Llegamos a ustedes gracias a:



Conversando con...

Denyson Machado, director senior de Seguridad de CA Technologies

La seguridad basada en el riesgo

Denyson Machado, director senior de Seguridad de CA Technologies para América Latina.
CA Technologies

[07/12/2016] Hace unos días conversamos con Denyson Machado, director senior de Seguridad de CA Technologies para América Latina, sobre las nuevas herramientas que la empresa está lanzando para dar un enfoque distinto a la seguridad de la autenticación de los usuarios.

Para reducir la fricción en este campo, CA utiliza un puntaje de riesgo con el que determina dinámicamente si utilizar más o menos factores de autenticación con un usuario. La idea es que el proceso sea lo más fluido posible, pero a la vez seguro.

¿Cuáles son las amenazas a la seguridad que las empresas tienen que enfrentar en la actualidad?

Como vemos la situación, cada vez más, la dificultad que tienen las empresas asociada a las amenazas, es la gestión de los requerimientos de los usuarios; es decir, de la forma en que tienen que trabajar. Entonces, el modelo que hay en la actualidad es un modelo en el que hay dispositivos muy distintos (computadoras y móviles de la empresa, computadoras y móviles personales del usuario), y por otro lado tenemos datos e información que se encuentran en todos lados, on premise, o en centros de datos tercerizados, en la nube, aplicaciones de todo tipo, y otros tipos de usuarios como los socios de negocio.

Todo este ecosistema genera un reto que es difícil de gestionar desde el punto de vista de la seguridad, porque al mismo tiempo queremos dar usabilidad a los usuarios; es decir, acceder de manera más rápida a los sistemas y aplicaciones, desde cualquier lado con cualquier tipo de dispositivo, pero de manera segura. Eso no es fácil.

Entonces, antes que cualquier tema de un tipo de amenaza específico, veo el tema de la gestión de todo ese entorno que es parte de las empresas actualmente. La idea es poder hacer que la seguridad sea parte integrante del negocio al generar usabilidad, que sea un habilitador del negocio, no que cree fricción, dificultad, sino que se actúe con una seguridad inteligente, transparente, que pueda garantizar que el usuario y sus datos puedan estar seguros, pero sin generar fricciones.

Cuando pensamos en amenazas, una parte bastante significativa siguen estando asociada al tema de las identidades, entonces una gran parte de actividades de hacking y malwares tiene como objetivo robar datos de identidades para luego llegar a los datos confidenciales de las organizaciones. Pero para poder llegar a un servidor con datos sensibles, se tiene que llegar a una credencial de alto nivel; es decir, una credencial privilegiada y poder tener el acceso necesario.

Hoy del 60% al 70% de los ataques se encuentran asociados al robo de credenciales.

Dentro de la administración de la identidad ¿qué tan complejo es hacerlo ahora que los usuarios ya no se encuentran solo dentro de sus oficinas?

Ese es el reto y cada vez más estamos saliendo de una seguridad estática para ir a una seguridad dinámica que se encuentra muy basada en el análisis del comportamiento. Lo que llamamos la autenticación basada en el riesgo es cuando yo te permito hacer algo y acceder a algo dependiendo del nivel de riesgo que la solución provee. Dependiendo si estás accediendo a una determinada información en medio de la madrugada, en un país no conocido, o desde un dispositivo no conocido, con varias variables analizadas se genera un puntaje de riesgo, y a partir de este puntaje de riesgo yo te permito hacer ciertas acciones, y esto en tiempo real y usando analítica; es decir, hacer todo un estudio analítico del acceso en tiempo real.

Y esto no solo para identidades normales, sino también para los usuarios privilegiados. Esto es parte de una solución que CA ya provee hace un tiempo al mercado, y la parte de analítica la lanzamos hace un par de semanas en nuestro evento anual en Las Vegas.

Esa es la idea, pasar de tener solo una credencial y llegar a algo mucho más dinámico, inteligente y transparente al usuario, pero trabajando en la trastienda, reconociendo al usuario verdadero.

Entonces, ¿se ha dejado de lado otros tipos de autenticación?

La idea es que no, otros tipos de autenticación siguen trabajando, pero no para todos los casos. Entonces, en los casos en donde una serie de factores son reconocidos por una solución de análisis del comportamiento, y donde el factor de riesgo es bajo ¿para qué generar fricción si todo el entorno ya es conocido? La idea es poner más o menos factores de autenticación dependiendo del puntaje de riesgo de cada acceso. Esa es la idea de las autenticaciones basadas en riesgo, no seguir pidiendo cosas al usuario si no hay necesidad de hacerlo.

Es un puntaje de riesgo dinámico entonces, no es que se preestablezca.

Totalmente dinámico, funciona como en el mundo de las tarjetas de crédito, si queremos hacer una analogía. Si queremos hacer una compra de un monto muy alto o cuando viajamos y no registramos que estamos viajando, automáticamente y dinámicamente se genera un puntaje de riesgo más alto o más bajo. Esa es la idea.

Jose Antonio Trujillo, CIO Perú