Es hora de migrar al inicio de sesión en Windows con notificación push

Dirk Denayer, 5 de Marzo de 2018

Ante la constante evolución de los riesgos de ciberseguridad, las empresas deben tomar medidas contundentes para asegurar el acceso de los empleados a la red interna y remota.

Los trabajadores de hoy en día necesitan un acceso cómodo en cualquier momento y lugar a las redes, aplicaciones y recursos web, móviles y en la nube. Está claro que el acceso a la información en el momento oportuno impulsa el negocio.

Al mismo tiempo, las organizaciones deben prevenir las brechas de seguridad, y mantener el cumplimiento continuo de las leyes, reglamentos y normas de seguridad y privacidad, como el GDPR y PCI DSS 3.2.Para lograr tanto una seguridad sólida como una experiencia óptima para los empleados, los equipos de seguridad deben considerar la adopción, o la migración, del inicio de sesión de Windows con notificación push.

El uso de la autenticación de dos factores para el inicio de sesión de los empleados en Windows (y el correspondiente inicio de sesión en la red) es una gran mejora con respecto a las contraseñas estáticas. Según el último informe de Verizon sobre investigaciones de fugas de datos, el 81% de las fugas de datos relacionadas con la piratería informática implican contraseñas débiles o robadas. Verizon recomienda la autenticación de dos factores como una de las piedras angulares para protegerse de los ciberataques y limitar los daños derivados de la pérdida o el robo de credenciales.

Inicio de sesión en Windows con notificación push para mayor seguridad de los empleados
PAPEL BLANCO

Inicio de sesión en Windows con notificación push para mayor seguridad de los empleados

Debido al panorama en evolución de los riesgos de ciberseguridad, sus clientes necesitan medidas apropiadas para asegurar el acceso a la red interna y remota para sus negocios.

Descargar ahora

Legislación y normas del sector

El aumento de los ciberataques a las empresas ha desencadenado una nueva legislación y normas del sector. El Reglamento Global de Protección de Datos (GDPR) y la Normativa de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) 3.2 son dos ejemplos, que definen medidas para mitigar el riesgo.

Por ejemplo, el artículo 32 del GDPR ordena que las empresas aseguren los datos personales aplicando "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo."

Aunque pueda parecer ambiguo, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) tiene la función de asesorar sobre cómo aplicar y cumplir el GDPR, que entra en vigor el 25 de mayo de 2018.

En las Directrices para las PYME sobre la seguridad del tratamiento de datos personales, ENISA aborda el cumplimiento de los requisitos de control de acceso y autenticación del RGPD. La agencia recomienda implementar la autenticación de dos factores en los casos de alto riesgo y en ciertos casos de impacto medio:

"La autenticación de dos factores debería utilizarse preferentemente para acceder a los sistemas que procesan datos personales. Los factores de autenticación podrían ser contraseñas, tokens de seguridad, memorias USB con un token secreto, biometría, etc."

La ENISA también menciona que el uso de dispositivos móviles aumenta la exposición al robo y a la pérdida accidental del dispositivo. Dado que es probable que los dispositivos móviles se utilicen también para fines personales, hay que tener especial cuidado para no comprometer los datos relacionados con la empresa. Por ello, las directrices de la ENISA aconsejan que:

"Debe considerarse la autenticación de dos factores para acceder a los dispositivos móviles, y los datos personales almacenados en el dispositivo móvil deben estar cifrados"

PCI DSS 3.2

El 1 de febrero de 2018 entró en vigor el requisito 8.3 de la norma PCI-DSS 3.2, que hace obligatoria la autenticación multifactor para el acceso sin consola a los ordenadores y sistemas que manejan datos de los titulares de tarjetas, y el acceso remoto al entorno de datos de los titulares de tarjetas (CDE).

