por Rebeca | Mar 25, 2024 | Sin Categoria
El avance hacia los servicios en la nube es una tendencia clara entre las organizaciones, impulsada por los innegables beneficios en términos de ahorro de costes, mejora de la disponibilidad y mayor flexibilidad. La transición hacia la computación en la nube promete una significativa reducción en el Coste Total de Propiedad (CTO) y ofrece una agilidad que las soluciones tradicionales en las instalaciones luchan por igualar. Sin embargo, esta creciente dependencia de los proveedores de nube introduce un riesgo a menudo subestimado por muchos: la gestión de las credenciales de autenticación.
El Creciente Desafío de la Gestión de Contraseñas
A medida que las organizaciones utilizan una gama más amplia de servicios en la nube, la proliferación de contraseñas, dispositivos de Contraseña de Un Solo Uso (OTP) y tokens comienza a superar las capacidades de gestión del personal de TI. Esta complejidad alberga varios riesgos dignos de mención:
- Sobrecarga de Contraseñas: La práctica de usar contraseñas únicas para cada sistema, aunque segura en teoría, conduce a dos problemas significativos. Los usuarios a menudo recurren a reutilizar contraseñas en varias plataformas, lo que plantea un riesgo de seguridad si la base de datos de un proveedor se ve comprometida. Además, cada servicio de nube adicional aumenta la vulnerabilidad a ataques, incluidos el phishing y exploits dirigidos a plataformas de nube específicas.
- Gestores de Contraseñas Basados en Navegadores: Aunque convenientes, los gestores de contraseñas integrados en los navegadores web duplican el riesgo. Se convierten en objetivos principales para las amenazas cibernéticas tradicionales, como los ataques de caballo de Troya, debido a su amplia superficie de ataque.
Hacia un Futuro sin Contraseñas
El consenso entre los expertos en ciberseguridad es claro: el futuro reside en avanzar más allá de las contraseñas como único método de autenticación. Sin embargo, esta transición introduce sus propios desafíos, notablemente la proliferación de tokens de autenticación, lo cual simplemente sustituye un problema por otro.
Para abordar esto, la creación de un servicio de identidad empresarial es imperativa. Tal servicio facilitaría la autenticación de usuarios en diversas aplicaciones y protocolos, no limitándose a estándares modernos como SAML y OAuth, sino también abarcando sistemas heredados.
Tokens de Autenticación Fuerte y Análisis de Comportamiento
La implementación de tokens de autenticación fuerte es un paso crucial siguiente. Soluciones como el Autenticador Push ofrecen una opción segura y fácil de usar, aunque las necesidades específicas de una organización pueden requerir métodos alternativos, como SMS, correo electrónico o tokens TOTP. La flexibilidad para adaptar métodos de autenticación a diferentes escenarios es crucial.
Además, la integración de inteligencia de red y análisis de comportamiento mejora la seguridad al reducir la interacción requerida por el usuario, minimizando así la superficie de ataque accesible para los hackers.
Los Beneficios de los Proveedores de Identidad Empresarial
La implementación de proveedores de identidad empresarial produce beneficios inmediatos y tangibles:
- Aumento de la Productividad: Simplificar el proceso de inicio de sesión reduce el tiempo dedicado a la recuperación de contraseñas.
- Mejora de la Seguridad: Los proveedores de nube no tendrán acceso a las contraseñas de los usuarios, y el riesgo de phishing disminuye significativamente.
- Incremento de la Satisfacción del Usuario: Los empleados se benefician de un sistema de gestión de acceso más eficiente y seguro.
En conclusión, a medida que las organizaciones continúan adoptando servicios en la nube, la necesidad de soluciones de gestión de identidad y acceso robustas, flexibles y seguras se vuelve cada vez más crítica. Al adoptar tecnologías y prácticas de autenticación avanzadas, las empresas pueden proteger sus activos digitales mientras garantizan una experiencia de usuario fluida y productiva.
por Rebeca | Mar 18, 2024 | PAM, Soffid, tendencias
En la empresa moderna, la adopción de prácticas DevOps es más que una simple tendencia; es una evolución en cómo las organizaciones abordan el desarrollo de software y las operaciones de TI. Esta metodología innovadora ha demostrado unificar equipos y procesos, ofreciendo beneficios sustanciales en general. Sin embargo, integrar el desarrollo y las operaciones de TI presenta desafíos únicos, especialmente en el ámbito de la seguridad.
Históricamente, ha sido común la fricción entre los equipos de operaciones de TI y los equipos de desarrollo, principalmente debido a diferentes culturas de seguridad. DevOps tiene como objetivo eliminar esta fricción armonizando prácticas y objetivos. Sin embargo, es importante reconocer que, aunque DevOps puede reducir los conflictos visibles, no resuelve intrínsecamente los problemas de seguridad subyacentes; a menudo, estos problemas simplemente se ocultan hasta que surgen como problemas significativos.
Un área donde esta disparidad se hace evidente es en la utilización de soluciones de Gestión de Acceso Privilegiado (PAM). Los departamentos de operaciones de TI han empleado tradicionalmente PAM en cierta medida, protegiendo el acceso a activos críticos como sistemas operativos, dispositivos de red y bases de datos. Por el contrario, los departamentos de desarrollo han estado rezagados en la adopción de PAM. La razón es sencilla: las soluciones PAM se concibieron originalmente con las operaciones de TI en mente, lo que las hace menos aplicables o flexibles para el ciclo de vida del desarrollo.
DevOps, sin embargo, introduce su propio conjunto de activos críticos, notablemente contenedores y secretos, que requieren un nuevo enfoque para el acceso privilegiado. El flujo de trabajo de DevOps permite a los desarrolladores utilizar herramientas comunes para la configuración de contenedores, pero el acceso a contenedores de producción para la resolución de problemas o actualizaciones plantea un riesgo significativo para la seguridad.
Para mitigar estos riesgos, las soluciones PAM de vanguardia ofrecen mecanismos para un acceso seguro a estos contenedores, como sesiones similares a shell que son completamente grabadas, con cada pulsación de tecla y transferencia de archivos monitoreada. Esta capacidad permite detectar comportamientos riesgosos o acciones no autorizadas, manteniendo así la integridad del entorno de producción.
Además, la gestión de secretos, como las contraseñas de bases de datos, requiere una solución PAM capaz de actualizar de manera segura las credenciales en tiempo real, a menudo dentro de los secretos de Kubernetes, para garantizar tanto la seguridad como la continuidad operativa.
En Soffid, nuestra experiencia en navegar por estas complejidades es inigualable. Con motores PAM y de Gestión de Identidad y Acceso (IAM) integrados en nuestra Plataforma de Identidad Convergente, estamos en una posición única para abordar las necesidades específicas de los entornos DevOps. Nuestra solución no solo se adapta a la naturaleza dinámica de las operaciones basadas en microcontenedores, sino que lo hace sin sacrificar la agilidad y seguridad que son críticas para el éxito de DevOps.
En esencia, el viaje hacia la integración de DevOps en el ADN de una organización está lleno de posibles fallos de seguridad. Sin embargo, con el enfoque innovador de Soffid para PAM y IAM, las organizaciones pueden adoptar DevOps con confianza, asegurando que sus prácticas de desarrollo y operativas sean seguras, eficientes y, sobre todo, unificadas.
por Rebeca | Mar 12, 2024 | Soffid
La Gestión de Identidad de Clientes está adquiriendo cada vez más relevancia. La complejidad de los protocolos de identificación y autenticación está aumentando debido a diferentes factores, siendo los más relevantes:
- Algunos estándares son muy nuevos o aún están en versión de borrador. Por ejemplo, la especificación del protocolo de cierre de sesión de OpenID se aprobó hace solo 16 meses.
- Los protocolos heredados son difíciles de implementar. De hecho, la NSA ha animado a todas las organizaciones a no intentar implementar SAML por sí mismas, ya que una mala implementación puede conducir a múltiples vulnerabilidades de seguridad.
- Las vulnerabilidades de seguridad tienen un gran impacto en las organizaciones. En nuestro caso, un fallo de seguridad en un módulo de autenticación CIAM puede llevar a altos niveles de fraude, poniendo en riesgo a toda la organización.
Por otro lado, a pesar de que es imprescindible contar con un entorno seguro, puede ser una barrera para la incorporación de nuevos clientes. El proceso para identificar y reforzar la identificación del usuario debe ser progresivo: permitir el acceso del usuario de forma anónima, identificarlos solo cuando realmente sea necesario. Después, sugerir al usuario final que se registre en un token de autenticación fuerte. El cliente debe tener un camino fácil de seguir, pero al mismo tiempo, debe sentirse cómodo y seguro.
