Rubén Espinosa, de RSA: «Un proyecto de virtualización sin una autenticación fuerte es muy peligroso»

Rubén Espinosa, director regional de marketing de Europa Sur, Oriente Medio y África de RSA, la división de seguridad de EMC.

MuyComputerPRO: Una de vuestras últimas soluciones, el RSA Authentication Manager Express (AMX), se basa en la tecnología de «autenticación multifactor». ¿En qué consiste este concepto?

Rubén Espinosa: Antes de lanzar esta solución, dirigida a pymes, comprobamos que este tipo de empresas principalmente asegura el acceso a su red interna por medio de un usuario y una contraseña. Esto, que se denomina autenticación de un solo factor, está obsoleto.

También vimos que el 73% de los usuarios usaban esta misma contraseña para temas personales, por lo que si un troyano accedía a su ordenador y robaba su contraseña, podría entrar en todas sus cuentas. Es, por tanto, un sistema de seguridad muy débil.

Con la solución AMX introducimos en la pyme una autenticación multifactor de seguridad, basada en un complejo y testado “motor de riesgo”.Se trata de un algoritmo que analiza parámetros del dispositivo desde el cual se conecta un empleado y de su propio comportamiento.

Es decir, este motor de riesgo recoge los datos del dispositivo usado por el trabajador (cookies, dirección IP, tipo de navegador…), así como datos de comportamiento como cambios recientes de contraseñas o horas de acceso a la red. Esos parámetros son analizados y cotejados con los de otros días y determinan si el acceso es fraudulento o no.

Para determinar cuándo un comportamiento es fraudulento, el motor puntúa la acción en 5 niveles de riesgo. La propia empresa, según su política de riesgo, es la que establece los niveles de acceso para determinar en qué momento el acceso es fraudulento. Por ejemplo, puede establecer quehasta el nivel 4, deja acceder, pero que a partir del nivel 5 puede tratarse de una intrusión. Entonces se necesitaría un segundo grado de autenticación.

Este segundo grado puede consistir en mandar un SMS al móvil del empleado con un código de 6 cifras (out of band) que habrá que introducir para acceder a la red, o hacer una serie de preguntas concretas ya configuradas, cuyas respuestas solo sabrá el usuario en cuestión.

Appliance AMX.

En resumen, el concepto «multifactor» estaría compuesto por los siguientes factores:

1 – Algo que ya sabes: la contraseña.

2 – Algo que ya tienes: el ordenador o dispositivo móvil.

3 – Algo que haces: tu comportamiento.

4 – Un cuarto factor: el SMS o las preguntas de seguridad.

MCP: ¿Cómo se integra esta solución en la pyme?

RE: Su gestión es muy fácil. Se trata de un appliance prácticamente plug&play con una configuración muy simple que puede ser realizada por el propio usuario.

Una vez instalado, es invisible para los empleados, se instala y funciona. Ellos siguen accediendo con su usuario y contraseña de siempre, no cambia nada.

Y un tema importante: este motor de riesgo aprende, es decir, cuando se instala por primera vez necesita unas dos semanas para que aprenda el comportamiento de los empleados, va recogiendo información y almacenándola.

MCP: ¿A qué sectores va dirigida esta solución?

RE: El RSA Authentication Manager Express está enfocado a pymes que actualmente utilicen usuario y contraseña para autenticarse. Empresas conproblemas de cumplimiento normativo. Por ejemplo, aquellas que utilicen datos confidenciales y tengan que cumplir con leyes como la LOPD (Ley Orgánica de Protección de Datos), como empresas relacionadas con la salud. Si alguien accede a sus sistemas y roban los datos, pueden tener problemas.

También está especialmente indicado a empresas industriales relacionadas con las patentes, como laboratorios farmacéuticos, o también, empresas de seguros, servicios, o retail.

MCP: ¿Qué estrategia vais a seguir para implantar esta solución en España?

