Definiendo estándares de control de acceso físico

Por Terry Gold, fundador de IDAnalyst LLC

Sostengo muchas conversaciones con productores, integradores y usuarios finales en el espacio de control de acceso físico, acerca de los sistemas que deben sobrevivir por una o dos décadas. Tradicionalmente las decisiones sobre tecnología se han tomado en base a una fuerte influencia de las relaciones existentes, la sensibilidad de los costos y los conjuntos de funciones, desde la perspectiva de aquellos que han de operar esos sistemas. Pero ese enfoque está variando para los usuarios finales que elaboran una planificación a largo plazo, y parte de esa nueva conversación tiene que ver con los estándares de acceso físico.

Los profesionales de la seguridad física tienen que tomar decisiones que sean útiles para la organización en general, más que para un grupo específico. Sus decisiones están motivadas por la necesidad de ofrecer valor y convertirse en algo más que simplemente un centro de costo corporativo. Los sistemas de control de acceso físico necesitan reducir riesgos y costos, incrementar la eficiencia y añadir valor. También requieren adquirir más inteligencia y posibilitar la colaboración con otros departamentos para mejorar la respuesta ante incidentes y los remedios.

Estos requerimientos no son exclusivos del acceso físico, ya que reflejan un ciclo común de madurez para las organizaciones que demandan un aumento de la rentabilidad. A su vez, esas presiones sitúan demandas a los proveedores en cuanto a diseñar productos que posibiliten alcanzar ese objetivo.

El legado existente y sus desafíos

Años de toma de decisiones y adquisiciones a nivel de región han conducido a sistemas dispares de control de acceso físico. La industria de seguridad física tiene un récord desigual cuando se trata de impulsar la interoperabilidad mediante la implementación de estándares que se han convertido en silos de infraestructura.

Los enfoque tradicionales para enfrentar esta situación han sido limitados: forzar a las organizaciones a “destruir y reemplazar” silos por otra tecnología propia de un proveedor único. Pero esto no es sostenible. Esto exige que los usuarios finales sean altamente dependientes, si no “bloqueados”, durante el tiempo de vida de la inversión, un compromiso que cultiva las mismas dependencias a largo plazo, limita la adopción de innovación de la competencia, deviene en una fijación no competitiva de precios, y reduce la presión sobre el proveedor para introducir innovaciones.

Los sistemas informáticos han estado operando mediante los mismos elementos impulsores por más de una década, y las soluciones que están disponibles son mucho más avanzadas. El saldo final es que la informática ha estado muy por delante del control de acceso físico, y para lograr ponerse en sintonía es mucho lo que hay que recuperar. Es por eso que los estándares son el ingrediente principal.

Lo que pueden aportar los estándares de control de acceso físico

Vamos a pensar en los estándares como si se tratara de unos audífonos Bluetooth. Como consumidor, realmente no quiero comprarme unos audífonos Bluetooth específicos, que solamente trabajen con mi modelo de teléfono. Más bien prefiero que cualquier cosa que responda a la denominación Bluetooth funcione con otros dispositivos que empleen Bluetooth. Puedo elegir entre una serie de proveedores que ofrecen una variedad de características, precio, calidad, funcionamiento y diseño.

Si necesito otro teléfono, todavía mi inversión anterior funciona, y se mantendrán los mismos beneficios cuando se acople con un teléfono de otra marca. La infraestructura de acceso físico debe funcionar de forma similar.

Los matices

En acceso físico los estándares siguen siendo motivo de confusión. ¿Qué constituye un estándar? Es un tema con espacio para variación en las opiniones y en los matices. Se pueden escribir libros – y así se ha hecho – sobre el asunto, en un intento por esclarecerlo. Sin embargo, hay principios universalmente aceptados que lo pueden guiar a uno para llegar a sus propias conclusiones cuando valora si algo es un estándar o no lo es.

Los estándares siempre son especificaciones, pero no todas las especificaciones son estándares. Piense en una especificación como un proyecto que explica “cómo” construir o ejecutar. Y luego piense en un estándar como un acuerdo común para ese proyecto en particular.

Hay diferentes vías que pueden tomar los estándares desde su creación hasta su madurez. Típicamente se originan en grupos comunes que se aúnan para resolver un problema, definir un estatuto y trabajar en una especificación inicial. A partir de ahí comienza a ponerse turbio. Por lo general estos definen procesos para una participación razonablemente inclusiva, neutralidad en intereses concurrentes y control, procesos de apelación y común acuerdo.


