Nota realizada por MDZ
De qué hablamos cuando hablamos de seguridad de la información. Los desafíos de las empresas de ciberseguridad. La importancia de romper la falsa dicotomía «seguridad versus usabilidad», y la concientización de los usuarios para que la tecnología no sea el único guardián de las estafas virtuales.
Pensar en un futuro sin contraseñas ya es una realidad mediante la implementación de plataformas de última generación que se basan en el concepto de “passwordless”. Sin embargo, el desafío de la ciberseguridad ya no es únicamente tecnológico, sino que debe ser abordado desde la concientización de usuarios y clientes; así como desde los procesos.
Hoy la tecnología no es una limitación. Las limitaciones actuales surgen de los marcos regulatorios existentes en sectores regulados cuando deben alinear las perspectivas de riesgo, usabilidad y seguridad.
¿De qué hablamos cuando hablamos de seguridad de la información? Las soluciones propuestas por este tipo de empresas actúan en los distintos puntos donde se identifican los riesgos de fraude transaccional y validación de identidad. Se basan en el concepto de autenticación adaptativa y por lo tanto son capaces de evaluar el riesgo en el contexto de la interacción permitiendo orquestar diferentes comportamientos en función del resultado de la evaluación del riesgo.
Para lograr este comportamiento adaptativo se procesan y se personalizan varias decenas de parámetros relacionados con el comportamiento del cliente y los dispositivos de confianza que utiliza para determinar lo que se denomina su «finger print». De esta manera, a partir del desarrollo de la tecnología, se abre el universo de una vida sin contraseñas.
La alternativa a las contraseñas
El sistema “passwordless”, como lo indica su nombre, consiste en no utilizar contraseñas, reemplazando la clave de acceso generada manualmente por el usuario por una llave criptográfica automática. Además, esta llave es almacenada simultáneamente de forma segura en el dispositivo del usuario (llave privada) y en el sistema (llave pública).
Cuando el usuario ya tiene su “passwordless” y debe ingresar a un sistema o plataforma, automáticamente se le solicitará aprobar el acceso, mediante el uso de la seguridad utilizada en el dispositivo personal, ya sea biometría (huella y/o rostro) o bien, un PIN o patrón de seguridad.
Uno de los beneficios por tratarse de una solución multiplataforma y multidispositivo permite abordar la totalidad de los canales digitales de las organizaciones. Dada esta capacidad de orquestación y su personalización en modo «No Code» es posible realizar el despliegue de cambios en los flujos de autenticación sin necesidad de liberar nuevas versiones de las plataformas digitales de la organización (web o mobile).
El desafío no es únicamente tecnológico, sino que debe ser abordado desde la perspectiva de la concientización en cuanto a la seguridad de la información de usuarios y clientes; así como desde los procesos. La tecnología evoluciona cada vez más rápido, así como también se perfeccionan los modelos delictivos.
Cómo reaccionar ante el phishing
Es cada vez más común escuchar a personas que son víctimas de robo de datos e información personal a través de correos electrónicos o sitios engañosos. Si bien ninguna solución por sí sola puede garantizar el 100% de protección, el surgimiento de nuevas tecnologías combinadas con procesos efectivos, permite disminuir drásticamente los ratios de fraude asociados a este tipo de técnicas.
Para ello es fundamental proveer a empresas y organizaciones que se focalizan en usuarios finales la mejor experiencia de usabilidad, y que sus sistemas tiendan a adoptar este tipo de soluciones sin contraseñas. Esto puede implicar un arduo trabajo a través de toda la organización y por tanto introducirlo puede generar resistencia.
El punto de partida debe ser, a nuestro criterio, romper la falsa dicotomía “Seguridad versus Usabilidad”. Hoy se es posible atender razonablemente ambas perspectivas. Para esto es determinante como factor de éxito lograr los respaldos necesarios en la organización que logren balancear efectivamente los intereses de las distintas áreas que deben estar involucradas en los proyectos de este tipo: Negocio, Riesgo, Seguridad, Tecnología, Desarrollo, UX/UI. Este tipo de proyectos cruzan transversalmente toda la organización y hace al éxito o fracaso de los productos o servicios digitales que se ofrecen al cliente.
El objetivo final es que los usuarios no tengan ningún tipo de obstáculos. En todo caso es fundamental que los motores de estimación de riesgo se generen en una sola primera instancia (donde se produce la fricción), y que los posteriores usos utilicen estos datos para determinar que las personas cumplen con los patrones de uso que se conocen sobre ellas y eliminar métodos de autentificación.
*Andrés Tomás es analista en infraestructura, especialista en Identidades digitales y desarrollador de Security Advisor.
Fuente: MDZ
Link de la nota: nota aquí