RE: Al ser un producto para la pymes, vamos a venderlo 100% a través de canal, al que le vamos a dar todas las herramientas para que pueden comercializarlo sin involucración de RSA. Consiste en una caja con un appliance con todo incluido, y la manera de comprarlo es por número de usuarios.

De esta manera, si la empresa aumenta el número de empleados no tiene que comprar otro appliance, sino más licencias. Queremos venderlo a través de un canal que llegue a la pyme. Hasta ahora, el canal de pequeñas y medianas empresas no vendía soluciones de seguridad como esta, más bien se dedicaban a antivirus, firewalls… ya que este tipo de productos eran muy caros. En cambio, los precios de nuestra solución están muy ajustados a las necesidades de este mercado.

También hay que señalar que este producto tiene una tecnología, el motor de riesgo del que hemos hablado, que ya han experimentado unos 250 millones de usuarios, instalado en soluciones para la gran empresa. Este mismo motor ha sido adaptado a la pyme, haciéndolo más simple pero muy testado.

MCP: ¿Qué productos con autenticación tenéis para la gran empresa?

RE: Tenemos dos tipos de soluciones:

El Authentication Manager, la solución de autenticación de doble factor, basada en tokens SecurID. El token es un pequeño dispositivo que genera un código aleatorio cada minuto. Puede ser hardware (un dispositivo), o software, una aplicación que se descarga en un dispositivo movil y funciona de la misma manera. Es una de nuestras soluciones más potentes.

En segundo lugar, tenemos la Adaptive Authentication, que sí lleva motor de riesgo, pero, a diferencia del de la pyme, este tiene más inputs y recoge más parámetros. Por ejemplo, accede a una base de datos de IP fraudulentas y comprueba que quien intenta acceder a la red de una empresa no pertenece a estas IP. Es algo más complejo, pero muy fiable.

MCP: ¿Estas soluciones de RSA están adaptadas «a la nube»?

RE: Sí. Cuando tenemos algo virtualizado, no sabemos quién accede a los datos. Cualquiera podría conectarse a tu PC virtual y desde cualquier dispositivo si tuviera acceso a tu contraseña. En estos casos es muy importante la autenticación fuerte.

De hecho, montar un proyecto de virtualización sin una autenticación fuerte es muy peligroso, porque puedes tener accesos no seguros desde cualquier sitio. Cuando, por ejemplo, EMC vende proyectos de virtualización, generalmente siempre van unidos soluciones de autenticación fuerte. No se deberían abordar proyectos de virtualización sino tenemos, como mínimo, un sistema de doble autenticación. Estar en la nube es el futuro próximo, pero con seguridad.

MCP: ¿Cuál es la principal amenaza para las empresas?

RE: RSA sacó un estudio en el que se decía que la principal amenaza para las empresas es la interna, pero la interna «desinteresada», es decir, los errores de los empleados.

La siguiente sería la externa, los ciberdelincuentes. Y la tercera, los empleados malignos, los que quieren dañar, aunque esto no es lo más normal.

Lo usual es que esos empleados lo hagan sin querer: se meten donde no deben, mandan y abren ficheros, pierden portátiles, etc..

Lo que también estamos comprobando últimamente es que los ciberdelincuentes se están focalizando cada vez más en la pyme porque, aunque pueden sacar menos, sus defensas son menores. Las grandes empresas tienen mucha más seguridad pero a las pequeñas le pueden sacar más partido.

MCP: En cuanto a la reciente alianza con McAfee, ¿cómo afectará a los productos de RSA?

RE: Este acuerdo es para intentar hacer nuestras tecnologías interoperables. Hemos creado una alianza tecnológica para ofrecer soluciones integradas diseñadas para ayudar a los clientes a resolver los complejos retos de la seguridad, reducir el riesgo, mejorar el cumplimiento y garantizar la seguridad de los datos a través de la infraestructura de TI. La idea no es vender o promocionar productos suyos. Vamos a trabajar en distintos proyectos para que seamos compatibles.