Sin embargo, hay que tener en cuenta que una vez concedido el token de autenticación fuerte, solicitarlo siempre puede ser molesto, y no queremos incomodar a nuestros clientes. La solución es tener un motor inteligente capaz de asignar un nivel de riesgo a cada transacción y solicitar el segundo factor de autenticación cuando el nivel de riesgo supere un umbral. Por ejemplo, si el usuario se conecta desde el mismo país de origen, usando el mismo dispositivo, probablemente no pediremos el segundo factor de autenticación, pero si se están conectando desde un nuevo dispositivo de un país extranjero, el segundo factor de autenticación es realmente necesario.
Para cualquier proveedor de SaaS, centrarse en estos aspectos puede ser engorroso y propenso a errores. Esa es la razón por la cual plataformas de CIAM como Soffid IDaaS están generando mucho interés. Usando estas herramientas, las organizaciones pueden centrarse en los aspectos relevantes:
- Definir el customer journey
- Definir los niveles de autenticación requeridos en cada paso
- Configurar la herramienta CIAM para gestionar todos los problemas de autenticación
- Personalizar la herramienta CIAM para que tenga el aspecto y la sensación de la plataforma de clientes de la organización.
A su vez, la herramienta CIAM se responsabiliza de algunos aspectos críticos:
- Registrar a los usuarios finales
- Permitir que el usuario restablezca sus contraseñas
- Inscribir un segundo factor de autenticación
- Solicitar un segundo factor de autenticación cuando sea necesario.
CIAM es una versión especializada de las plataformas tradicionales de gestión de accesos, pero sus desafíos y riesgos son únicos. Un proyecto CIAM no puede ser abordado como un proyecto de gestión de accesos tradicional.
Además, basándonos en nuestra experiencia en Soffid, el perfil del equipo también es diferente. En proyectos de gestión de accesos, el actor principal es el equipo de gerentes de TI, pero en proyectos CIAM, necesitamos involucrar al equipo de TI, al equipo de negocio y también a los equipos de desarrollo.
por Rebeca | Mar 7, 2024 | Noticias, Soffid
Nos complace anunciar las nuevas características y mejoras que llegarán a Soffid en 2024. Como parte de nuestro compromiso de proporcionar una plataforma segura y confiable, hemos estado trabajando diligentemente para ofrecer soluciones innovadoras que aborden las necesidades de nuestros clientes.
Una de nuestras principales prioridades para 2024 es lograr la certificación Common Criteria, una acreditación de nuestra dedicación a la calidad y a la seguridad. Esta certificación proporcionará a nuestros clientes una mayor confianza en la fiabilidad y la integridad de nuestra plataforma.
Además de buscar la certificación, nos centramos en mejorar nuestras ofertas de seguridad para ayudar a las organizaciones a proteger mejor sus activos. Con más del 60% de los ataques de ransomware y dirigidos que se originan en cuentas comprometidas, estamos introduciendo un conjunto de servicios diseñados para hacer extremadamente difícil que los atacantes obtengan acceso no autorizado.
Para combatir esta amenaza, estamos promoviendo el uso de Soffid Authenticator, una herramienta madura y fácil de usar que elimina la dependencia de las contraseñas como método principal de autenticación. Combinado con nuestras feeds de inteligencia de red, que detectan las conexiones y las actividades sospechosas desde diferentes países, para que las organizaciones pueden reducir significativamente el riesgo de compromiso de cuentas.
En cuanto a la experiencia del usuario, estamos realizando mejoras significativas en nuestra interfaz de usuario, incluida una mejor integración con plataformas móviles y una configuración más sencilla de paneles de control personalizados. Además, nuestro editor BPM contará con un nuevo editor gráfico, simplificando la revisión de procesos del ciclo de vida de la identidad.
Para la gestión de cuentas privilegiadas, estamos simplificando la integración con plataformas basadas en contenedores como Kubernetes y Docker Compose, eliminando la necesidad de servidores de salto SSH y mejorando la seguridad general.
Asimismo, estamos simplificando el proceso de inscripción para métodos fuertes de autenticación, facilitando que los administradores y usuarios finales adopten medidas avanzadas de seguridad de manera fluida.
Mirando hacia el futuro, nos complace anunciar dos avances importantes en nuestros esfuerzos de investigación a largo plazo. En primer lugar, estamos explorando el uso del reconocimiento facial como criterio de evaluación de riesgos dinámicos, ofreciendo una seguridad mejorada para sistemas confiables. Además, estamos aprovechando la tecnología de inteligencia artificial para mejorar la interfaz de usuario, estableciendo nuevos estándares de seguridad, precisión y confidencialidad.