  • El requisito 8.3.1 aborda la autenticación de múltiples factores para todo el personal con acceso administrativo no consular al entorno de datos del titular de la tarjeta (CDE). El acceso sin consola significa que se realiza a través de una red y no mediante una conexión física directa. Puede ocurrir tanto en redes internas como externas o remotas.
  • El requisito 8.3.2 incorpora el antiguo requisito 8.3 y aborda la autenticación multifactorial para el acceso remoto al CDE. Este requisito se aplica a todo el personal, incluidos los usuarios generales, los administradores y los proveedores (para la asistencia y el mantenimiento).

 

 

Inicio de sesión de Windows con autenticación de dos factores

El uso de la autenticación de dos factores para el inicio de sesión de Windows de sus empleados (y el inicio de sesión en la red relacionado) asegura el acceso a todas las aplicaciones críticas y a los datos sensibles almacenados en el portátil de un empleado y en la red corporativa. La combinación del inicio de sesión de Windows y la autenticación de dos factores también protege cualquier acceso remoto a través de una red privada virtual o una infraestructura de escritorio virtual.

La autenticación de dos factores para el inicio de sesión de Windows permite a los empleados iniciar sesión en su escritorio de Windows en la red con una contraseña de un solo uso (OTP). Los dos factores de autenticación requeridos consisten en:

  • Una contraseña de un solo uso (algo que el usuario tiene, por ejemplo, un token de hardware o un smartphone con una aplicación OTP, provisto de una clave segura para generar la OTP)
  • Una contraseña estática (algo que el usuario conoce)

Ambos factores de autenticación son independientes y la contraseña de un solo uso no es reutilizable. Esto cumple con los requisitos de la autenticación de dos factores.

La autenticación de dos factores para el inicio de sesión en Windows se instala como un pequeño módulo de software en el entorno Windows del empleado. Puede instalarse en ordenadores de sobremesa, portátiles y servidores. En cuanto se configura, sustituye la ventana de inicio de sesión original por una versión que verificará la OTP generada por un cliente de software o hardware.

Notificación push

En lugar de introducir la OTP en el campo de la contraseña de Windows, los empleados tienen otra opción.

Es hora de migrar al inicio de sesión en Windows con notificación push

Pueden utilizar una aplicación OTP en su smartphone para facilitar el proceso de inicio de sesión. Durante el proceso de autenticación al iniciar sesión en Windows, el empleado recibe una notificación en su dispositivo móvil y se autentifica con un simple toque en el dispositivo.

Esta notificación push es un método de autenticación fuera de banda (OOB) que utiliza un modo push para habilitar la aplicación OTP en el dispositivo móvil del empleado para autenticarlo automáticamente.

Las notificaciones push tendrán un fuerte impacto en el mercado de la autenticación porque combinan una mayor seguridad con una experiencia de usuario mejorada, con un coste total de propiedad menor. Esto representa el santo grial de la autenticación, y los analistas recomiendan ahora que las organizaciones adopten o migren a la notificación push móvil.

Razones clave para considerar la implementación de las notificaciones push:

  • Mayor seguridad. No es necesario teclear la OTP, lo que significa que la contraseña no puede ser interceptada por keyloggers, por ejemplo. Además, la aplicación OTP puede protegerse con un PIN o datos biométricos, así como con la gestión de dispositivos móviles o el blindaje de aplicaciones.
  • Mejora de la experiencia del usuario. Además de ahorrarse el paso de teclear la OTP, el empleado está informado de forma proactiva sobre el contexto, ya que los detalles de inicio de sesión o de la transacción se muestran justo en la notificación. Un solo clic para confirmar que el empleado ha recibido la notificación push podría ser suficiente para autenticar. Cuando se requiere una mayor seguridad, la organización puede incorporar factores de autenticación locales, como el PIN del teléfono, o la autenticación biométrica, como el reconocimiento facial o de huellas dactilares.

Información adicional

Obtenga más información sobre los componentes de la solución de VASCO para implementar el inicio de sesión de Windows con notificación push:

Dirk Denayer es gerente de soluciones de negocios en OneSpan. Se unió a OneSpan en 2016 con 20 años de experiencia en soluciones de software empresarial en el nivel de ventas, marketing y entrega. Antes de unirse a OneSpan, trabajó en Exact Software, CODA y Unit4.