los dispositivos móviles Apple necesitan llaves de seguridad con Bluetooth habilitado.

Mensaje de Google

El mensaje de Google es un método de 2SV alternativo.

En lugar de generar y luego ingresar un código 2SV, los usuarios pueden configurar sus dispositivos móviles Android o Apple para recibir un mensaje de acceso. Cuando acceden a su Cuenta de Google en su computadora, ven el mensaje “¿Estás intentando acceder?” en su dispositivo móvil. Solo deben presionar en la pantalla de su dispositivo móvil para confirmar.

App del Autenticador de Google

El Autenticador de Google es un método de 2SV alternativo.

Este genera códigos 2SV de uso único en dispositivos móviles Android o Apple. Los usuarios generan un código de verificación en su dispositivo móvil y lo ingresan cuando se les pide en su computadora. Pueden ingresarlo para acceder a una computadora de escritorio, a una laptop o incluso al mismo dispositivo móvil.

Códigos de respaldo

Los códigos de respaldo son un método de 2SV alternativo.

En el caso de que un usuario no esté cerca de su dispositivo móvil o trabaje en un área de alta seguridad en la que no puede portar dispositivos móviles, puede usar un código de respaldo para la 2SV. Los usuarios pueden generar códigos de verificación de respaldo y, luego, imprimirlos con anticipación.

Mensaje de texto o llamada telefónica

Los mensajes de texto o las llamadas telefónicas son métodos de 2SV alternativos.

Google envía un código de 2SV a dispositivos móviles mediante un mensaje de texto o una llamada de voz.

Recomendaciones

Deberás poner en la balanza la seguridad, el costo y la comodidad a la hora de decidir qué alternativas de 2SV son mejores para tu empresa. Sin importar la opción que elijas, te recomendamos habilitar el uso de la 2SV. Esto hace que la 2SV sea obligatoria.

Usa llaves de seguridad

Te recomendamos exigir llaves de seguridad a los empleados que crean y acceden a datos que necesitan el mayor nivel de seguridad. Deberías exigir la 2SV a los demás empleados y, también, incentivarlos a usar las llaves de seguridad.

Las llaves de seguridad ofrecen el método de 2SV más seguro. Se basan en el estándar abierto que desarrolla Google como parte de Fast Identity Online (FIDO) Alliance. Solo necesitan un navegador compatible en los dispositivos de los usuarios.

Otras opciones

Si el costo y la distribución son factores determinantes para tu decisión, un mensaje de Google o la app del Autenticador de Google son buenas alternativas. Un mensaje de Google proporciona una mejor experiencia del usuario, ya que solo debe presionar en la pantalla de su dispositivo cuando se le pida, en lugar de tener que ingresar un código de verificación.

Si tus usuarios no pueden portar dispositivos móviles, pueden generar códigos de verificación imprimibles para llevarlos a las áreas de alta seguridad.

No recomendamos usar mensajes de texto. El Instituto Nacional de Estándares y Tecnología (NIST) ya no recomienda la 2SV basada en SMS debido al riesgo de piratería desde las entidades patrocinadas por el gobierno.

Ejemplo

La empresa A es de gran tamaño y está bien establecida. Usa apps y autenticación locales. Para mejorar la seguridad, impulsar la escalabilidad y disminuir los costos de asistencia, quieren cambiarse a Cloud Identity como su IdP principal.

La empresa adoptó un mandato para implementar una oferta de IDaaS a fin de administrar su presencia en la nube, lo cual exige la implementación de 2SV y el cumplimiento antes de una fecha determinada El equipo de Infosec necesita 2SV para todos los usuarios.

La empresa A decide usar Cloud Identity para implementar la 2SV. Planean hacer que las llaves de seguridad sean obligatorias para los usuarios que trabajan en las iniciativas empresariales más sensibles y críticas, y para quienes tengan acceso a la información de los empleados. Esto incluye a los ejecutivos de todas las organizaciones y los usuarios de las áreas de recursos humanos, ingeniería y finanzas. Todos los demás empleados deben usar la 2SV. Pueden seleccionar el método de 2SV que mejor les convenga y se les recomienda que usen las llaves de seguridad.

La aplicación de las llaves de seguridad varía según la organización.

Para exigir llaves de seguridad solo a ciertos grupos, el equipo de TI crea subconjuntos de usuarios dentro de las organizaciones más grandes, llamados grupos de excepción. Por ejemplo, toda la organización de marketing debe usar la 2SV, pero solo los ejecutivos deben usar llaves de seguridad. El equipo de TI crea un grupo ejecutivo dentro de cada organización, como Marketing, Ventas y Asistencia, y exige la aplicación de llaves de seguridad en esos grupos ejecutivos.

Información relacionada

2SV: Agregar la verificación en dos pasos
Llaves de seguridad: Cómo usar una llave de seguridad para la verificación en dos pasos
Aplicación de la llave de seguridad: Aplicación obligatoria
Llaves de seguridad en Google Cloud Platform: Protege tu cuenta de Google Cloud Platform con llaves de seguridad
Autenticador de Google: Cómo instalar el Autenticador de Google
Mensaje de Google: Cómo acceder a tu cuenta más rápido desde el teléfono con mensajes de verificación en dos pasos
Códigos de seguridad: Cómo acceder con códigos de respaldo
Subgrupo de usuarios en una organización: Aplicar políticas de seguridad personalizadas
Estándar NIST: Lineamientos de identidad digital de NIST