En general, nuestra hoja de ruta para 2024 refleja nuestro compromiso con la innovación y nuestra dedicación a proporcionar a nuestros clientes las herramientas y soluciones que necesitan para superar con éxito las amenazas en rápida evolución de hoy en día. Esperamos compartir más actualizaciones e ideas en los próximos meses.
por Rebeca | Feb 27, 2024 | iam, Soffid, tendencias
La Agencia de Seguridad Nacional de los Estados Unidos (NSA) ha publicado un documento muy interesante que explora los desafíos y el panorama de las soluciones de Identidad y Gestión de Acceso (IAM). El documento, dirigido a desarrolladores y proveedores de IAM, ofrece una visión detallada de los desafíos actuales y sugiere algunas ideas intrigantes para los próximos años. Puedes acceder al documento completo en este enlace: PDF
Uno de los aspectos destacados del documento es la advertencia de que los actores maliciosos son oportunistas y buscarán aprovecharse de cualquier brecha en la capacidad de gestionar entidades y sus accesos. Esta realidad afecta tanto a empresas pequeñas como a grandes corporaciones, ya que todas enfrentan desafíos únicos relacionados con la selección, implementación y gestión de soluciones de Autenticación Multifactor (MFA) y de inicio de sesión único (SSO).
El primer desafío al que se enfrentan las organizaciones es seleccionar la solución de MFA adecuada. Algunas empresas optan por herramientas basadas en la facilidad de implementación (como los mensajes de texto), mientras que otras priorizan la experiencia del usuario final. La comparación clara y la evaluación del coste-beneficio entre las opciones técnicas son fundamentales en este proceso. Además, la comparación entre productos de diferentes proveedores puede resultar complicada, especialmente en el caso de soluciones de autenticación «Push» que abarcan una amplia variedad de tecnologías y ventajas.
Es crucial comprender que el MFA no debe considerarse simplemente como una parte de la herramienta de SSO. Este enfoque es parcial y limitado. La seguridad del MFA estará determinada en gran medida por el proceso de inscripción del MFA. Por lo tanto, el proceso de inscripción del MFA debe ser una fase integral de aprovisionamiento de identidades. Solo una perspectiva convergente, como la ofrecida por Soffid, puede cerrar las brechas entre las soluciones de gestión de identidades y accesos.
En el caso de Soffid Identity Provider, todas las tareas de autenticación y SSO se centralizan en una herramienta especializada que se beneficia de protocolos de federación como SAML u Open ID Connect. Sin embargo, este beneficio conlleva un compromiso. El proveedor de identidad se convierte en un activo de seguridad crítico que debe protegerse adecuadamente. En nuestro caso, Soffid ha obtenido la Certificación Common Criteria para garantizar un nivel de seguridad óptimo.
La NSA también expresa preocupación por el uso de MFA para acceder a cuentas de administrador de alto nivel. En nuestro caso, al ser una plataforma de identidad convergente, se pueden aplicar los mismos requisitos de seguridad y, incluso, elevar el nivel de protección para los recursos especialmente protegidos, aplicando autorizaciones bajo demanda, permisos dinámicos y un registro de auditoría extendido.
Además, la NSA alienta a los proveedores de software a implementar estándares de aprovisionamiento de identidades como SCIM. Desde 2017, Soffid ha brindado soporte para SCIM.
En cuanto a los protocolos de SSO, Open ID Connect ha alcanzado un nivel de excelencia reconocido por la NSA. Según el documento, Open ID Connect ha superado a SAML en términos de seguridad y diseño. Su diseño más simple lo hace menos propenso a errores de implementación, solucionando varios de los problemas técnicos asociados con SAML.
Por último, la NSA destaca algunas tecnologías emergentes, como el Marco de Señales Compartidas (anteriormente conocido como Señales y Eventos Compartidos). Este estándar, respaldado por el consorcio Open ID, está ganando interés al ser capaz de detener de inmediato cualquier sesión activa realizada por una cuenta comprometida, intercambiando eventos entre plataformas en tiempo real. Aunque Soffid ya es compatible con el Marco de Señales Compartidas, es importante tener en cuenta que el estándar aún no está finalizado y podrían producirse algunos cambios menores
