PASSWORDLESS / FIDO2 / ZERO TRUST / PEN TEST AS A SERVICE / DISPOSITIVOS DE AUTENTICACION MULTIFACTOR (MFA) /

Estamos asistiendo a diario a un sinnúmero de experiencias traumáticas que han sufrido personas físicas de nuestro círculo íntimo; todos ellos clientes de reparticiones de gobierno, empresas de rubros diversos, cuyas medidas de seguridad lógica se han visto vulneradas, afectando a sus clientes.

Entre los sectores con mayor retorno de la inversión en los intentos de hackeo, se encuentran el sector bancario y de pago, las telecomunicaciones, las operadoras de cable y otros prestadores de servicios. 

Como hecho a destacar, hay que decir que esto no ocurre solo en Argentina, hemos sido consultados sobre ataques al ejército/armada en países vecinos y otros no tan próximos.

La mano de obra desocupada y la guerra en el mundo han traído consigo una gran cantidad de efectos colaterales, donde uno de ellos es el intenso esfuerzo de hacking, sin entrar en mayores detalles técnicos.

Hace solo un par de semanas, una persona de confianza me confió que el saldo de sus cuentas desapareció de su banco a las 2:00 AM. 

 

Cabe imaginar las derivaciones de un hecho de esa naturaleza en la vida de una persona.

Idénticamente, un operador de pagos digitales mundial ha corrido la misma suerte, habiendo sido alterado, inclusive, la titularidad de la cuenta del usuario.

Esta información es sensible, no se puede divulgar la marca, puesto que se traduce en marketing negativo para las empresas afectadas.

Lo que es seguro, es que estamos alcanzados y la necesidad de protección es cada vez más evidente …las empresas tienen responsabilidad por el servicio que prestan, y los particulares deberían hacer sus mejores esfuerzos por evitar ser blanco de hechos fraudulentos.

¿Dónde quedará la responsabilidad?

¿Qué podemos hacer? ¿Qué sabemos hacer?

¿QUÉ HEMOS HECHO EN SMARTLEDGE?

Sabemos que esta necesidad requiere de expertos, soluciones probadas y respuestas urgentes y precisas, creemos que podemos aportar respuestas dirigidas a:

  1. La detección ágil de vulnerabilidad en las redes organizacionales.
  2.  La administración centralizada del ciclo de vida de credenciales de acceso.
  3. La provisión de dispositivos criptográficos para almacenamiento de credenciales digitales.
  4. La mano de obra técnica de consultoría de expertos en la materia.

Con respecto al punto 1) hemos sido distinguidos con la representación del producto NODEZERO de HORIZON3 (www.horizon3.ai) proveedor americano de soluciones de Software para administrar Penetration Tests en organizaciones. Su novedosa solución es completamente operable desde la nube por el personal autorizado. Este servicio de vanguardia esta disponible comercialmente en modalidad PTAAS (“Penetration Tests As A Service”), entregando *reportes de vulnerabilidades y pasos de remediación* en fracciones de una hora, para su inmediata remediación (evitando semanas de espera para contar con un diagnóstico preciso, ni mencionar uno exhaustivo).

Con respecto al punto 2) hemos sido galardonados con la representación de VERSASEC (https://versasec.com/), que dispone de su novedosa solución vSEC:CMS para emisión de credenciales y la administración de su ciclo de vida en una infraestructura de autenticación. Esta solución está especialmente orientada a organizaciones que enfrentan la realidad de tener que administrar múltiples métodos de autenticación lógica como PKI/FIDO/OTP implementando políticas de Zero Trust. 

En lo que hace al acceso físico, la solución de administración de credenciales de Versasec (vSEC:CMS), permite gerenciar el ciclo de vida de credenciales de control de acceso físico descargables en dispositivos RFID.

Con respecto al punto 3) nuestro ecosistema nos ha referido a YUBICO (www.yubico.com), fabricante Sueco-Americano de dispositivos criptográficos de hardware, que, en su familia de dispositivos de autenticación, provee tokens que cumplen con la normativa vigente de firma digital PKI y cumplimiento de estándares NIST FIPS/CAC/PIV/OATH/FIDO2/FIDO U2F/webauth y otros.

Consideramos sumamente novedoso utilizar estos dispositivos y su software cliente con “Cero Huella” – no se instala software- , evitando crear, recordar o aún tipear claves, dado que la generación automática, administración y utilización está sustentada por el dispositivo inviolable (“tamper-proof”), brindando la comodidad de operar sin claves (“passwordless”) contando con la seguridad de su almacenamiento en un medio adecuado, inviolable, evitando el phishing.

Mediante estos dispositivos es posible autenticarse en cualquier plataforma que requiera Autenticación Multifactor (MFA) en alguno de los estándares referidos, motivo por el cual han sido adoptados por Amazon y otros tantos clientes del mundo. 

Finalmente, al respecto del punto 4) identificar e imaginar los caminos de resolución de la integración de dichas componentes así como la remediación de vulnerabilidades, requiere de contar con mano de obra extremamente competente, la más calificada que pueda visibilizar y viabilizar con la mayor eficiencia y el mejor costo, las tareas de implementación de estas soluciones, que están en el núcleo de seguridad de nuestros clientes.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>