La medida de lo 'abierto'

Los estándares típicamente contienen un conjunto definido de especificaciones que rigen los formatos de datos, protocolos e interfaces. De modo que si un único proveedor controla cualquiera de ellos, provoca muchos de los problemas que hemos pasado años tratando de remediarlos. El control por un vendedor único limita las opciones y la capacidad para ejecutar no solo la interoperabilidad, sino también el tipo de funciones y servicios en que se puede interactuar. En el mejor de los casos, se paga “peaje” a ese vendedor por un uso muy específico y a menudo limitado.

La apertura es importante porque puede usarse contructivamente para determinar cuán beneficioso es realmente un estándar. Al determinar cuán abierto es realmente un estándar, uno tiene que plantearse varias interrogantes:

• ¿Cuál es el proceso por el cual se creó el estándar?
• ¿Quién lo mantiene después de la versión inicial?
• ¿Existe un compromiso de retrocompatibilidad para los clientes de adopción temprana y subsecuente?
• ¿Es extensible? ¿De ser así, eso afecta el cumplimiento?
• ¿Son razonablemente accesibles las especificaciones?
• ¿Es demasiado restrictivo para lograr los objetivos deseados?

Desde mi perspectiva, me inclino hacia los estándares que son más transparentes en su misión y proceso. También hacia aquellos que son democráticos e involucran una comunidad más amplia, son menos restrictivos en el acceso, y que implementan, extienden y reutilizan en una manera libre de gravamen.

Avances

La buena noticia es que en los últimos años ha habido mucho avance y enfoque hacia esta área, lo que ha producido resultados tangibles. En el artículo en inglés se dan ejemplos ilustrativos de la cooperación y ejecución en un subgrupo de la comunidad de acceso físico.

Aún queda una opción

¿Quiere esto decir que no hay lugar aquí para la tecnología de propiedad? En absoluto. Un proveedor puede tener un método que es patentado y exclusivo, pero que resulta increíblemente valioso para una situación dada. Además, los vendedores que utilizan estándares pueden decidir la manera en que ejecutan la especificación, en qué medida, así como ofrecer servicios y funciones adicionales que cuando se utilizan de conjunto, hacen que la propuesta tenga mayor valor.

La opción es del cliente. No existen opciones correctas o erradas. En términos de seguridad, los estándares abiertos promueven accesibilidad y a su vez, la revisión y prueba por los pares en toda una comunidad amplia y competente. Este proceso es excelente para descubrir y corregir puntos vulnerables. Por eso sería justo considerar que los métodos de propiedad demandaran similar transparencia y aseguraran que su promoción se valide en lugar de solo decir “confíe en nosotros”.

El beneficio de la comunidad

Los estándares, si se ejecutan adecuadamente, implican a toda una comunidad que quiere resolver el mismo problema. Los esfuerzos por desarrollar estándares individuales son importantes, pero más significativas son las comunidades que se crean para dar solución a problemas persistentes que han obstaculizado el avance y creado la brecha entre la informática y el control de acceso físico.

Aunque tenemos que esperar y ver qué especificaciones se aceptan y logran una amplia adopción, la participación de proveedores, integradores, usuarios finales, organizaciones comerciales y otros, es la nueva realidad. Esto por sí mismo fomentará la innovación y el progreso acelerado en una industria que se había quedado algo estancada.


Fuente: IDNoticias

Predicciones de HID sobre seguridad en 2014

HID Global dio a conocer sus proyecciones en cuanto a las tendencias que tendrán mayor impacto en la industria de identificación segura en 2014. Las predicciones abarcan una gama de soluciones y tecnologías, incluyendo algunos avances anticipados en el control de acceso físico y lógico, la emisión segura, la protección a la identidad, la gestión sobre los visitantes, la identificación electrónica (eID) y el control seguro de los activos.

Selva Selvaratnam, director de tecnología (CTO) de HID Global, anticipa una declinación en el empleo de las contraseñas para asegurar los recursos, en la medida en que las organizaciones amplían el uso de una fuerte autenticación en toda su infraestructura informática y en el plano externo. Esto puede acelerar la convergencia del control de acceso físico y lógico, lo cual contribuiría a una experiencia mejor para los usuarios al asegurar las puertas, los datos y la nube.

Selvaratnam predice:

"La industria se mueve más allá de las arquitecturas de control de acceso estáticas propias, hacia las soluciones seguras, abiertas y adaptables que satisfacen el deseo de los clientes de adquirir nuevos productos y tecnologías que faciliten su negocio".

A medida que el panorama de la seguridad evoluciona en modos nuevos, las organizaciones progresistas y los líderes de pensamiento innovador, están adoptando una nueva actitud respecto al cambio. Realizar modificaciones de modo proactivo habrá de asegurar que una solución de control de acceso de una entidad pueda adaptarse a futuras amenazas y aproveche las oportunidades y aplicaciones más allá lo que es control de acceso. Las futuras aplicaciones de alto valor pueden ser diversas, desde la venta sin uso de efectivo, el control de asistencia y horario hasta la gestión segura de impresión, el inicio de sesión seguro en red, todo ello como parte de una solución de seguridad multi-capa y totalmente interoperable en el entorno de los sistemas y facilidades de una compañía.

La integración del control de acceso físico con la seguridad informática aportará nuevos beneficios y además cambiará el modo en que operan las organizaciones.

Históricamente las funciones de control de acceso físico y lógico han sido mutuamente excluyentes dentro de una organización, y cada una de ellas ha sido efectuada por un grupo distinto. Ahora las fronteras entre esos grupos están comenzando a difuminarse y las organizaciones quieren proveer un sistema de control de acceso físico e identidades digitales en una tarjeta única, o en un solo teléfono inteligente. Pronto los usuarios podrán tener varios tipos de credenciales de control de acceso, así como tokens de contraseña de un solo uso (OTP) en una sola tarjeta inteligente basada en microprocesador, o un solo teléfono inteligente.

 La autenticación fuerte continuará ganando en importancia frente al cambiante entorno de seguridad informática, y también se aplicará a las puertas.

 La industria se está moviendo más allá de las simples contraseñas hacia los factores adicionales de autenticación, incluyendo algo que ya tiene el usuario, como un móvil o un token de web; y algo que es inherente al usuario, como es la biometría y la métrica del comportamiento. Aunque la industria está sustituyendo el hardware con contraseñas de un solo uso (OTP) por tokens de software que puede estar contenidos en los dispositivos del usuario, como teléfonos móviles, tabletas y tokens basados en navegador, este enfoque tiene algunas vulnerabilidades en cuanto a seguridad.

Una alternativa de autenticación fuerte mucho más segura son las credenciales multi-aplicación que pueden llevarse en tarjetas inteligentes o en teléfonos inteligentes. Los usuarios sencillamente toman la misma tarjeta o teléfono que emplean para acceder a los edificios y le dan un toque a la tableta personal o laptop para autenticarse para los recursos informáticos. También se producirá una mayor adopción de otros factores de autenticación, incluyendo la biometría y la tecnología de gestos.

Se implementará cada vez más un fuerte autenticación con uso de estrategia multi-capa.

 Las soluciones fuertes de autenticación se utilizarán para asegurar tanto las puertas, como los datos y la nube.Tendrán capacidades de autenticación multifactor para una protección más efectiva contra las amenazas, como parte de una estrategia de seguridad multi-capa. Además de la autenticación multifactor de usuario como primera capa de seguridad, tanto dentro del firewall como en la nube, hay otras cuatro capas que implementar, incluyendo la autenticación del dispositivo, el canal, la transacción y la aplicación.

 La implementación de esas cinco capas de seguridad requiere una plataforma de autenticación integrada y versátil con capacidades de detección de amenazas en tiempo real. Se espera que la tecnología de detección de amenazas, que ya se ha empleado por algún tiempo en la banca y el comercio electrónico en línea, se introduzca en el sector corporativo como una manera de proveer una capa adicional de seguridad para casos de uso de acceso remoto, tales como VPN o Escritorios Virtuales, y en la esfera de salud para el acceso a los registros en línea.

El control de acceso móvil se continuará implementando en etapas.

 Esperamos ver en 2014 las primeras fases de la implementación de acceso móvil, en la cual el teléfono inteligente funciona de modo similar a una transacción por tarjeta, con limitaciones a causa de la tecnología y los ecosistemas comerciales. En fases subsecuentes el rendimiento del procesador y las capacidades multimedia de los teléfonos se aprovecharán para superar las limitaciones y lograr transacciones más funcionales, mejorando la experiencia del usuario.

Mirando más hacia adelante, la conectividad de los teléfonos inteligentes se utilizará para ejecutar la mayoría de las tareas que actualmente se llevan a cabo de conjunto por lectores de tarjeta y servidores o paneles en sistemas tradicionales de control de acceso. Esto incluye la verificación de identidad con reglas tales como por ejemplo, si la petición de acceso está dentro de un tiempo permitido y, usando la capacidad GPS del teléfono, si la persona está realmente en las cercanías de la puerta. El usuario podrá ser validado mediante una aplicación de nube y se le otorgará el acceso a través de un mensaje confiable mediante comunicación segura con la puerta.

        

 Fuente: IDnoticias

Perspectivas de 2014 en gestión de identificación y acceso

La gestión de identificación y acceso ha pasado a ser un tema álgido, ya que un número creciente de entidades comienzan a reconocer que es esencial enfocarse con sentido perspectivo en ese tema. El mercado de gestión de identificación y acceso aún no ha madurado, pero el espacio continúa creciendo y avanzando para cubrir las necesidades en desarrollo de las organizaciones y sus clientes.

¿Qué opciones se vislumbran en 2014 para la gestión de identificación y acceso?

A continuación se describen los principales desarrollos que se han ido produciendo.

Popularidad de la nube: Uno de los cambios más comunes que han introducido las organizaciones ha sido desplazar a la nube las aplicaciones que con anterioridad se instalaban y gestionaban de forma interna. Esto obedece al hecho de que los empleados, al utilizar aplicaciones en nube, pueden ser más flexibles en términos de su ubicación física, y las entidades se hacen menos dependientes con respecto a sus servidores y aplicaciones locales. Además, las aplicaciones en nube exigen menos equipamiento para ejecutar la labor y dan a los empleados la opción de trabajar desde cualquier dispositivo, incluyendo laptops, tabletas o teléfonos inteligentes. Pero desafortunadamente la nube no hace más fácil la gestión de identificación y acceso. Mientras que dentro de una red usualmente existe una integración más estricta, la nube demanda la colaboración de múltiples proveedores de servicio en nube, cada uno de los cuales tiene sus propios estándares, lo cual provoca muchas dificultades y problemas. Cada aplicación de nube implanta sus propias políticas respecto a las contraseñas, haciendo que la autenticación tradicional LDAP con el Directorio Activo resulte mucho más compleja. También se ha hecho más difícil la gestión automática de las cuentas y derechos de usuario dentro de la aplicación. A esto se suma que las API locales existentes ya no funcionan a través de Internet, lo que exige que el gerente funcional de la aplicación tenga que operar mediante una interfaz manual de administración de usuario.

SSO para aplicaciones Web: La popularidad de la nube también ha traído como consecuencia que los empleados tienen dificultad para recordar todas sus cuentas y credenciales. Para resolver este problema, las organizaciones suelen ofrecerle a su personal un portal que tiene vínculos directos con las diferentes direcciones URL para sus aplicaciones web. Pero de todos modos persiste el problema de que los empleados deben recordar varios nombres de usuario y contraseñas. Aquí es donde se presenta la opción del inicio de sesión único, que permite a los usuarios autenticarse una sola vez utilizando su nombre de usuario y contraseña del Directorio Activo. WebSSO se hace cargo entonces de los procesos de inicio de sesión, eliminando la necesidad de que el usuario ingrese una y otra vez los detalles de registro cada vez que quieren abrir otra aplicación. Además de que esto es más fácil para el usuario, el proceso es más seguro porque reduce la necesidad de que los usuarios finales escriban sus credenciales o las mantengan en un lugar inseguro para recordarlas.

Gestión de acceso: La estricta legislación y regulaciones han producido muchos cambios y desarrollos en la esfera de gestión de identificación y acceso. Esta gestión asegura fácilmente que los empleados solamente tengan acceso a los recursos de la red que requieren para cumplir con sus funciones.

Amplio acceso a sistemas informativos: Un reciente desarrollo es también la necesidad creciente de poner la información ampliamente disponible para los miembros de una organización. Cada vez más personas desean o requieren acceder a información, así como a sistemas informativos. Un ejemplo de esto es el acceso a autoridades locales, ya que los ciudadanos necesitan tener acceso regular a los sistemas de información de las municipalidades. Lo mismo ocurre con el sector de salud, en que los pacientes requieren visualizar sus propios datos médicos. Las organizaciones están dando los primeros pasos y, junto con su Directorio Activo, están conformando un almacén LDAP para posibilitar mayor acceso a los sistemas de información. Esto implica que, además del personal, también partes externas reciban el servicio y deban reconocerse dentro de la red. En otras palabras, la identificación de usuario es necesaria y las personas deben autentificarse por sí mismas para ganar acceso a los sistemas de información.

A través de la gestión de identificación y acceso es posible automatizar el proceso de autenticación y reducir la abrumadora labor manual que tienen que realizar los departamentos informáticos.

El mercado de gestión de identificación y acceso continúa creciendo y desarrollándose para ayudar a cubrir las necesidades de las organizaciones y los cambios que se producen dentro de las mismas.

Fuente:IDNoticias