Gartner asegura que el 30% de las organizaciones usarán esta clase de autenticación en dispositivos móviles hacia 2016 (hoy sólo la usa el 5%). Uno de los motores apunta a que la proliferación de los dispositivos móviles en el lugar de trabajo obliga a balancear seguridad y usabilidad. ¿Cuáles son las mejores prácticas tradicionales en cuanto a la autenticación de dispositivos móviles? ¿Es la autenticación biométrica la respuesta que las empresas requieren a la consumerización?
Gartner identificó algunos impactos potenciales en la seguridad relacionados con la conusmerización de la TI (tecnología de la información), e hizo algunas recomendaciones a los líderes de TI:
La experiencia del usuario supera los problemas de seguridad
Aunque la mayoría de las organizaciones requieren contraseñas robustas en las computadoras portátiles, los teléfonos inteligentes y las tablets a menudo tienen acceso a las mismas aplicaciones y datos críticos, pero no a los mismos niveles de seguridad. El aumento del número de dispositivos en juego también exacerba la exposición de información crítica. Implementar políticas estándares de contraseñas de encendido se hace mucho más complejo por la aceptación de las prácticas BYOD, con el inevitable choque contra los derechos de los usuarios y la privacidad.
Si bien las contraseñas complejas pueden ser especialmente problemáticas para que los usuarios escriban en los dispositivos móviles, si estos dispositivos tienen datos corporativos o proporcionan acceso a los sistemas corporativos, tales como correo electrónico sin login posterior, incluso una contraseña de cuatro dígitos por defecto es inapropiada. Sin embargo, el soporte para la autenticación de encendido más robusto es irregular, con sólo unos pocos sistemas operativos y dispositivos móviles admitiendo la autenticación biométrica. Incluso en los casos en que sí ofrecen este soporte, la aplicación puede no ser lo suficientemente buena para el uso empresarial.
Gartner recomienda que una política de contraseñas que requiera el uso de al menos seis caracteres alfanuméricos, y la prohibición de las palabras del diccionario, se aplique en los dispositivos con acceso a la información corporativa a través de las herramientas de administración de dispositivos móviles (MDM).
Borrón y cuenta nueva
Algunas organizaciones intentan contrarrestar el riesgo un dispositivo perdido o robado implementando controles que borran el dispositivo después de una cantidad de veces que se ingresa incorrectamente la password, o a través de un comando remoto. Para Gartner, esta práctica no mitiga totalmente el riesgo porque las memorias de estado sólido son prácticamente imposibles de sobreescribir. Lo mejor es la encriptación que no esté atada a la autenticación principal de encendido, de modo que la clave no pueda ser recuperada del dispositivo luego de una operación blanda de borrado.
Además, Gartner recomienda que se use un segundo método de autenticación —como mínimo, otra password— para acceder a aplicaciones o información corporativa sensible. Otra de las alternativas sugeridas —particularmente cuando se requiere un alto nivel de aseguramiento— es el uso de tokens, aunque en el caso de dispositivos móviles podrían ser recomendables los tokens por software (dado que puede ser complejo manipular el smartphone y además otro dispositivo). Por ejemplo, el uso de credenciales X.509 en las terminales. Con todo, muchos de estos tokens requieren herramientas de MDM para su correcta implementación.
Las opciones biométricas ofrecen compromiso
Gartner recomienda que los líderes de seguridad evalúen los métodos de autenticación biométrica cuando sea necesaria una autenticación con un alto nivel de aseguramiento. Los modos de autenticación más adecuados incluyen interacción con la interfaz, reconocimiento de voz, topografía facial, y estructura del iris. Estos modos pueden ser usados en conjunto con passwords para brindar una autenticación de alto aseguramiento sin requerir ningún cambio importante en el comportamiento del usuario.
Por otra parte, como un propio dispositivo móvil proporciona un rico conjunto de datos contextuales relevantes de identidad, esta información también se puede utilizar para aumentar la confianza en la identidad reivindicada. Es posible que la combinación de autenticación biométrica y autenticación pasiva contextual ofrezca garantías suficientes en situaciones de riesgo medio, sin la necesidad “gateways” de autenticación mediante contraseñas o tokens.
También es importante que en la planificación de una política integral se incluya la autenticación de dispositivos móviles, que consideren la carga sobre las organizaciones y los usuarios a fin de que la política sea sostenible.
Compartir nota:
