Menú

Aplica MFA uniforme a recursos de empresas

Problema empresarial

Las contraseñas comprometidas son una de las principales causas de las violaciones de seguridad de los datos. Una vez que se ha comprometido una contraseña, el hacker tiene los mismos permisos que el empleado para acceder a los datos de la empresa.

La autenticación de varios factores (MFA) es una herramienta importante para proteger los recursos empresariales. La MFA, también llamada "verificación en dos pasos" (2SV), exige que los usuarios verifiquen su identidad por medio de algún dato que conocen (como una contraseña), además de otro factor (como una llave física o un código de acceso).

Para proteger los datos y las cuentas de usuario, tu empresa decidió que todos los usuarios se deben autenticar mediante 2SV para acceder a los recursos de la empresa.

Soluciones

Si Cloud Identity es tu Proveedor de identidad (IdP), puedes implementar 2SV de varias formas. Si usas un IdP de terceros, consulta con ellos para conocer su oferta de 2SV.

Puedes seleccionar diferentes niveles de aplicación de 2SV:

  • Opcional: el empleado decide si usa 2SV.
  • Obligatorio: el empleado elige el método de 2SV.
  • Llaves de seguridad obligatorias: el empleado debe usar una llave de seguridad.

Llaves de seguridad

Las llaves de seguridad ofrecen el método de 2SV más seguro.

Las llaves de seguridad ofrecen la protección más sólida entre los métodos de 2SV. Por lo general, los usuarios insertan la llave física en el puerto USB de una computadora. Cuando se les pide, tocan la llave y esta genera una firma criptográfica.

Algunos estafadores configuran sitios de suplantación de identidad que se hacen pasar por Google y piden códigos 2SV. Dado que las llaves de seguridad de Google usan encriptación y verifican la legitimidad de los sitios que los usuarios visitan, las llaves de seguridad son menos propensas a los ataques de suplantación de identidad.

Para usar una llave de seguridad con dispositivos móviles Android, el usuario debe presionar la llave de seguridad en su dispositivo de Comunicación de campo cercano (NFC). Además, existen opciones USB y de Bluetooth de bajo consumo (BLE) para dispositivos Android. Los dispositivos móviles Apple necesitan llaves de seguridad con Bluetooth habilitado.

Mensaje de Google

El mensaje de Google es un método de 2SV alternativo.

En lugar de generar y luego ingresar un código 2SV, los usuarios pueden configurar sus dispositivos móviles Android o Apple para recibir un mensaje de acceso. Cuando acceden a su cuenta de Google en su computadora, ven el mensaje "¿Estás intentado acceder?" en su dispositivo móvil. Solo deben presionar su dispositivo móvil para confirmar.

App del Autenticador de Google

El Autenticador de Google es un método de 2SV alternativo.

El Autenticador de Google genera códigos 2SV de uso único en dispositivos móviles Android o Apple. Los usuarios generan un código de verificación en su dispositivo móvil y lo ingresan cuando se les pide en su computadora. Pueden ingresarlo para acceder a una computadora de escritorio, a una laptop o incluso al mismo dispositivo móvil.

Códigos de respaldo

Los códigos de respaldo son un método de 2SV alternativo.

En el caso de que un usuario esté lejos de su dispositivo móvil o trabaje en un área de alta seguridad en la que no puede portar dispositivos móviles, puede usar un código de respaldo para 2SV. Los usuarios pueden generar códigos de verificación de respaldo y luego imprimirlos con anticipación.

Mensaje de texto o llamada telefónica

Los mensajes de texto o las llamadas telefónicas son métodos de 2SV alternativos.

Google envía un código 2SV a dispositivos móviles mediante un mensaje de texto o una llamada de voz.

Recomendaciones

Deberás poner en la balanza la seguridad, el costo y la comodidad a la hora de decidir qué alternativas de 2SV son mejores para tu empresa. Sin importar la alternativa que selecciones, te recomendamos habilitar el uso de 2SV. Esto hace que 2SV sea obligatoria.

Usa llaves de seguridad

Te recomendamos exigir llaves de seguridad a aquellos empleados que crean y acceden a datos que necesitan el mayor nivel de seguridad. Deberías exigir 2SV a los demás empleados y también incentivarlos a usar las llaves de seguridad.

Las llaves de seguridad ofrecen la forma de 2SV más segura. Funcionan a partir del estándar abierto desarrollado por Google como parte de Fast Identity Online (FIDO) Alliance. Simplemente necesitan un navegador compatible en los dispositivos de los usuarios.

Otras opciones

Si el costo y la distribución son factores determinantes para tu decisión, un mensaje de Google o la app del Autenticador de Google son buenas alternativas. Un mensaje de Google proporciona una mejor experiencia del usuario, ya que simplemente debe presionar su dispositivo cuando se le pida en lugar de ingresar un código de verificación.

Si tus usuarios no pueden portar dispositivos móviles, pueden generar códigos de verificación imprimibles para llevarlos a las áreas de alta seguridad.

No recomendamos usar mensajes de texto. El NIST (Instituto Nacional de Estándares y Tecnología) ya no recomienda 2SV con SMS debido al riesgo de robo desde las entidades patrocinadas por el Gobierno.

Ejemplo

La empresa A es de gran tamaño y está bien establecida. Usa apps y autenticación locales. Para mejorar la seguridad, impulsar la escalabilidad y disminuir los costos de asistencia, quieren cambiarse a Cloud Identity como su IdP principal.

La empresa adoptó un mandato para implementar una oferta de IDaaS a fin de administrar su presencia en la nube, lo cual exige la implementación de 2SV y el cumplimiento antes de una fecha determinada El equipo de Infosec necesita 2SV para todos los usuarios.

La empresa A decide usar Cloud Identity para implementar 2SV. Piensan exigirles llaves de seguridad a los usuarios que trabajan en las iniciativas más confidenciales y de valor fundamental para la empresa, además de los usuarios que tienen acceso a la información de los empleados. Esto incluye a los ejecutivos de todas las organizaciones y los usuarios de las áreas de recursos humanos, ingeniería y finanzas. Los demás empleados deben usar 2SV. Pueden seleccionar el método 2SV que mejor les convenga y se les recomienda que usen las llaves de seguridad.

La aplicación de las llaves de seguridad varía según la organización.

Para exigir llaves de seguridad solo a ciertos grupos, TI crea subconjuntos de usuarios dentro de las organizaciones más grandes, llamados grupos de excepción. Por ejemplo, la organización de Marketing completa debe usar 2SV, pero solo los ejecutivos deben usar llaves de seguridad. TI crea un grupo ejecutivo dentro de cada organización, como marketing, ventas y asistencia, y exige la aplicación de llaves de seguridad en esos grupos ejecutivos.

¿Te sirvió esta página? Envíanos tu opinión: