Implementación de solución de autenticación segura basada en...
77
FACULTAD DE INGENIERÍA Carrera de Ingeniería Informática y de Sistemas IMPLEMENTACIÓN DE SOLUCIÓN DE AUTENTICACIÓN SEGURA BASADA EN DOBLE FACTOR EN UNA ENTIDAD DEL ESTADO Tesis para optar por el Título Profesional de Ingeniero Informático y de Sistemas VICTOR ALEJANDRO ÑIQUE MORAZZANI Asesora: Ing. Paola García Juárez Lima - Perú 2016
Transcript of Implementación de solución de autenticación segura basada en...
FACULTAD DE INGENIERÍA
Carrera de Ingeniería Informática y de Sistemas
IMPLEMENTACIÓN DE SOLUCIÓN DE
AUTENTICACIÓN SEGURA BASADA EN DOBLE
FACTOR EN UNA ENTIDAD DEL ESTADO
Tesis para optar por el Título Profesional de Ingeniero
Informático y de Sistemas
VICTOR ALEJANDRO ÑIQUE MORAZZANI
Asesora:
Ing. Paola García Juárez
Lima - Perú
2016
2
Jaddy Silvana Fernandez
Iparraguirre
FACULTAD DE INGENIERÍA
Carrera de Ingeniería Informática y de Sistemas
IMPLEMENTACIÓN DE SOLUCIÓN DE
AUTENTICACIÓN SEGURA BASADA EN DOBLE
FACTOR EN UNA ENTIDAD DEL ESTADO
Tesis para optar por el Título Profesional de Ingeniero
Informático y de Sistemas
VICTOR ALEJANDRO ÑIQUE MORAZZANI
Asesora:
Ing. Paola García Juárez
------------------------------- -------------------------------
Ana María Ramírez Díaz
-------------------------------
Luis Soto Soto
3
Dedicatoria
Dedico el presente trabajo a mis abuelos, padres, hermano y pequeñas
hermanas, por la inspiración y apoyo en el desarrollo de mi carrera.
A mi madre, por el amor y el futuro que deseó para nosotros.
A mi padre, por el esfuerzo y dedicación en mi crecimiento.
A mi novia por su constante apoyo, compañía y motivación.
4
Agradecimiento
Agradezco a mi asesora Ing. Paola García Juárez por el apoyo, la guía y
recomendaciones sobre la elaboración del presente trabajo.
5
Resumen
La tecnología crece cada vez más rápido y nos presenta nuevos entornos que nos benefician,
pero también nos exponen; uno de los riesgos más frecuentes es la suplantación de identidad.
En el caso de las empresas, solo en el 2014 se registró que un 58% de empresas peruanas
sufrieron ataques informáticos, y al analizar su nivel de seguridad se observó que carecían
de un sistema de autenticación robusto, lo que las convirtió en blanco fácil para estos ataques.
El estado ya tiene conocimiento de estos acontecimientos y por ello en el 2012 se aprobó la
Resolución Ministerial N° 129-2012-PCM, la cual exige a todas las entidades del Sistema
Nacional de Informática aplicar la autenticación de doble factor a sus activos informáticos
que manejen información confidencial.
Con el objetivo de combatir los posibles ataques digitales a los que una empresa del estado
está expuesta y evitar la suplantación de identidad, se buscó presentar una herramienta que
refuerce la seguridad informática. La propuesta es utilizar una solución de autenticación de
doble factor, brindada por diferentes marcas, de las cuales se realizó un análisis para elegir
la que mejor se acomode a las necesidades del cliente.
La seguridad en la información ya no es un privilegio de pocos, es un requerimiento
obligatorio para entidades del Estado. El país no puede exponerse a sufrir robo de
información ya que tendría grandes repercusiones en la vida de los peruanos. Entonces
buscar una herramienta de protección es la mejor decisión que una empresa puede tomar, ya
que esperar a ser atacados no es una opción.
6
Tabla de Contenidos
Introducción ................................................................................................................... 10
Justificación ................................................................................................................ 13
Definición del problema ............................................................................................. 16
Objetivos ..................................................................................................................... 17
Objetivo general. ...................................................................................................... 17
Objetivos específicos. ............................................................................................... 17
Hipótesis ..................................................................................................................... 18
Variables ..................................................................................................................... 18
Contribución ............................................................................................................... 18
Alcance y limitaciones ................................................................................................ 19
Alcance. .................................................................................................................... 19
Limitaciones. ............................................................................................................ 20
Metodología de desarrollo de la tesis ......................................................................... 20
Marco contextual ........................................................................................................... 22
Descripción de la empresa .......................................................................................... 22
Macroprocesos de la organización .............................................................................. 24
Marco conceptual .......................................................................................................... 26
Marco teórico .............................................................................................................. 26
ISO/IEC 27001. ........................................................................................................ 26
Identificación. ........................................................................................................... 28
Autenticación............................................................................................................ 28
Autorización. ............................................................................................................ 31
Registro de actividad. ............................................................................................... 32
Marco metodológico ...................................................................................................... 35
Metodología de la gestión del proyecto ...................................................................... 35
Fase de inicio. ........................................................................................................... 35
Fase de planeamiento. .............................................................................................. 35
Fase de ejecución...................................................................................................... 36
Fase de seguimiento y control. ................................................................................. 36
7
Fase de cierre. ........................................................................................................... 36
Metodología de implementación ................................................................................ 37
Levantamiento de información. ................................................................................ 37
Pruebas de laboratorio. ............................................................................................. 37
Planificación de la implementación. ........................................................................ 38
Ejecución de la implementación. .............................................................................. 39
Monitoreo de la implementación. ............................................................................. 39
Cierre de la implementación..................................................................................... 40
Metodología de investigación ..................................................................................... 40
Identificación del escenario. ..................................................................................... 40
Definición del problema. .......................................................................................... 41
Propuesta de solución. .............................................................................................. 41
Interpretación de resultados...................................................................................... 41
Herramientas a utilizar ................................................................................................ 41
Costos de métodos de autenticación. ........................................................................ 44
Nivel de complejidad de implementación. ............................................................... 45
Entornos para aplicar autenticación. ........................................................................ 46
Tendencias. ............................................................................................................... 46
Análisis de marcas. ................................................................................................... 47
Implementación de la solución tecnológica. ............................................................ 50
Desarrollo de la tesis ...................................................................................................... 53
Inicio ........................................................................................................................... 53
Planeamiento ............................................................................................................... 56
Ejecución .................................................................................................................... 58
Etapa I. Instalación de la plataforma. ....................................................................... 58
Etapa II. Integración con agentes de autenticación. ................................................. 60
Etapa III. Puesta en producción. ............................................................................... 61
Seguimiento y control ................................................................................................. 62
Cierre .......................................................................................................................... 62
Presupuesto .................................................................................................................... 64
Evaluación del proyecto ............................................................................................. 64
Conclusiones ................................................................................................................... 66
8
Recomendaciones ........................................................................................................... 67
Trabajos futuros ............................................................................................................ 68
Bibliografía ..................................................................................................................... 69
ANEXOS ........................................................................................................................ 71
Índice de Tablas
Tabla 1. Resistencia de contraseñas simples a intentos de divulgación. ............................. 29
Tabla 2. Requerimientos técnicos de RSA Authentication Manager. ................................. 54
Tabla 3. Requerimientos técnicos de RSA Authentication Agent 7.2.1 para Microsoft
Windows. ..................................................................................................................... 55
Tabla 4. Requerimientos técnicos de RSA Authentication Agent 7.1 para Web en IIS 7.0 y
7.5. ................................................................................................................................ 56
Índice de Figuras
Figura 1. Grupos de procesos de la dirección de proyectos. ............................................... 21
Figura 2. Presupuesto de la empresa para las actividades y proyectos del año 2015. ......... 23
Figura 3. Organigrama de la entidad estatal objeto de estudio. ........................................... 24
Figura 4. Identificación, autenticación, y autorización. ...................................................... 32
Figura 5. Registro de actividades. ....................................................................................... 34
Figura 6. Cuadrante de Gartner para la autenticación de usuarios. ..................................... 52
Figura 7. Presupuesto para la implementación de la solución RSA Authentication Manager
8.1. ................................................................................................................................ 64
9
Figura 8. Cursa S del proyecto. ........................................................................................... 65
Figura 9. Diagrama de red final de la implementación. ...................................................... 71
Índice de Anexos
Anexo A: Diagrama de red final de la implementación. ..................................................... 71
Anexo B: Cronograma de proyecto de Implementación de RSA Authentication Manager
8.1. ................................................................................................................................ 72
Anexo C: Plan de trabajo de Implementación de RSA Authentication Manager 8.1. ........ 73
Anexo D: Matriz de riesgos. ................................................................................................ 76
10
Introducción
En la actualidad la tecnología avanza a grandes pasos, el Internet y la globalización
ha hecho que el mundo tenga acceso a beneficios en productividad y eficiencia, como
también a riesgos en cuanto a información personal o empresarial se refiere; para protegernos
de estas nuevas vulnerabilidades cibernéticas nace la seguridad informática. En este mercado
las marcas líderes en seguridad proponen nuevas soluciones para proteger la información
que manejan las empresas. Sin embargo, al mismo tiempo el mundo ilegal cuenta con
profesionales en ataques informáticos, quienes desarrollan nuevas herramientas conocidas
como “ataques de día cero”, las cuales tienen un alto grado de complejidad para ser
descubiertas, ya que operan de diversas maneras.
Según Check Point, el malware de día cero es elaborado con precisión desde su
creación, con el fin de explotar vulnerabilidades de software que los fabricantes no saben
que existen aún. Por otro lado, este tipo de malware es utilizado para un ataque selectivo con
un objetivo definido, en gran parte debido a que los costos de desarrollo de este nuevo
instrumento son muy altos en comparación a utilizar herramientas existentes.
Asimismo, Check Point precisa:
El índice de ataques de día cero y malware desconocido es
masivo...Increíblemente, solo el uno por ciento de las empresas usan
tecnologías de prevención de ataques de día cero. Y solo la décima parte de
las empresas consumen los servicios de inteligencia frente a amenazas (2015,
p. 11).1
1 El texto original fue escrito en inglés.
11
Ante la evidencia de la poca prevención e inversión en tecnologías de protección
contra ataques de día cero, Miller indica: "Si las empresas no cuentan con el personal para
actualizar el software vulnerable o hacer las modificaciones compensatorias necesarias, el
riesgo de comprometer la información no podrá ser afrontado" 2(2015, p.3).
Además, Check Point recuerda que debemos tener en cuenta que la mayoría de
herramientas de seguridad que ejecutamos solo son capaces de encontrar vulnerabilidades
conocidas, por lo tanto, los ataques de día cero podrían tomarnos por sorpresa en cualquier
momento. Dicha situación ocurrió con el ataque "Sandworm", el cual fue uno de los ataques
más notorios del año 2014. Esta ofensiva fue dirigida a la OTAN, el gobierno ucraniano,
entre otros blancos políticos. En este caso, hackers rusos aprovecharon la vulnerabilidad
CVE-2014-4114, la cual está basada en utilizar la librería OLE de Microsoft Windows y
Windows Server. Esta librería era controlada al ejecutar archivos infectados PowerPoint
enviados por correo, de tal forma que activaban un exploit que instalaba código malicioso y
generaba un backdoor en el sistema, otorgando a los atacantes la facultad de ejecutar
comandos en los equipos vulnerados.
Según la encuesta realizada en el 2014 por la empresa Deloitte Guatemala, se ha
observado en las últimas décadas que los objetivos más atractivos para los robos
informáticos son las empresas de tecnologías de seguridad informática, las entidades de
gobierno y las empresas con alto nivel de crecimiento en el mercado. Debido al importante
papel que estas empresas representan en el desarrollo de un país, es necesario aplicar diversas
medidas para mantener la seguridad en las capas de acceso a la información como son: la
red externa, la red interna, los dispositivos de red, las aplicaciones y los datos.
2 El texto original fue escrito en inglés.
12
Según la encuesta realizada por ESET en el 2015 solo el 10% de empresas de
Latinoamérica cuentan con soluciones de autenticación de doble factor, de donde podemos
entender que el 90% contaba solo con la autenticación simple de usuario y contraseña. Del
total de empresas con autenticación simple, se registró eventos de ataques por acceso
indebido de 41% en Latinoamérica y en Perú el 58% de empresas. Lo que demuestra que a
nivel nacional la mayoría de empresas son vulnerables a este tipo de incidentes, que en un
futuro pueden representar robo de información entre otros factores de riesgo.
De esta manera debemos adoptar un modelo de defensa en profundidad, que permita
organizar y proteger cada recurso de información. En este sentido, no basta con aplicar el
método común de autenticación con usuario y contraseña fija, sino que es necesario el uso
de métodos de autenticación robustos de doble factor, como usuario y contraseña fija más
contraseña variable, estas variables pueden ser el token en físico, token virtual, ya sea en
app, mensaje de texto o correo, preguntas de seguridad, entre otros. Este método de doble
factor aporta un control de seguridad para validar que los individuos que accedan a nuestros
recursos de información solo sean aquellos que hemos permitido. Además, es posible
emplear esta medida en todas las capas de acceso.
La entidad gubernamental donde se desarrolló el presente trabajo al conocer los
riesgos informáticos de la actualidad, las medidas de seguridad de información y reconocerse
como una empresa del sector con mayor incidencia de ataques informáticos, optó por
adquirir una solución de autenticación segura basada en doble factor para resguardar sus
servicios más críticos. Esta entidad tiene a su cargo el establecimiento y gestión de las
políticas de transportes y comunicaciones acordes a los planes de desarrollo del país. En
13
adelante será referida como la empresa debido al acuerdo de confidencialidad que se firmó
para exponer el caso al público.
Justificación
La empresa cuenta con aplicaciones y servicios informáticos, requeridos para el
desempeño de las funciones de sus usuarios, quienes son empleados de la institución.
Servicios entre los cuales se encuentra: el acceso a computadoras de escritorio o
computadoras portátiles, correo electrónico empresarial, aplicaciones web internas; así como
interfaces de administración de plataformas perimetrales de la entidad (entre ellas: firewall,
antivirus, antispam, sistema de prevención de intrusos, endpoint, vpn ssl, entre otros).
En una entrevista con el Administrador de Sistemas se evidenció que la empresa
utilizaba la autenticación simple a través de la validación del nombre y contraseña de
usuario, para acceder a las aplicaciones mencionadas anteriormente; las cuales están
integradas (en su mayoría) con la solución Active Directory de Microsoft (MS AD), lo que
permite el uso de una sola credencial para la autenticación en diversas aplicaciones. Sin
embargo, parte de las plataformas perimetrales manejan únicamente usuarios de
administración locales 3. La simplicidad de este método de autenticación aumenta la
probabilidad de riesgo de acceso no autorizado.
Dentro de este método existen niveles de complejidad al crear una contraseña, la más
básica, de solo ocho caracteres de palabras en minúscula, es la más común y la más fácil de
vulnerar. Según Jason Andress (2011), hackear esa contraseña demoraría entre uno a dos
minutos, lo que la hace altamente vulnerable. Sin embargo, el nivel de complejidad puede
aumentar de acuerdo a la combinación de caracteres, entre minúsculas, mayúsculas,
3 Se refiere a los usuarios que cuentan con privilegios para modificar únicamente la propia PC o
servidor.
14
símbolos y números. Una contraseña formada por la combinación de todos, a diferencia de
la compuesta por solo palabras en minúscula, necesitaría más de dos años para ser
descubierta. Con MS AD es posible establecer como requisito que todas las contraseñas
definidas por los usuarios sean igual de fuertes, lo que nos daría como resultado una
contraseña similar a “$eGuR0!”. Esta parece ser la solución inmediata al problema de
simplicidad y debilidad, sin embargo, su punto débil se encuentra en el bajo nivel de
recordación que tiene este tipo de contraseña para sus usuarios.
Frecuentemente, se obtiene información de ataques informáticos donde a través de
deficiencias en el control de acceso a plataformas de seguridad, los atacantes consiguen
obtener información reservada, escalar privilegios en accesos, alterar datos, entre otras
actividades. De acuerdo a ESET (2015, p. 8), en Latinoamérica durante el año 2014 se
registraron incidentes como: infección de malware, acceso indebido a aplicaciones y/o bases
de datos, ataques de denegación de servicio, phishing, explotación de vulnerabilidades, falta
de disponibilidad de servicios críticos y fraude interno/externo. Enfocándonos en incidentes
de acceso indebido a información, se registró que en Perú el 58% de empresas sufrieron este
evento, mientras que a nivel de Latinoamérica el 41% de empresas fueron afectadas.
Por otra parte, Deloitte (2014) indica que las principales iniciativas de seguridad en
las organizaciones financieras de Latinoamérica son el cumplimiento regulatorio y
legislativo de seguridad de la información, así como garantizar la identidad y acceso. Ello
debido a la evidencia de que existe un 27% de empresas que no tienen mucha confianza en
que los activos informáticos de su organización se encuentren protegidos de un ataque o
brecha de seguridad originada internamente, y 5% de empresas no confían en la protección
de sus activos frente a un ataque externo.
15
SANS Institute (2015) referencia que los ataques informáticos de las redes de
agencias gubernamentales federales de Estados Unidos aumentaron 15% durante el año
2014, según el reporte de la Oficina de Administración y Presupuesto (OMB) de Estados
Unidos. Fue posible registrar este incremento debido a la implementación del monitoreo
continuo en dichas redes. Además, esta institución sostiene que estos eventos pudieron
prevenirse si se hubiese implementado métodos de autenticación robusta.
Según lo indicado en los párrafos anteriores, se observa que la empresa aplicaba
controles parciales para la gestión de accesos a sus sistemas informáticos, exponiéndola así
a actuales escenarios de inseguridad informática como lo son la fuga de información,
suplantación de identidad, manipulación de datos e información, entre otros. La actual
gestión de accesos permite vulnerar el método actual de autenticación al obtener la
contraseña de los usuarios por divulgación, ingeniería social o ataques de fuerza bruta para
obtener la contraseña del usuario.
Según Piper (2013, p. 32) “El dinero y la política están alimentando las iniciativas de
ciberdelincuentes, hacktivistas y ejecutores de amenazas de Estado para utilizar cualquier
herramienta que tengan a su alcance con el fin de infiltrarse en la red de su organización.”
Actualmente, la empresa capacita a los usuarios sobre temas relacionados a la
seguridad de la información, con el fin de crear conciencia en la importancia de la
información administrada, y de las repercusiones del mal manejo de datos confidenciales.
Debido a que la empresa está interesada en aumentar los niveles de seguridad para reducir
riesgos de acceso no autorizado y cumplir la normativa.
16
Definición del problema
De acuerdo a la gestión de usuarios de la empresa, se evidencia un esquema básico
en el control de credenciales de acceso a las aplicaciones utilizadas por sus colaboradores,
ya que solo validan el nombre de usuario y contraseña ingresados. El 50% de aplicaciones
tiene registradas las credenciales de usuario a nivel local y el 50% restante utiliza
credenciales alojadas en un servidor de autenticación con la solución Microsoft Active
Directory. Este panorama convierte a la empresa en un objetivo atractivo para los hackers,
ya que les tomaría entre 1 minuto a 3 horas para acceder y extraer información importante.4
Además, según la Resolución Ministerial N° 129-2012-PCM aprobada el 23 de mayo
del año 2012, es de uso obligatorio la Norma Técnica Peruana NTP-ISO/IEC 27001:2008
para todas las entidades integrantes del Sistema Nacional de Informática. Entre ellas se
encuentra la empresa en análisis, es así que deberá cumplir con este estándar internacional
como un requerimiento legal. Parte de este modelo solicita implementar métodos seguros
para el acceso de los usuarios a la información.
De acuerdo a las tendencias, existen soluciones de seguridad que centralizan los
accesos de los usuarios y sus credenciales. Es por ello que la empresa requiere establecer un
control global de acceso a la red a través de la autenticación de doble factor.
4 Líneas arriba se explicó el nivel de complejidad de las contraseñas, su composición y el tiempo
que demoraría exponerlas.
17
Objetivos
La presente tesis cuenta con los siguientes objetivos generales y específicos, los
cuales detallamos a continuación:
Objetivo general.
Implementar una solución de autenticación segura basada en el uso de autenticación
de doble factor, a través del uso de una clave estática y una clave dinámica, la cual optimizará
la seguridad en el acceso a las aplicaciones utilizadas por los colaboradores de la empresa,
así como a los dispositivos de red y seguridad perimetral; con el fin de reducir el riesgo de
acceso no autorizado de usuarios internos y externos a los recursos informáticos más
importantes de la empresa.
Objetivos específicos.
Cumplir con los lineamientos de la Norma Técnica Peruana NTP-ISO/IEC
27001:2008 respectivos a la gestión de accesos de usuarios, el cual indica que es
necesario prevenir el acceso no autorizado a los recursos de red a través del uso de
métodos de autenticación adecuados.
Centralizar el control de accesos a los servicios informáticos que gestionan
información confidencial o son un punto de acceso a la red interna de la empresa
desde Internet.
Mejorar la administración del actual control de acceso lógico de usuarios a recursos
informáticos que manejen información confidencial, ya sean computadoras de
escritorio, computadoras portátiles, correo empresarial, sistemas web internos, red
privada virtual o administración de plataformas perimetrales de la empresa.
18
Generar registros de auditoría de acceso a aplicaciones y recursos, realizado por los
colaboradores a los sistemas a los cuales tienen autorización.
Hipótesis
Si establecemos la autenticación de doble factor en los activos informáticos más
críticos por su nivel de confidencialidad, se reducirá el porcentaje de riesgo en ellos al menos
30%.
Variables
Porcentaje de riesgo: Indica la exposición de un activo ante un nivel de impacto según
la probabilidad de ocurrencia de una amenaza.
Contribución
El presente estudio aporta una metodología para la implementación de una
herramienta de control y auditoría, basada en las buenas prácticas de la guía PMBOK,
sumada a la metodología interna que utiliza la empresa proveedora encargada de la
implementación de la solución de autenticación.
Esta herramienta es aplicada en el proceso de autenticación de los usuarios al acceder
a los recursos informáticos, a través del uso de la autenticación de doble factor. De esta
manera se reduce el riesgo de acceso no autorizado a información y recursos empresariales;
lo que permite garantizar los pilares de la seguridad de la información: la integridad,
confidencialidad y disponibilidad según la Norma Técnica Peruana ISO/IEC 17799:2005.
19
Alcance y limitaciones
Los siguientes puntos establecen el ámbito de la presente tesis.
Alcance.
Implementar la herramienta de autenticación de doble factor para incrementar el nivel
de seguridad en el acceso a las aplicaciones y servicios informáticos de la empresa,
en base a una arquitectura de alta disponibilidad de servicio.
Migrar los perfiles de los usuarios existentes en MS AD y configurar los accesos para
las diversas aplicaciones en la nueva herramienta de administración de autenticación,
certificando que se realice de manera conforme.
Comprobar la comunicación segura entre la nueva solución y los agentes de
autenticación instalados en los puntos de acceso a los servicios informáticos.
Implementar un plan de acceso de emergencia a los agentes de autenticación, en caso
los usuarios internos no cuenten con el dispositivo que genera la clave dinámica, y
en caso no se establezca comunicación entre los agentes y la solución de
autenticación.
Establecer métodos de asignación y distribución de los dispositivos de clave
dinámica a los usuarios que permitan mantener la seguridad en el despliegue de la
solución; así como servicios de autogestión para los usuarios en casos de
actualización de datos, pérdida del dispositivo, etc.
Generar reportes sobre la administración de la plataforma, estado de la plataforma y
los servicios de autenticación, para auditar el proceso de autenticación y validar el
correcto estado de la solución.
20
Limitaciones.
El presente trabajo no contempla la implementación de la autenticación basada en
riesgos (RBA – Risk-Based Authentication), la cual cuenta con un mecanismo que evalúa el
intento de acceso según el nivel de riesgo y variables definidas como el dispositivo utilizado,
ubicación geográfica y comportamiento del usuario; y en base a los resultados obtenidos
brinda o no el acceso solicitado.
Asimismo, esta tesis no abarca la implementación del método de autenticación a
demanda (ODA – On-Demand Authentication), el cual brinda al usuario una segunda medida
de autenticación a través de correo electrónico o SMS.
Finalmente, la tesis no comprende el método de autenticación RADIUS, el cual
controla el acceso a la red de la empresa a través de clientes RADIUS configurados en
plataformas como servidores VPN, puntos de acceso wireless, Network Access Servers
conectados a módems dial-in, entre otros.
Metodología de desarrollo de la tesis
A través de la metodología de Gestión de Proyectos, utilizando los fundamentos y
buenas prácticas de la guía Project Management Body of Knowledge (PMBOK) del Project
Management Institute (PMI), se definen las siguientes fases:
Inicio: en esta fase se realiza la recopilación de información a través de reuniones
con el cliente, a fin de establecer los requerimientos del proyecto, alcance de la
solución, entregables, los encargados del proyecto por ambas partes, entre otros.
Planeamiento: se elabora un cronograma de proyecto en base a los requerimientos
establecidos en el punto anterior, que buscan cumplir los objetivos del proyecto.
21
Ejecución: contempla todas las tareas relacionadas a la implementación de la
solución en coordinación con el cliente, ejecutando las actividades planificadas.
Seguimiento y Control: se monitorea el avance del proyecto validando el
cumplimiento de los objetivos definidos, en base al cumplimiento de requerimientos
técnicos de la herramienta establecidos con el cliente.
Cierre: se entrega documentos de cierre de proyecto validando la conformidad de la
solución por parte del cliente, el estado final de la solución y objetivos cumplidos.
A continuación, la figura 1 “Grupos de procesos de la dirección de proyectos” denota
la relación entre las fases de gestión de proyectos definidas en PMBOK de PMI.
Figura 1. Grupos de procesos de la dirección de proyectos. En Guía de los fundamentos para la dirección de
proyectos (guía del PMBOK®) - Quinta edición (p.50), por Project Management Institute, Inc., 2013,
Newtown Square, PA: PMI Publications. Derechos de autor [2013] por Project Management Institute, Inc.
Inicio Cierre
Seguimiento y Control
Ejecución
Planeamiento
22
Marco contextual
El presente capítulo describe a la empresa cliente, su estructura organizativa,
funciones, procesos y áreas interesadas en la solución propuesta.
Descripción de la empresa
La entidad gubernamental en la cual se basa el presente trabajo vela por regular,
mejorar e implementar infraestructura de transportes y comunicaciones en Perú, con el fin
de establecer medios para la utilización de recursos, mejorar las vías de transporte y
promover la producción nacional a través de mejoras en transporte y comunicaciones.
La empresa cuenta con una sede central que alberga aproximadamente dos mil
quinientos usuarios, cinco sedes remotas de administración donde laboran alrededor de
doscientos colaboradores y tres centros de atención al cliente que juntas suman cerca de
sesenta usuarios.
Sus principales funciones son:
Diseñar, normar y ejecutar la política de promoción y desarrollo en materia de
transportes y comunicaciones.
Formular los planes nacionales sectoriales de desarrollo y cumplir funciones
ejecutivas en todo el territorio nacional respecto a las materias de su competencia.
Fiscalizar y supervisar el cumplimiento del marco normativo relacionado con su
ámbito de competencia.
Otorgar y reconocer derechos a través de autorizaciones, permisos, licencias y
concesiones, así como también planificar, promover y administrar la provisión y
prestación de servicios públicos del sector transportes y comunicaciones, de acuerdo
a las leyes de la materia.
23
La empresa dispone de un presupuesto de 8,678 millones de nuevos soles para el año
2015. Del total, para proyectos de la red vial nacional han sido designados 6,068 millones
de nuevos soles; el sistema eléctrico de transporte masivo de Lima y Callao posee 1,690
millones de nuevos soles; para proyectos de infraestructura de transporte departamental y
rural son 296 millones de nuevos soles; los proyectos de telecomunicaciones de transmisión
de voz y datos tienen 74 millones de nuevos soles; 40 millones de nuevos soles para
proyectos de transporte de personas, carga y mercancías; finalmente el Sistema Portuario
Nacional recibe 50 millones de nuevos soles. En la figura 2 “Presupuesto de la empresa para
las actividades y proyectos del año 2015” se observa la distribución porcentual del
presupuesto del año 2015 para las actividades y proyectos de esta empresa.
Figura 2. Presupuesto de la empresa para las actividades y proyectos del año 2015. Gráfico basado en la
información del presupuesto del año 2015 del Ministerio. Elaboración propia.
69.9%
19.5%
3.4%
5.8%
0.1%
0.9%
0.5%
1.4%
Proyectos de la Red Vial Nacional
Sistema Eléctrico de Transporte Masivo de Lima y Callao
Proyectos de infraestructura de transporte departamental y rural
Otros
Sistema Portuario Naciconal
Proyectos de telecomunicaciones de transmisión de voz y datos
Proyectos de transporte de personas, carga y mercancías
Presupuesto total de S/. 8,678,000,000
24
En la figura 3 “Organigrama de la entidad estatal objeto de estudio” se muestra la
estructura de la empresa según su organigrama. La implementación de la solución de
autenticación de doble factor para los accesos de usuarios, sobre la cual se desarrolla la
presente tesis, está a cargo de la Oficina de Tecnología de Información (OTI), de la cual se
describirá en el siguiente punto los principales procesos relacionados a su gestión.
Figura 3. Organigrama de la entidad estatal objeto de estudio. En el organigrama del Ministerio, 2015.
Macroprocesos de la organización
La solución es implementada con el objetivo de brindar servicios de autenticación a
usuarios de distintas áreas del ministerio. La Oficina de Tecnología de la Información es la
encargada de llevar a cabo las coordinaciones para implementar soluciones de seguridad
informática en la entidad.
Al analizar los principales macroprocesos intervienen dos puntos de vista, el
funcional y de seguridad informática.
Despacho Ministerial
Procuraduría Pública
Secretaría General
Oficina General de
Administración
Oficina de Tecnología de Información
Oficina General de Asesoría
Jurídica
Oficina General de Planeamiento
y PresupuestoViceministerio
Órgano de Control
Institucional
25
A nivel funcional está definido el proceso de soporte, el cual cumple funciones de
planificar, implementar y administrar sistemas de información, infraestructura
tecnológica y de comunicaciones. Con el fin de brindar herramientas de información
a los usuarios. Este proceso se encuentra a cargo de la Secretaría General.
A nivel de seguridad informática se realiza la gestión de accesos, donde se define el
perfil de accesos a aplicaciones para cada colaborador en base a la función que
desempeña. Adicionalmente, se realiza un constante monitoreo sobre el buen uso de
los accesos otorgados a cada colaborador.
26
Marco conceptual
Marco teórico
En el presente capítulo, se desarrollan los conceptos sobre los cuales se basa la
presente tesis, los cuales están relacionados a niveles de seguridad de la información
definidos por estándares internacionales, así como también definiciones teóricas del proceso
de autenticación de credenciales de usuario.
ISO/IEC 27001.
Es el estándar internacional certificable de la familia de estándares ISO 27000 que
ayuda a las organizaciones a proteger su información. Provee los requerimientos para
establecer un Sistema de Gestión de la Seguridad de la Información en la compañía.
En Perú, el Comité Técnico Permanente de Codificación e Intercambio Electrónico
de Datos (EDI) aprobó en el año 2012 el uso obligatorio de la primera edición de la Norma
Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas
de seguridad. Sistemas de gestión de seguridad de la información. Requisitos.” según la
Resolución Ministerial N° 129-2012-PCM, que precisa a cumplir con dicha medida a
entidades de administración pública, es decir entidades integrantes del Sistema Nacional de
Informática, con el objetivo de estandarizar la administración de la seguridad de la
información en las empresas a nivel nacional.
Con el fin de obtener el certificado ISO 27001 o tener cumplimiento completo del
marco legal, es necesario cumplir los objetivos de control y controles detallados en la norma.
En el caso de estudio, la autenticación de doble factor ayudará a controlar los accesos a la
información, asegurar que el acceso de usuarios sea autorizado y prevenir el acceso no
autorizado a los sistemas de información, a los servicios de red y sistemas operativos. De la
27
lista de objetivos de control y controles adjunta en la norma, se ha identificado los siguientes
puntos para los cuales la implementación de autenticación de doble factor apoyará a cumplir.
El punto “A.10.6.1 Controles de red” requiere establecer controles para mantener la
seguridad en la red, así como conservar la seguridad de los sistemas y aplicaciones de
usuarios de la red, para lo cual la autenticación de doble factor aporta un punto adicional de
control.
La medida de seguridad de autenticación de doble factor permite registrar los accesos
de los usuarios a sistemas, ya sean intentos exitosos o fallidos, lo que permite monitorear el
acceso a los sistemas que se desea proteger. Este es un requerimiento establecido en el punto
“A.10.10.1 Registro de auditoría” de la norma. Además, es posible registrar las actividades
de administración de este tipo de soluciones, de los usuarios con perfiles de administración
asignados, lo que permite cumplir con el punto “A.10.10.4 Registros de administrador y
operador”.
Este tipo de control de autenticación es un factor esencial para validar la autenticidad
de los usuarios que se conectan remotamente, de esa manera cumplimos con el punto
“A.11.4.2 Autenticación de usuarios para conexiones externas”. Por otro lado, respecto al
acceso a los sistemas internos, según el punto “A.11.5.1 Procedimientos seguros de
conexión” se debe establecer un proceso de inicio de sesión seguro. Además, al asignar un
dispositivo de clave variable a un usuario, establecemos un identificador único para ellos,
garantizando la identidad de los colaboradores al ejecutar sus funciones; lo cual es solicitado
por el punto “A.11.5.2 Identificación y autenticación del usuario”.
Finalmente, el esquema de solución de autenticación establece que la contraseña del
usuario posea una parte fija conocida solo por el usuario y una parte variable obtenida del
28
dispositivo generador de clave dinámica, lo cual es un método efectivo e interactivo de
garantizar una contraseña de calidad según el punto “A.11.5.3 Sistema de gestión de
contraseñas”.
Identificación.
Según Jason Andress (2011, p.18), identificación es la afirmación de quién eres. Lo
cual podría incluir quién eres como persona, qué sistema pretendes ser en una red, quién
representas en un correo, o transacciones similares. Este proceso de identificación no implica
algún tipo de verificación de la identidad que indicamos.
Podemos identificarnos con nuestro nombre, sobrenombres, abreviaturas, números
de cuenta, nombres de usuario, ID de tarjetas, huellas digitales, ADN, entre otros. Sin
embargo, no todos los métodos son únicos o pueden ser falsificados de alguna manera.
Además, es posible cambiar dichos atributos, por ello es decisivo no considerar como
confiable solo la afirmación de una identidad, ya que podría ser una falsificación.
Autenticación.
Andress (2011) define la autenticación en seguridad de la información como el
proceso con métodos que validan como legítima la identidad del usuario que intenta ingresar
a un recurso informático, a través de la provisión de uno o varios factores de autenticación.
Esto no incluye los permisos de acceso que posea el objeto autenticado.
Existen muchos métodos de autenticación referidos como factores; es así que
mientras más factores utilicemos al validar una identidad, los resultados de la evaluación
serán más certeros. Pueden ser categorizados en algo que conoces, algo que eres, algo que
tienes, algo que haces, y dónde estás.
29
Andress explica que el primer factor “Algo que conoces es el método más utilizado,
en el cual tenemos contraseñas, códigos, frases u otro dato que una persona pueda recordar.”
(2011, p. 20). Este es un factor débil debido a que si se divulga la información la identidad
queda expuesta. Sin embargo, en este campo podemos encontrar una escala entre tipos de
contraseñas, desde la más débil hasta la más fuerte. Se califica como fuerte a la contraseña
con mayor grado de complejidad, esta característica se puede medir no solo por los factores
que la componen sino también por el tiempo que demora un hacker en romperla e infiltrarse.
Desde la más básica y simple hasta la más compleja, la tabla 1 nos ayuda a darnos una idea
de la efectividad de una contraseña como recurso de autentificación.
Tabla 1. Resistencia de contraseñas simples a intentos de divulgación.
Elementos de una contraseña de 8 caracteres Tiempo para descubrirla
Palabras en minúscula 1 a 2 minutos
Palabras en minúscula y mayúscula 6 días
Palabras en minúscula, mayúscula y números 25 días
Palabras en minúscula, mayúscula, números y símbolos 2 años
Nota. The basics of information security: understanding the fundamentals of InfoSec in theory and practice.
(p.20), por Jason Andress, 2011. Derechos de autor [2011] por Elsevier Inc.
De esta tabla podemos concluir que la contraseña con mayor combinación de
elementos es la más fuerte, el único factor que podría volverla débil es el de la recordación.
Existen casos en los que por tener este tipo de contraseñas los empleados se ven forzados a
apuntarla en algún lugar del escritorio para contrarrestar el olvido y la reposición por una
nueva, sin embargo, esto representa un peligro porque queda expuesta a que otro la observe
con intención o sin intención, en este punto la contraseña queda expuesta y como
consecuencia queda anulado su alto nivel de seguridad.
30
Acerca del segundo factor de autenticación, Andress indica que “Algo que eres está
basado en atributos físicos frecuentemente únicos de una persona.” (2011, p. 20). Conocido
mayormente como factor biométrico, puede estar basado en peso, altura, color de cabello, o
de mayor complejidad como composición de retina, características faciales, huella digital,
aliento, entre otros. La complejidad de los últimos se debe a que es difícil copiar dichas
características, pero no es imposible.
Seguidamente, Andress expresa que el tercer factor, “Algo que tienes comúnmente
se basa en la posesión de un dispositivo en un medio físico o lógico.” (2011, p. 20). Suele
presentarse como tarjetas de identidad, tokens físicos o de software. Algunas instituciones
utilizan dispositivos móviles o cuentas de correo. Dependiendo del tipo de implementación
será más seguro el factor, por ejemplo, robar un token físico es más complejo que robar el
acceso al correo.
Otro método definido como factor por Andress son los movimientos, donde indica
que “Algo que haces es considerado como una variante de algo que eres, es un factor basado
en las acciones o comportamiento de un individuo.” (2011, p. 21). Podría ser la forma de
andar, elementos de escritura, incluso la velocidad al pulsar las teclas. Es un método más
robusto al ser difícil de falsificar; sin embargo, tiene alta probabilidad de denegar el acceso
por error a usuarios legítimos, a comparación de los demás factores.
Por último, Andress define el lugar como factor, “Dónde estás es un factor
geográfico, depende de si la persona se encuentra en una ubicación particular para habilitar
o restringir el acceso a los recursos protegidos”. (2011, p. 21).
Respecto a la metodología de autenticación, el uso de más de un factor descrito
anteriormente es conocido como autenticación multifactor. En el caso de usar dos métodos
31
es autenticación de doble factor. Por ejemplo, el uso de PIN adicionando el código variable
del token. Dependiendo de los factores seleccionados, podemos establecer una autenticación
multifactor más robusta o débil. Es por ello que debemos ser cautelosos al diseñar un nivel
de seguridad que sea proporcional a los activos que protegemos.
Autorización.
Como señala Andress (2011), autorización es el siguiente paso luego de
identificación y autenticación, esta validación determina lo que puedes hacer. Esta función
se implementa con controles de acceso lógicos, permitiendo o bloqueando el acceso a un
recurso. Acorde al principio de privilegios mínimos debemos permitir únicamente los
accesos mínimos a otra parte; ya sea una persona, cuenta de usuario o proceso; con el fin de
solo permitir que realice las funciones que necesita. Por ejemplo, alguien de ventas no
debería tener acceso a los sistemas de recursos humanos. No acatar este principio es la causa
de muchos problemas de seguridad que suceden actualmente.
Lo que sucede comúnmente es que brindamos usuarios con privilegios de
administrador, y en el caso que alguien robe las credenciales de la cuenta, tiene a su
disposición la forma de acceder a otros recursos con permisos de administración. Asimismo,
sucede con servicios que no necesitan accesos absolutos sobre el sistema operativo, ya que
si toman control de estos servicios podrían introducirse en el sistema operativo, disponiendo
de acceso a mayor información y sistemas.
Es por ello que al seguir el principio de privilegios mínimos al configurar sistemas,
brindar permisos a cuentas, o planificar la seguridad; descartamos algunas de las
herramientas de acceso más utilizadas por los atacantes. Es una medida de seguridad muy
simple que podemos seguir y es muy efectiva.
32
Figura 4. Identificación, autenticación, y autorización. En The basics of information security: understanding
the fundamentals of InfoSec in theory and practice (p. 34), por J. Andress, 2011, Waltham, MA: Elsevier.
Derechos de autor [2011] por Elsevier Inc.
En la figura 4 “Identificación, autenticación, y autorización.” observamos la
secuencia de sucesos que acontecen cuando un usuario se autentica para tener acceso a un
recurso. En síntesis, el usuario indica quién es ingresando sus características personales,
luego ingresa un valor como factor de autenticación para ser aprobado y finalmente recibe
los permisos de acceso otorgados a este usuario.
Registro de actividad.
De acuerdo con Andress (2011), el registro de actividad permite realizar seguimiento
y analizar el origen de un incidente, además nos brinda funciones que permiten ordenar el
día a día de la seguridad informática en las empresas. Por otro lado, es necesario por el tema
de cumplimiento de regulaciones relacionadas a manejo de información de importancia para
la industria.
El registro está basado en la identificación, autenticación y autorización según se
observa en la figura 5 “Registro de actividades.”; de tal modo podemos saber quién hizo una
transacción, relacionada con qué y qué privilegios tenía el usuario para hacerlo. Estos datos
nos brindan la posibilidad de iniciar operaciones de monitoreo y revisión de eventos que
permitan determinar en corto tiempo los detalles de un suceso. Podemos plantear un
escenario donde haya monitoreo excesivo de personas, acciones, lugares, entre otros, lo que
puede generar un ambiente no saludable. En el otro extremo, no hay suficientes controles
Identificación Autenticación Autorización
33
para detener o prever eventos que transgredan las reglas y abusen de los recursos a su
disposición; este último escenario nos dejaría en una situación comprometedora como
gestores de seguridad informática.
Disponer de registros de actividad de los usuarios garantiza transparencia a los
clientes de la empresa. En algunos casos nuestras acciones deben ser transparentes para los
clientes, sobretodo en empresas públicas, como entidades del estado o sociedades del
mercado de valores. Incluso es posible contratar los servicios de un proveedor con el
conocimiento de este tipo de controles, para que gestione las actividades de seguridad que
son establecidas por nuestra organización. Sin embargo, siempre el compromiso de
implementar un modelo robusto de seguridad debe nacer desde nuestra propia organización.
Entre los beneficios de seguridad que brinda el registro de actividad está el no
repudio, la disuasión, la detección y prevención de intrusos, del mismo modo el uso de
registros como evidencia. El primer punto permite que en una situación haya suficiente
evidencia para que un individuo no pueda negar que dijo o hizo algo. En segundo lugar, los
usuarios al saber el nivel de control de las actividades y la penalización establecida, dudarán
al intentar realizar actos ilegales. Por otro lado, al configurar alertas acerca de actividad
inusual y revisar la información recopilada en eventos, tenemos mayor oportunidad de
detectar ataques que están en progreso o prevenir aquellos que están en la fase de inicio.
Finalmente es posible utilizar los registros como evidencia al demostrar que provienen de un
sistema regulado y consistente, al indicar cómo fue recopilada la evidencia, exactamente
quiénes estuvieron involucrados, cómo se protegió dicha información mientras estaba
almacenada, entre otros.
34
Figura 5. Registro de actividades. En The basics of information security: understanding the fundamentals of
InfoSec in theory and practice (p. 52), por J. Andress, 2011, Waltham, MA: Elsevier. Derechos de autor
[2011] por Elsevier Inc.
Según lo observado, la NTP ISO/IEC 27001 brinda buenas prácticas y objetivos de
control para establecer el Sistema de Gestión de la Seguridad de la Información; pero este
trabajo contempla únicamente los puntos relacionados a control de acceso con el fin de
cumplir esos tópicos con la solución implementada. No es función del trabajo alinearse a la
NTP ISO/IEC 27001.
Por otra parte, observamos las fases del proceso de autenticación, así como la
importancia de que se ejecuten todas las etapas y establecer el registro de actividades de
usuarios para ganar auditoría de control de accesos.
Reg
istr
o d
e ac
tivid
ades
Identificación
Autenticación
Autorización
Acceso
35
Marco metodológico
En el presente capítulo se describe la metodología para la gestión del proyecto, los
pasos de la implementación, así como el análisis de las soluciones de autenticación del
mercado. Por otro lado, detallamos las herramientas para realizar la evaluación económica y
la identificación del cumplimiento legal, teniendo como base a las fases de desarrollo de la
gestión de proyectos.
Metodología de la gestión del proyecto
Se utilizará la metodología de gestión de proyectos basada en el PMBOK de PMI,
según lo mencionado en la Introducción, donde se detallan las siguientes fases:
Fase de inicio.
Se realizó la reunión de inicio de proyecto, donde se identifica los requerimientos del
proyecto a través de las necesidades del cliente. Se plantea al cliente, a grandes rasgos, el
tipo de solución que cumpla con los requerimientos previamente reconocidos, al explicar las
funciones que ofrece la solución definiendo el alcance de la nueva medida a implementar.
Por otro lado, se coordinó con el cliente el tipo de entregables que necesitará como parte de
la documentación del proyecto. Finalmente se definen las personas encargadas del proyecto
y los encargados de las coordinaciones para el avance del proyecto.
Fase de planeamiento.
En línea con los objetivos del proyecto se evaluaron opciones de soluciones a
implementar, donde se toma en cuenta las consideraciones de implementación y lo
coordinado con el cliente; estableciendo un cronograma que incluye todas las fases del
proyecto, actividades, duración de actividades, entregables y fechas de ejecución.
36
Fase de ejecución.
Se implementa la solución interactuando con el cliente, cumpliendo con las fechas
definidas en el cronograma de proyecto. Esta fase alberga la implementación en un ambiente
de laboratorio y validaciones previas a la puesta en producción de la solución.
Además, dentro de esta etapa se sigue la metodología de implementación
desarrollada por la empresa proveedora, la cual ha sido perfeccionada a través del tiempo
utilizando el juicio experto y aplicando correcciones al flujo en base a los resultados de las
evaluaciones de procesos. Cabe resaltar que estos métodos son aplicados en todo proyecto
de implementación de soluciones. Líneas abajo detallo las pautas que componen dicha
metodología.
Fase de seguimiento y control.
Se valida el cumplimiento de lo establecido en el plan de trabajo y el cronograma de
proyecto, además se mide el avance del proyecto para corregir posibles desviaciones. Por
otro lado, se identifican los riesgos del proyecto para definir acciones a tomar ante la
aparición de dichos eventos.
Fase de cierre.
Al finalizar la implementación se presenta al cliente los informes y documentación
del proyecto. El objetivo es obtener la aprobación del cliente para dar por cerrado el proyecto,
así como obtener una retroalimentación por parte del cliente para mejorar nuestros servicios
y capacidad en la gestión de proyectos.
Las etapas descritas en esta parte son requeridas para el desarrollo del proyecto
actual, los detalles de las actividades serán descritos en el Desarrollo de la Tesis.
37
Metodología de implementación
Está basada en la forma de trabajo del área de Ingeniería de la empresa
implementadora de la solución, quienes desarrollaron el documento "ING-PRO-17
Procedimiento de Implementar Soluciones Generales", el cual fue generado por la Jefatura
de Proyectos, luego aprobado por la Gerencia de Ingeniería y la Gerencia General el 24 de
octubre de 2013. Este procedimiento contiene las pautas establecidas para aplicarse en el
proceso de implementación de las soluciones que ofrece.
Debido al acuerdo de confidencialidad con la empresa implementadora, no es posible
adjuntar el contenido del procedimiento, sin embargo, resumo las actividades que forman
parte de este método de trabajo.
Levantamiento de información.
Esta actividad tiene como objetivo investigar en toda fuente disponible sobre detalles
técnicos de la tecnología que se va implementar, ya sean especificaciones de hardware, de
software, de licenciamiento. Asimismo, los procedimientos básicos para administrar la
solución, por ejemplo: instrucciones de instalación de licencia, de configuración inicial de
plataforma y administración de las funcionalidades del producto.
Por otra parte, incluye también la información obtenida del cliente acerca de sus
necesidades, resultados esperados, requerimientos técnicos y administrativos para realizar la
implementación en su ambiente de producción.
Pruebas de laboratorio.
Se recomienda realizar esta función para todos los casos, ya que certifica el
procedimiento de implementación y las funcionalidades técnicas del producto. Sin embargo,
es opcional efectuar esta actividad y generar un informe sobre lo observado junto a los
38
resultados. En mayor parte, depende del requerimiento del cliente, si solicita evidencia de la
ejecución de estas pruebas, ya sea que se realicen en un ambiente de laboratorio perteneciente
a la empresa implementadora o si se llevan a cabo en un ambiente de pruebas en la red del
cliente.
En ocasiones el cliente genera consultas específicas sobre las funcionalidades de una
solución informática, incluso interrogantes de administración avanzada, las cuales son
impuestas como un requerimiento obligatorio para aceptar la adquisición de la tecnología
ofrecida. En estos casos, se tienen dos opciones para absolver estas interrogantes, la primera
consta de consultar con los expertos de la marca del producto y la otra forma es a través de
la ejecución de un laboratorio para comprobar el funcionamiento deseado por el cliente.
El documento que se elabora como evidencia es “ING-FOR-24 Informe de Pruebas
de Laboratorio”, en donde se especifica el objetivo, alcance de las pruebas, los pasos técnicos
realizados en el ambiente de ensayo y las conclusiones obtenidas como resultados.
Planificación de la implementación.
Luego de identificar los requerimientos y certificar su viabilidad, es posible definir
tiempos para las actividades necesarias para instalar, configurar y dejar operativo el
producto. Entonces se elabora un documento de plan de trabajo, que contiene la descripción
de las actividades, disponibilidad del servicio de producción, fecha para ejecutar la actividad,
duración de cada tarea, hora de inicio y fin, estado pendiente o terminado, el responsable de
cada tarea, las observaciones en caso sean necesarias para el éxito del trabajo y los riesgos
identificados.
Con este instrumento es posible coordinar con el cliente puntos como las ventanas
de mantenimiento para realizar actividades que afectan servicios en producción, definir
39
claramente los tiempos y responsables de las tareas, así como exponer los pasos para la
marcha atrás en caso se presenten inconvenientes en la ejecución del trabajo.
El documento elaborado es “ING-FOR-05 Plan de Trabajo”, del que podemos
generar versiones con el fin de utilizarlo como herramienta de gestión de la implementación.
Ejecución de la implementación.
Es la realización de la puesta en producción de la tecnología adquirida, con el
objetivo de lograr su funcionamiento en el ambiente seleccionado por el cliente. Durante
estas tareas utilizamos el plan de trabajo como elemento de control para llevar a cabo los
pasos coordinados y aprobados en conjunto con el cliente.
En esta etapa se vuelve crucial validar la estabilidad de los servicios del cliente
mientras se van realizando los cambios, con el fin de realizar una implementación gradual
que permita identificar los puntos de falla, ya que si se observa inestabilidad en los servicios
relacionados se deberá tomar la marcha atrás.
Igualmente es recomendable realizar breves casos de uso de las funcionalidades de
la plataforma para certificar la correcta operación de la nueva solución.
Monitoreo de la implementación.
Es la actividad posterior a la instalación del producto, sin embargo, es de vital
importancia, ya que las implementaciones suelen ejecutarse en ventanas de mantenimiento,
que en su mayoría son horarios en los que no se cuenta con todos los servicios usuales del
ambiente de producción, ni con el volumen cotidiano del tráfico de red. Por ello existe el
riesgo de que la validación realizada durante la ventana de mantenimiento no soporte las
condiciones del ambiente de producción real en horarios de mayor volumen.
40
De esta manera, resulta beneficioso contar con recursos que estén pendientes de
cualquier notificación o reporte de incidencias relacionados a los trabajos realizados. Si es
posible se debería habilitar acceso remoto a los sistemas implementados, con el fin de
realizar un monitoreo constante y analizar el comportamiento de la plataforma.
En empresas que manejan activos informáticos críticos, suele existir un área
encargada del monitoreo de los recursos más importantes. Si es permitido, se debe notificar
al área especializada del monitoreo para que agregue los nuevos equipos implementados en
el alcance del servicio.
Cierre de la implementación.
Luego de comprobar la estabilidad de la nueva solución al menos por tres días, se
elabora el documento “ING-FOR-07 Informe de Estado Final de Plataforma”, donde
plasmamos los aspectos de configuración más resaltantes, que además comprueban el estado
correcto de las funcionalidades de la solución. También se brindan recomendaciones sobre
mejoras de la configuración o módulos adicionales que brinden mayores beneficios.
Por último, el Jefe de Proyectos aprueba este documento y el Ingeniero de
Implementación envía el archivo al cliente.
Metodología de investigación
Se ha utilizado una metodología propia, basada en la orientación académica brindada
por la Universidad San Ignacio de Loyola. Este sistema teórico define un orden lógico para
estructurar la investigación.
Identificación del escenario.
Implica identificar los puntos de mejora y conocimientos previos sobre el objeto de
estudio, a fin de recopilar información y variables que permitan obtener el sustento para
41
realizar la investigación del tema. Por otra parte, esta fase permite ubicar los actores que
participarán en la investigación, así como limitar el alcance para definir el tema de estudio.
Definición del problema.
Para organizar la información recopilada se utiliza la herramienta del árbol de
problemas, donde se identifican las causas de las carencias y los efectos que producen. De
esta manera se obtiene el problema central, el cual permite fragmentar los puntos de estudio
para formular los objetivos específicos. De igual manera en esta etapa se plantea la
orientación de la investigación a través del marco teórico a emplear.
Propuesta de solución.
Una vez definidos los objetivos de la tesis, se evalúan métodos de solución para cada
uno de los puntos, en donde se identifican los resultados de casos aplicados en escenarios
similares. Como resultado se plantean las hipótesis que establecerán el enfoque del análisis.
Posteriormente se implementa la solución y se emplean técnicas de recopilación de
datos con la intención de comprobar la finalidad de las proposiciones establecidas. Estos
resultados se adecúan al formato de las variables definidas.
Interpretación de resultados.
En esta etapa se comparan los resultados de la investigación con los datos de las
hipótesis planteadas y de esta forma se valida la certeza de las hipótesis. Asimismo, se
definen las conclusiones de la investigación, así como recomendaciones y trabajos futuros
que complementen la investigación.
Herramientas a utilizar
Los lineamientos de la Norma Técnica Peruana NTP-ISO/IEC 27001:2008
relacionados con autenticación indican que es necesario prevenir el acceso no autorizado a
42
los servicios de red, a través del uso de métodos de autenticación adecuados. De esta manera,
para controlar el acceso a los usuarios es necesario identificar los controles solicitados por
la NTP y definir métodos de validación que cumplan sus requerimientos. Para escoger estas
tecnologías de autenticación la norma solicita la evaluación de soluciones por comparación
para escoger el mejor recurso que cumpla sus lineamientos.
De esta manera, Gartner (2014) indica que en el mercado de la autenticación en
sistemas existen diversos métodos de aplicación, los cuales se agrupan en métodos
especificados en Electronic Authentication Guideline (2013) publicado por el National
Institute of Standards and Technology (NIST), así como métodos no estandarizados por
NIST, pero desplegados en las empresas. De dicho catálogo, estas son las opciones que han
sido certificadas:
Conocimiento textual: Es una combinación de la contraseña de texto usual con
métodos mejorados de autenticación, lo que aumenta la recordación del usuario a la
vez que se utiliza una contraseña más segura.
Autenticación OOB (Out-of-band): Son métodos que utilizan canales como SMS,
telefonía o datos, para enviar información de autenticación, por ejemplo, códigos
token. Para estos casos, el sistema que pide autenticación tiene un componente para
solicitar el envío del código token, o el envío se realiza luego de ingresar una
contraseña fija.
Token OTP (One-time-password): Usa un dispositivo electrónico físico o una
aplicación de software para un dispositivo existente como un smartphone, en ambos
casos el mecanismo genera una contraseña única.
43
Token de llave pública: Un método normalmente basado en el estándar criptográfico
X.509 PKI (Infraestructura de Llaves Públicas) que trabaja con credenciales de llave
pública (llaves o certificados) que son utilizados en mecanismos de autenticación
automática criptográfica, conocido como firma digital. Las credenciales se alojan en
un elemento seguro de software o un dispositivo físico especializado, como una
tarjeta inteligente o un token USB. Además, el token puede estar protegido con
autenticación biométrica o por contraseña simple.
Preguntas y respuestas: Este método solicita al usuario contestar preguntas con
respuestas registradas previamente, conformadas con información personal. Es un
ejemplo del factor de autenticación "algo que sabes".
Por otra parte, existen otros métodos innovadores, sin embargo, no han sido
certificados por NIST:
Conocimiento gráfico: Utiliza métodos basados en patrones e imágenes. El caso de
patrones requiere que el usuario memorice un patrón arbitrario de celdas en una
cuadrícula en pantalla y de esa manera se elabora una contraseña con los números
asignados a las celdas. El método de imágenes requiere que recuerde un conjunto de
imágenes o categorías de imágenes e identifique las imágenes correctas de una lista
aleatoria.
Tarjeta magnética o de proximidad: Se basa en usar objetos como token, para utilizar
el reconocimiento de este objeto como autenticación. Por ejemplo, esta opción se
emplea en las empresas como fotocheck (credencial) para acceder a zonas
restringidas.
44
Biometría biológica: Usa rasgos biológicos como base para la autenticación, suelen
ser la superficie del rostro, la estructura del iris, estructura de venas en la mano o la
huella dactilar.
Biometría de comportamiento: Usa rasgos de comportamiento como la voz y el ritmo
de tipeo.
Autenticación basada en riesgos: Se basa en validar el nivel de certeza de datos
contextuales relevantes de identidad en vez de credenciales, los cuales son
seleccionados de un usuario para emplearlos como autenticación. Por ejemplo, para
los casos de autenticación aplicada a interfaces web, este sistema de autenticación
registra los datos de los equipos desde donde se conecta un usuario, de forma que
cada vez que el usuario intente ingresar desde un dispositivo no conocido, el sistema
solicitará resolver retos para permitir el acceso.
Debido a que es necesario implementar soluciones que cuenten con garantía
internacional y que sean certificadas en otros ambientes, optamos por escoger uno de los
métodos estandarizado por NIST. Por ello enfocamos el análisis de soluciones a escoger en
este primer grupo.
Costos de métodos de autenticación.
Otro factor a evaluar para elegir el tipo de autenticación que se adecue a nuestros
recursos, es el costo de la implementación. Ahlm comenta que en general los costos de las
soluciones de autenticación han disminuido desde el año 2013 en 10% para sistemas
instalados en empresas y 23% al adquirir el servicio en la nube. Recibir el servicio de la nube
es más costoso aproximadamente 14% más que instalar la solución en sitio.
45
Entre los productos de menor precio tenemos: conocimiento textual, así como
preguntas y respuestas. El token OTP tiene un precio base de sesenta dólares. El token de
llave pública requiere un costo adicional por el hardware que soporta el certificado digital y
por el costo del certificado. Finalmente, la autenticación OOB requiere también un costo
adicional de licenciamiento y el costo del servicio de entrega del token.
Nivel de complejidad de implementación.
Singh menciona que en todos los casos se requiere la instalación de una plataforma
que cumplirá el rol de administrador y validador para las credenciales, la cual se sincronizará
con las soluciones que brindan los servicios que se desea proteger. Para el primer caso de
conocimiento textual, como configuración adicional suele aplicarse la integración con la
solución MS AD a través del uso de una cuenta de usuario.
Siguiendo en nivel de complejidad, tenemos el caso del token OTP, donde sobre el
servidor de autenticación se importan los registros que representan a los dispositivos
generadores de la contraseña única.
Por otra parte, para la autenticación OOB aparte de la configuración base y de la
instalación de los registros de tokens, es necesario implementar el medio de entrega del
token, ya sea por vía telefónica, por SMS o por correo, lo que incurre en gastos adicionales.
Para el caso de token de llave pública o firma digital, el despliegue es la actividad
más compleja, ya que suele ser necesario instalar software intérprete del dispositivo donde
se aloja el certificado. Además, que requiere mayor tiempo de ejecución de laboratorios y la
mayoría de plataformas donde se desea añadir este nivel de autenticación no incluyen una
integración con este método.
46
Finalmente, el método de preguntas y respuestas requiere esfuerzos en desarrollo
para integrar la tecnología con la interfaz que se desea resguardar, ya que está orientado para
interfaces web.
Entornos para aplicar autenticación.
Según Gartner, en las empresas se utilizan estos métodos de autenticación para el
inicio de sesión a computadoras personales y dispositivos móviles, acceso a servidores,
aplicaciones de negocio, a plataformas de infraestructura de redes, plataformas de
seguridad informática, conexiones VPN, portales web, entre otros.
Sin embargo, aproximadamente el 70% de empresas que utilizan soluciones de
autenticación, suelen aplicar este control para conexiones remotas, especialmente para
acceder a redes corporativas y aplicaciones por VPN. Sin embargo, también se utiliza para
brindar acceso seguro a aplicaciones web, este caso sucede aproximadamente en el 40% de
organizaciones.
Tendencias.
En el estudio entregado por Allan, los métodos basados en conocimiento tienen una
tendencia de crecimiento de uso de 15% cada año. Para el caso de la autenticación OOB, a
través de SMS y voz tienen una tendencia de 15%, mientras que por correo es de 5%.
Por otro lado, el uso de token OTP como dispositivos físicos se mantiene como el
método más utilizado, ya que el 70% de organizaciones utilizan este método y es la
proporción en que se ha mantenido durante los últimos años. En el caso de software tokens
para móviles, es el segundo más usado y tiene una tendencia de 5%, mientras que los
software tokens en PC's tiene tendencia negativa de 10%.
47
Por último, los tokens de llave pública tienen tendencia negativa de uso de 10%
para los casos de dispositivos físicos y de software.
En conclusión, los tokens OTP físicos son el método aplicado mayormente, pero el
nivel de adopción de los tokens OTP software y autenticación OOB está en aumento.
Asimismo, los métodos basados en conocimiento se despliegan para opciones menos
críticas, mientras que el uso de tokens de llave pública (firma digital) está disminuyendo.
Análisis de marcas.
Esta evaluación se realizó entre las cuatro marcas líderes del mercado de
autenticación, cuya información se obtuvo del cuadrante mágico de Gartner de 2014 de dicho
mercado. Cabe resaltar que Gartner es una empresa líder a nivel mundial en consultoría e
investigación de tecnologías de información, la cual recopila información en más de noventa
países alrededor del mundo y entre más de mil expertos en tecnologías de la información.
Además, realiza un análisis detallado y brinda sus recomendaciones sobre productos
especializados en autenticación, por lo que recibe un valor significativo para tomar
decisiones sobre la herramienta a escoger.
A continuación, agregamos una reseña de cada marca:
EMC (RSA) ofrece la solución RSA Authentication Manager, conocida por la
interacción con los tokens OTP RSA SecurID. Dicha solución se despliega como
appliance físico o virtual. Y como medio de autenticación brinda: tokens físicos,
tokens software, OOB y RBA. Además, gracias a la diversidad de métodos de
autenticación con los que cuenta, tiene una fuerte posición en el mercado, siendo el
líder permanente en su cuadrante mágico. Sus clientes principales se encuentran en
las industrias de bancos, seguros, gobierno y salud. En los cuales se suele desplegar
48
entre 100 a 1000 usuarios para implementaciones pequeñas, con un máximo 1 millón
de usuarios; y en implementaciones mayores tienen un tamaño típico de 10,000 y
100,000 usuarios, con un máximo de 10 millones de usuarios.
Gemalto es conocido como un proveedor de tarjetas inteligentes que ofrece dos
plataformas de amplio enfoque: Protiva IDConfirm, orientada al uso para empleados
de la compañía; y Ezio Server orientada para los consumidores del negocio. El
primero es desplegado como servidor en software o como servicio; el segundo se
implementa como appliance de software o hardware. Por otro lado, como métodos
de autenticación dispone de tokens físicos de llave pública, tokens OTP, aplicaciones
OTP para smartphones y OOB por SMS. La tercera parte de sus clientes pertenecen
a la industria bancaria y de seguros; el otro tercio son instituciones de gobierno; y la
última parte lo componen clientes de los rubros: salud, manufactura y recursos
naturales. La cobertura suele ser entre 10,000 y 1 millón de usuarios. Otro punto
importante es que esta empresa adquirió a SafeNet, otro líder del mercado de la
autenticación. Además, que ha demostrado entendimiento del mercado e innovación.
SafeNet ofrece tres productos para desplegar como servidor software: SafeNet
Authentication Manager (SAM), SafeNet Authentication Manager Express (SAMx)
y SafeNet Authentication Service Service Provider Edition (SAS SPE); además de
un servicio Cloud SafeNet Authentication Service (SAS).
Ofrece variedad de mecanismos de autenticación, pero sus tokens físicos OTP son
los más adquiridos. Sus clientes están compuestos por un quinto de bancos y seguros,
49
mientras que la diferencia la conforman entidades de diversas industrias. Su
despliegue suele ser entre 100 y 1000 usuarios, con un máximo de 1 millón de
usuarios. Además, tiene una posición fuerte en el mercado, por su ejecución y visión.
TeleSign es especialista en servicio cloud, donde colocan el teléfono como token
utilizando dos fuentes de identidad: autenticación e información del dispositivo
móvil. Como principales métodos cuentan con autenticación por SMS y voz. Más
de la mitad de sus clientes son empresas de servicios cloud (redes sociales, juegos en
línea, correo web) y comercio electrónico, el resto son bancos y seguros. Además,
sus despliegues del producto suelen tener entre 100,000 y 1 millón de usuarios.
Su estrategia es ser líder en la industria de autenticación por sonido e innovar con
nuevos métodos.
La solución a implementar debe permitir identificar y restringir el acceso a nivel de
usuario a los recursos informáticos, a través del control de perfiles de usuarios y accesos a
los recursos específicos. De esta forma, será posible reducir el riesgo de acceso no autorizado
de usuarios internos y externos a los recursos informáticos de la empresa.
En cuanto al control de acceso a las computadoras de escritorio, computadoras
portátiles, publicación de correo empresarial, sistemas web internos, red privada virtual y
administración de plataformas perimetrales de la empresa, se debe establecer puntos de
control de acceso y administrar soluciones de restricción de acceso, utilizando como
herramientas la identificación de recursos informáticos a los que requieren acceso de
usuarios y la implementación de un sistema de gestión de la seguridad de información.
50
En relación a la disponibilidad de registros de auditoría del acceso realizado por los
colaboradores a los sistemas a los cuales tienen autorización, es necesario registrar los
accesos de los usuarios a los sistemas internos, así como las acciones realizadas; a fin de
contar con evidencias digitales en caso de investigaciones.
De acuerdo a la evaluación realizada de soluciones de autenticación robusta, se
determinó que la herramienta que cumple los requerimientos para control de accesos, gestión
de usuarios y métodos de autenticación de doble factor, es RSA Authentication Manager 8.1.
Además, desde el aspecto comercial, RSA es una marca líder en productos de autenticación
de usuarios, y forma parte de la corporación EMC², por lo que cuenta con gran respaldo
tecnológico a nivel mundial. Aparte que la solución Authentication Manager es el producto
de autenticación más utilizado en Perú, tiene gran difusión a nivel de Latinoamérica y
contamos con casos de éxito del producto.
Respecto a la evaluación financiera del proyecto se utilizarán herramientas como el
flujo de costos del proyecto, para obtener la curva S que nos sirve como guía de medición
sobre el avance de lo planificado, donde se analizan datos financieros para comparar el
presupuesto con los costos incurridos hasta el momento del cálculo. Luego hallamos la
rentabilidad del proyecto tanto para la empresa que implementa como para el cliente.
Implementación de la solución tecnológica.
RSA Authentication Manager permite la gestión centralizada del entorno RSA
SecurID (metodología de autenticación de doble factor), incluyendo métodos de
autenticación, los usuarios, las aplicaciones y los agentes a través de múltiples locaciones.
Verifica las solicitudes de autenticación y administra de forma centralizada las políticas de
autenticación para los usuarios finales de la organización.
51
Según RSA (2015) la solución ofrece:
Autenticación de múltiples factores (contraseña de usuario, contraseña de un solo
uso) para los usuarios registrados en el servidor de autenticación.
Control centralizado de acceso a los recursos que protege, a través de agentes de
autenticación instalados en las plataformas.
Generación de registros de intentos de acceso a los recursos protegidos y de los
cambios de configuración del sistema.
Alta disponibilidad de la información y del servicio de autenticación, al contar con
un servidor espejo que se sincroniza con la configuración del servidor primario en
tiempo real.
Compatibilidad para la protección de más de cuatrocientas soluciones líderes de
seguridad informática y tecnología de información.
Flexibilidad para desplegar la solución sobre appliances SecurId o servidores
virtuales.
Según la figura 6 “Cuadrante de Gartner para la autenticación de usuarios”, ellos
ubican en el cuadrante de líderes a las empresas SafeNet, EMC (RSA), TeleSign y Gemalto,
por lo que respalda la decisión de implementar la solución RSA Authentication Manager de
EMC (RSA). Además, influyen otros factores en nuestra decisión como la presencia de la
marca en Perú, así como los casos de éxito del producto en nuestro país y Sudamérica.
52
Figura 6. Cuadrante de Gartner para la autenticación de usuarios. En "Magic Quadrant for User
Authentication", por A. Allan, A. Singh y E. Ahlm, 2014,
http://www.gartner.com/technology/reprints.do?id=1-25CAT9M&ct=141202&st=sb. Derechos de autor
[2014] por Gartner, Inc. y/o sus afiliados.
Respecto a la participación mundial en segmentos similares al estado, RSA (2012)
muestra las entidades de gobierno LAit (Lazio Innovazione Tecnologica) y la UK Local
Authority. La primera es una entidad que promueve y desarrolla tecnologías de información
y de comunicación para la región de Lazio en Italia, para simplificar la administración
pública. Mientras que la segunda es una autoridad de gobierno local de Inglaterra.
53
Desarrollo de la tesis
A continuación, se detallará la aplicación de las fases según la metodología de gestión
de proyectos basada en el PMBOK de PMI en el presente proyecto de implementación
tecnológica.
Inicio
En esta fase se llevó a cabo una reunión inicial con el cliente con el fin de realizar el
levantamiento de información, donde se consideraron los siguientes criterios: fechas de
ejecución de actividades, requerimientos de información de usuarios, estado de solución de
autenticación y encargados del proyecto.
Adicionalmente, se definió el equipo participante del proyecto, el cual fue
conformado por un jefe de proyecto, un ingeniero de implementación y un ingeniero
asistente de implementación del lado de la empresa que implementa; del lado de la empresa
cliente se definió un jefe de proyecto y dos analistas de TI. Con uno de los analistas se
llevaría a cabo toda coordinación y ejecución de trabajos, mientras que el otro analista estaría
presente en caso de apoyo. Además, se establecieron como medios de comunicación el
correo electrónico y comunicaciones telefónicas.
De acuerdo a la información recopilada, se evidenció que el método de autenticación
actualmente utilizado por el cliente es a través de la administración de credenciales de
usuarios por MS AD. Esta solución se basa en alta disponibilidad de servicio, al poseer dos
servidores que balancean entre sí la carga de solicitudes de autenticación recibidas.
Adicionalmente, a pesar de que se identificó el registro de más de quinientos
usuarios; el cliente solicitó que la primera etapa de implementación de la solución solo
proteja a ciento cincuenta usuarios con el método de doble factor de autenticación. Esta
54
solicitud definió el tiempo estimado del proyecto, así como el número de dispositivos
generadores de clave dinámica que debía adquirir.
De igual modo, se especificaron los requerimientos técnicos para la implementación
de los servidores de autenticación que permiten administrar la solución, de los agentes de
autenticación que se instalaron en las computadoras de los clientes y en los servidores web
IIS (Internet Information Services) de Microsoft que alojan los sistemas web internos.
A continuación, se detallan los requerimientos técnicos de la implementación de la
solución:
El servidor virtual de autenticación RSA Authentication Manager 8.1 se generó al
importar el archivo de configuración OVA (Open Virtualization Appliance) en el
servidor de virtualización, ya sea VMware o Hyper-V, ambas son soluciones de
virtualización de infraestructura. En este servidor están los componentes de
aplicación y base de datos. Las características son detalladas en la Tabla 2.
Tabla 2. Requerimientos técnicos de RSA Authentication Manager.
Descripción Requerimiento
Requerimientos de VMware VMware ESXi 4.1 o superior
VMware ESXi 5.0 o superior
Disco duro 100 GB
Memoria RAM 8 GB
CPU 2 virtual CPU
Adaptador de red virtual E1000
Nota. En RSA Authentication Manager 8.1 Setup & Configuration Guide (p.13), por EMC Corporation, 2013.
Derechos de autor [2013] por EMC Corporation.
El agente para sistemas operativos Windows para computadores personales se instaló
a través de un archivo ejecutable, desplegado manualmente o por directiva de grupo.
Los requerimientos de este software se detallan en la Tabla 3.
55
Tabla 3. Requerimientos técnicos de RSA Authentication Agent 7.2.1 para Microsoft
Windows.
Descripción Requerimiento
Sistema operativo soportado Windows Vista SP2, 32-bit and 64-bit, ediciones Business y Enterprise.
Windows 7 SP1, 32-bit and 64-bit, ediciones Enterprise y Professional.
Windows 8, 32-bit and 64-bit, ediciones Enterprise y Professional.
Windows Server 2008 SP2, 32-bit and 64-bit, ediciones Standard,
Enterprise, Data Center y Web Server.
Microsoft Windows Server 2008 R2 SP1, 64-bit, ediciones Standard,
Enterprise, Data Center y Web Server.
Windows Server 2012 SP2, ediciones Standard o Data Center (Server Core
o Server with Graphical User Interface [GUI] mode).
Disco duro 35 MB
Memoria RAM 1 GB
CPU 1 GHz (x86)
Puertos para comunicación con la
consola de administración
Udp: 5500,
Tcp: 5550, 5580.
Puerto de validación con Microsoft
Active Directory
Tcp: 389
Nota. En RSA Authentication Agent 7.2 for Microsoft Windows Installation and Administration Guide (p.21),
por EMC Corporation, 2012. Derechos de autor [2012] por EMC Corporation.
El agente para servidores IIS de Windows donde residen los sistemas web se instaló
a través de un archivo ejecutable. Los requerimientos de este software se detallan en
la Tabla 4.
56
Tabla 4. Requerimientos técnicos de RSA Authentication Agent 7.1 para Web en IIS 7.0 y
7.5.
Descripción Requerimiento
Sistema operativo soportado Para IIS 7.0:
Windows Server 2008 SP2 Data Center, Standard, Enterprise, Windows
Web Server 2008 SP2
Windows Server 2008 SP2 Data Center, Standard, Enterprise, Windows
Web Server 2008 SP2 Running on ESX 4
Para IIS 7.5:
Windows Server 2008 R2 Data Center, Standard, Enterprise, Windows
Web Server 2008 R2
Windows Server 2008 R2 Data Center, Standard, Enterprise, Windows
Web Server 2008 R2 Running on ESX 4
Disco duro 35 MB
Memoria RAM 512 MB
CPU Intel XEON o AMD Opteron
Sistema de archivo NTFS. FAT no es soportado.
Puertos para comunicación con la
consola de administración
Udp: 5500
Nota. En RSA Authentication Agent 7.1 for Web for IIS 7.0 y 7.5 Installation and Configuration Guide (p.13),
por EMC Corporation, 2012. Derechos de autor [2012] por EMC Corporation.
En muchos casos, en las soluciones de tecnologías de información y seguridad
informática, el agente de autenticación es parte del sistema operativo de la plataforma, es
decir en el caso de servidores como firewalls o equipos perimetrales tienen la configuración
de agente dentro del sistema desde fábrica, ya que el método de autenticación de RSA es
global.
Planeamiento
En este punto, se elaboró el cronograma del proyecto que incluye la descripción de
las etapas y actividades en líneas generales, además contiene la duración y la fecha de
realización de las actividades. Esta información se encuentra detallada en el anexo B
57
“Cronograma de proyecto de Implementación de RSA Authentication Manager 8.1”,
documento primordial que permitió coordinar los trabajos con el cliente, definir hitos para
medir el avance y estimar la asignación de recursos para el proyecto.
Posteriormente se completó el plan de trabajo de las actividades divididas en etapas,
como la instalación de la plataforma que define la configuración inicial del producto, la
creación de usuarios y la asignación de tokens; luego se definió la integración con agentes
de autenticación, que consta de configurar los sistemas en donde se aplicó la autenticación
de doble factor y la validación de acceso en ambientes de laboratorio; por último se
definieron las actividades para la puesta en producción, en donde se realiza la configuración
en ambiente de producción siguiendo los pasos de configuración validados en la etapa
anterior. En el anexo C “Plan de trabajo de Implementación de RSA Authentication Manager
8.1” se observan las actividades planificadas, en este documento se brinda mayor detalle de
los pasos necesarios para completar la implementación.
Con el fin de realizar la prueba de hipótesis, se definió como muestra del proyecto
proteger los recursos: el acceso web al correo electrónico empresarial, el acceso remoto VPN
SSL, la consola de administración de firewall, cinco sistemas web internos, treinta y cinco
computadoras de escritorio Windows, diez computadoras portátiles Windows y ciento
cincuenta usuarios. En total fueron considerados doscientos tres recursos como activos de
información de la muestra, los cuales están clasificados como información, software y
personas.
Asimismo, se identificaron los riesgos asociados a los activos de información que se
desea proteger con la autenticación de doble factor, esta evaluación se encuentra detallada
en el anexo D “Matriz de riesgos”. Para ello se utilizó la metodología que aplica la empresa
58
implementadora desde el año 2014, la cual está basada en un procedimiento de análisis y
valoración del riesgo para designar controles como parte de su Sistema de Gestión de
Seguridad de la Información (SGSI). Con esta herramienta, al sumar los valores de la
columna "Riesgo" de la matriz, se obtuvo el valor del riesgo actual con un puntaje de
cuatrocientos veinticuatro (100%); entonces se definieron los controles necesarios para
reducir la probabilidad de ocurrencia de las amenazas detectadas en la empresa cliente,
después se sumaron los valores de la columna "Riesgo residual" y se determinó el riesgo
restante con el valor de doscientos treinta y dos (55%). De esta manera, se obtuvo una
reducción del riesgo actual aproximadamente de 45%, lo que respalda la decisión de
implementar esta solución de seguridad informática para proteger los activos de información
definidos como muestra.
Ejecución
En cuanto a esta fase, se realizaron coordinaciones con los usuarios clave de parte de
la empresa para poder llevar a cabo las siguientes etapas:
Etapa I. Instalación de la plataforma.
La implementación de la plataforma requirió la instalación del appliance virtual para
configurarlo como servidor primario e iniciar el proceso de instalación, dicho archivo de
instalación debe ser descargado directamente desde la página web de RSA.
Como parte de la instalación se requiere aplicar configuraciones relacionadas a la
arquitectura de red, acceso a web por SSH, servidores virtuales, entre otros.
Al culminar el proceso de instalación se debe validar el acceso a los componentes
RSA Security Console, RSA Operations Console y RSA Console Self-Service, con el fin de
validar que los servicios de la plataforma han iniciado correctamente. El primer componente
59
permite administrar los componentes de autenticación como son los usuarios, dispositivos
tokens y agentes; así como configurar el acceso a recursos protegidos. El componente
Operations Console brinda herramientas de administración de servidor y mantenimiento
como realizar y restaurar copias de respaldo de configuración y registros, configurar
servidores espejo, agregar fuentes de usuarios, actualizar la plataforma y modificar
configuración de red y tiempo. Finalmente, RSA Console Self-Service permite al usuario
administrar sus atributos y dispositivos de autenticación, además de realizar pruebas de
autenticación y solicitar apoyo a los administradores de la solución.
La conexión entre los dispositivos de clave dinámica (tokens) y la administración
establecida por el servidor de autenticación RSA Authentication Manager 8.1 se realiza a
través de la sincronización de ambos elementos al compartir una clave secreta establecida
desde fábrica, también llamada semilla. Aparte, ambos componentes tienen el tiempo
sincronizado, así se asegura que el servidor de autenticación y el token manejen el mismo
código variable. Debido a este motivo, se importan las semillas de los tokens que han sido
enviadas en fólderes sellados con los dispositivos físicos.
Con la finalidad de mantener los mismos registros de usuarios que se manejan en MS
AD, se integró la nueva plataforma con dicha solución, para que sea una fuente de
credenciales, de esta manera el servidor RSA AM 8.1 recibe los usuarios, sus datos y
contraseña de dominio; además que se estableció como un parámetro más a validar en el
proceso de autenticación. Ya que contamos con más de dos mil quinientos usuarios en el
sistema, se asignó un dispositivo token a cada uno de los usuarios que requerían mayor nivel
de control de acceso; este proceso continuaba a lo largo del proyecto.
60
En este punto, se inició la instalación del appliance virtual réplica, siguiendo el
mismo proceso de importación al servidor de virtualización. Luego al realizar la instalación
se escogió el perfil de tipo réplica, donde permite la sincronización a través de una conexión
de confianza establecida con la importación de un archivo de sincronización desde RSA
Operations Console. Finalmente, al terminar se validó el estado de la sincronización entre
ambas instancias.
Etapa II. Integración con agentes de autenticación.
En esta etapa, se requirió registrar los recursos informáticos a los cuales se les aplicó
la protección de acceso. Para realizar la integración entre la herramienta y los recursos a
proteger (agentes de autenticación), que son otros sistemas, se siguió la metodología definida
en la guía RSA SecurID Ready Implementation Guide: Juniper Networks Secure Access SSL-
VPN Platform (2013), para sincronizar la plataforma que brinda conexión desde Internet a
recursos internos de la empresa. Esta metodología permite configurar que el acceso a red
virtual que otorga la plataforma Juniper VPN SSL, solicite autenticación de doble factor. Se
aplicó realizando el registro en el servidor RSA y configurando la integración y reglas de
acceso en la plataforma Juniper VPN SSL.
Por otro lado, se utilizó la guía RSA SecurID Ready Implementation Guide: Microsoft
Forefront Threat Management Gateway (2013), para la integración con la solución que
publica y brinda acceso al correo corporativo OWA desde el exterior de la red de la empresa.
Esta metodología permite configurar que al ingresar por la publicación de OWA, solicite
autenticación de doble factor.
En el caso de proteger los equipos personales de escritorio y portátiles se utilizó el
contenido de la guía RSA Authentication Agent 7.2 for Microsoft Windows Installation and
61
Administration Guide (2012), donde especifica los pasos de instalación y configuración. Esta
metodología describe el proceso de instalación de los programas que funcionan como agente
de autenticación en los equipos Windows, luego indica los pasos para configurar la
integración con el servidor RSA.
Por último, para integrar los sistemas web internos publicados por IIS de Microsoft,
se acataron las indicaciones de la guía RSA Authentication Agent 7.1 for Web for IIS 7.0 y
7.5 Installation and Configuration Guide (2012). Esta metodología permite validar los pasos
de instalación del programa que se coloca en el servidor Windows, el cual escuchará los
eventos de autenticación a los sistemas web internos y reenviará dicha información al
servidor RSA para que valide las acciones a seguir según los accesos configurados para el
usuario que intenta ingresar.
Todas las configuraciones requeridas fueron evaluadas previamente en un
laboratorio, donde se realizaron pruebas de escenarios que podían afectar la disponibilidad
del servicio ofrecido por la empresa a sus usuarios internos.
Para ello se definieron intervalos aproximadamente de una semana para el análisis,
instalación, configuración y validación de intentos de autenticación.
Etapa III. Puesta en producción.
Luego de completar con éxito la verificación en ambiente de laboratorio, se replicó
el despliegue en el ambiente de producción, que consistió en instalar el appliance virtual en
una red de producción, luego realizar la sincronización con MS AD, importar registros de
tokens a la plataforma, configurar agentes de autentación y realizar pruebas de autenticación;
así garantizamos una implementación transparente para los usuarios, que sea catalogada
como un beneficio para los usuarios en vez de un inconveniente.
62
Por último, esta etapa comprendió la configuración de políticas de administración de
la solución, donde se establecieron en coordinación con el cliente de acuerdo a las
necesidades de los usuarios. Para concluir, se repitió la configuración realizada en
laboratorio en una ventana de mantenimiento, para el caso de los servicios informáticos en
los que se debía mantener poco impacto a su disponibilidad. Al validar el acceso con el nuevo
método de autenticación de doble factor, se dieron por completadas las etapas del plan de
trabajo.
Seguimiento y control
En esta etapa, se presentó al cliente un informe con el detalle de las actividades
realizadas durante el proyecto, así como el nivel de cumplimiento de cada una de dichas
actividades.
Asimismo, se realizó la evaluación periódica de la eficacia de la herramienta, bajo
los escenarios definidos; donde se analizó el comportamiento de los eventos de
autenticación, eventos de administración y eventos de sistema para identificar a mayor
detalle las causas de los inconvenientes.
Finalmente, se analizaron los resultados de los reportes generados por la plataforma,
a fin de validar que los eventos de autenticación fuesen correctos, y que no se presentaran
inconvenientes con el servidor RSA.
Cierre
En esta última fase en la gestión del proyecto se recibió la aprobación por escrito de
los encargados del proyecto por lado de la empresa cliente. Asimismo, se realizó la entrega
de los manuales de administración de la nueva plataforma, así como la documentación del
proyecto, que se maneja a través de los documentos:
63
Acta de inicio de proyecto
Cronograma de proyecto
Estado actual de la solución
Alcance de proyecto
Diagrama actual
Diagrama final
Plan de trabajo de implementación
Informe de estado final de la solución
Acta de cierre de proyecto
Consecutivamente se brindó una presentación final para mostrar los resultados del
proyecto, indicando el cumplimiento de los objetivos y se explicaron los medios de
comunicación para el servicio de soporte. En último lugar se cerró el proyecto al firmar
ambas partes el acta de cierre donde se plasma la conformidad del proyecto. En el anexo A
se observa el diagrama de red final de la implementación.
64
Presupuesto
Se identificaron los costos del proyecto que fueron aprobados por el cliente para dar
inicio a la implementación. En la figura 7 “Presupuesto para la implementación de la
solución RSA Authentication Manager 8.1” se detalla el presupuesto para la implementación
de lo solución tecnológica, el costo de los dispositivos de generación de clave dinámica,
servicios de instalación y configuración de la plataforma, así como capacitación de la
herramienta y servicio de soporte local veinticuatro horas por siete días de la semana en el
plazo de un año. El costo total asciende a S/.169,664.30.
Figura 7. Presupuesto para la implementación de la solución RSA Authentication Manager 8.1. Elaboración
propia.
La licencia de la solución adquirida por la entidad establece un límite de ciento
cincuenta usuarios con dispositivos token asignados. Estos dispositivos tienen vigencia de
dos años, por lo que expiran en el año 2017. Por otro lado, el soporte de marca por parte de
RSA fue adquirido por el periodo de un año con opción de renovación.
Evaluación del proyecto
Se realizó la evaluación financiera del proyecto con el fin de identificar el
presupuesto de costos por cada mes de duración. En la figura 8 “Curva S del proyecto” se
65
observa la tendencia del incremento de costos del proyecto. Esta herramienta nos permitió
medir el avance del proyecto a nivel financiero, es decir medir el avance al comparar los
costos presupuestados con el costo actual.
Figura 8. Cursa S del proyecto. Elaboración propia.
Además, los resultados de la evaluación financiera indicaron que el proyecto era
rentable para la empresa que ejecutó el proyecto como para la entidad gubernamental que
recibió el proyecto. Asimismo, se identificó que la entidad recuperaría el monto invertido en
aproximadamente ocho meses luego de la ejecución del proyecto, y para que el proyecto sea
rentable para la entidad, la mejora de la utilidad luego de implementado el proyecto debía
ser de al menos S/.20,679.
7,450
29,441
92,085
133,336
-
20,000.00
40,000.00
60,000.00
80,000.00
100,000.00
120,000.00
140,000.00
160,000.00
1 2 3 4
Co
sto
en s
ole
s
Curva S
Curva S
Tiempo en meses
66
Conclusiones
Se redujo aproximadamente 45% del riesgo de acceso no autorizado de usuarios
internos y externos a recursos informáticos críticos de la empresa.
Se analizaron los objetivos de control y controles de la Norma Técnica Peruana
ISO/IEC 27001 relacionados a restricción y autorización de acceso a la información,
así como prevención del acceso no autorizado a sistemas de información y servicios
de red. De ese modo, la solución RSA Authentication Manager 8.1 y la autenticación
de doble factor que se implementaron permiten cumplir con los puntos que requieren
establecer controles de seguridad en la red, mantener registros de auditoría de accesos
de usuarios a sistemas, autenticación segura para conexiones externas, identificación
y autenticación de usuarios, así como la utilización de un sistema de gestión de
contraseñas.
El acceso por conexión remota cifrada (VPN SSL), a correo corporativo Outlook Web
Access (OWA), a computadoras Windows de usuarios con información confidencial
y a sistemas web internos que manejan información confidencial, hoy en día es
controlado a través de un solo sistema de credenciales que es la plataforma RSA
Authentication Manager 8.1.
Debido a la centralización del control de accesos de los servicios informáticos,
mejoraron los procesos de administración de control de acceso lógico de usuarios a
los servicios y sistemas que necesitan para realizar sus labores. Actualmente las
actividades de asignación de accesos a usuarios las comparten los analistas de TI y
mesa de ayuda, ya que la plataforma RSA Authentication Manager 8.1 permite
67
definir perfiles de administración a nivel granular, lo cual brinda la capacidad a los
analistas de TI de compartir privilegios de administración.
Con la solución implementada, es posible generar reportes de información histórica
sobre administración de la plataforma y sobre eventos de autenticación o acceso a
recursos protegidos por la herramienta. De tal manera, es posible auditar la
administración de la solución y el acceso de los usuarios a los recursos protegidos.
Recomendaciones
La licencia adquirida por la entidad permite contar con quince instancias como parte
de la solución, por ello se recomendó que se implementen servidores réplica para
contar con mayor capacidad de contingencia de la plataforma principal, además que
se podía desplegar estos servidores de autenticación como réplicas en sedes remotas
o redes físicamente lejanas, con el fin de reducir la distancia física que recorre el
tráfico de los eventos de autenticación y así optimizar el tiempo de respuesta de la
plataforma.
En ocasiones los analistas de la entidad nos han consultado sobre casos de robo de
laptops y si la autenticación de doble factor protege la información almacenada en el
disco del equipo. En dichas oportunidades hemos informado que la autenticación de
doble factor no protege el acceso directo a la información contenida en disco, por lo
que para esos casos recomendamos que implementen tecnologías de cifrado de discos
duros y mantengan la autenticación de doble factor a nivel de sistema operativo para
aumentar la protección de dichos recursos.
68
Trabajos futuros
Posteriormente la entidad podría adquirir las funciones de autenticación a demanda
(On Demand Authentication - ODA) con el fin de implementar autenticación de
doble factor de una manera dinámica y que no necesite de recursos adicionales del
usuario como un token físico o una app token, ya que este método de autenticación
utiliza mensajes de texto o mensajes de correo electrónico como medio de entrega de
códigos de token.
Asimismo, al propagar la autenticación de doble factor como método recomendado
de acceso a recursos desde redes externas, sería conveniente utilizar las funciones de
autenticación basada en riesgos (Risk Based Authentication - RBA), ya que permitiría
validar factores adicionales como la ubicación geográfica desde dónde se accede o el
dispositivo desde el cuál se accede. Es un método que se implementa a recursos web
que son utilizados por gran cantidad de usuarios.
69
Bibliografía
Allan, A., Singh, A. & Ahlm, E. (2014). Magic Quadrant for User Authentication.
Recuperado el 08 de febrero, 2015 de
http://www.gartner.com/technology/reprints.do?id=1-
25CAT9M&ct=141202&st=sb.
Andress, J. (2011). The basics of information security: understanding the fundamentals of
InfoSec in theory and practice. Waltham, MA: Elsevier.
Check Point. (2015). Security Report. Recuperado el 09 de febrero, 2015
de https://www.checkpoint.com
Comité Técnico Permanente de Codificación e Intercambio Electrónico de Datos (EDI).
(2008). Norma Técnica Peruana NTP-ISO/IEC 27001:2008 EDI. Tecnología de la
Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos. (1ª. ed.). Lima, Perú.
De Laat, C., Gross, G., Gommans, L., Vollbrecht, J. & Spence, D. (2000). RFC 2903:
Generic AAA Architecture. Recuperado el 08 de febrero, 2015 de
http://tools.ietf.org/html/rfc2903.
Deloitte Guatemala. (2014). Tendencias 2014: Gestión de Seguridad de la Información en
instituciones financieras de América Latina. Recuperado el día 06 de Junio del
2014 de Deloitte Perú.
EMC Corporation. (2012a). RSA Authentication Agent 7.1 for Web for IIS 7.0 y 7.5
Installation and Configuration Guide. Estados Unidos de América.
EMC Corporation. (2012b). RSA Authentication Agent 7.2 for Microsoft Windows
Installation and Administration Guide. Estados Unidos de América.
EMC Corporation. (2012c). RSA Customer Profiles: RSA® SecurID®. Estados Unidos de
América.
EMC Corporation. (2013a). RSA Authentication Manager 8.1 Setup & Configuration
Guide. Estados Unidos de América.
EMC Corporation. (2013b). RSA SecurID Ready Implementation Guide: Juniper Networks
Secure Access SSL-VPN Platform. Estados Unidos de América.
EMC Corporation. (2013c). RSA SecurID Ready Implementation Guide: Microsoft
Forefront Threat Management Gateway. Estados Unidos de América.
ESET. (2015). ESET Security Report: Latinoamérica 2015. Recuperado el día 10 de
Febrero de https://www.eset-la.com
70
Miller Marsha. (2015). Exploits of Yesteryear Are Never Truly Gone. MA: SANS Institute
Recuperado el día 03 de Enero dehttp://www.giac.org/registration/gcia
Organismo Supervisor de Inversión Privada en Telecomunicaciones. (2015). Nota de
Prensa. Desde hoy las líneas móviles prepago se venderán con identificación
dactilar de los usuarios. Lima, Perú.
Piper, S. (2013). Definitive guide™ para la protección contra amenazas de próxima
generación. Annapolis, MD: CyberEdge Group.
Project Management Institute Inc. (2013). Guía de los fundamentos para la dirección de
proyectos (Guía del PMBOK®) – Quinta edición. Newtown Square, PA: Project
Management Institute Inc.
RSA Security. (2016). Authentication Manager. Recuperado el 08 de febrero, 2015 de
https://peru.emc.com/security/rsa-securid/rsa-authentication-manager.htm.
SANS Institute. (06 de marzo de 2015). Attacks on US Federal Networks Increased in
2014. SANS Newsletters: Newsbites, Volume XVII - Issue #18. Recuperado el 06 de
marzo, 2015 de https://www.sans.org/newsletters/newsbites/xvii/18.
Valdés Dancuart, O. (23 de mayo de 2012). Aprueban el uso obligatorio de la Norma
Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información.
Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información.
Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática.
Resolución Ministerial N° 129-2012-PCM. El Peruano, p. 466834.
71
ANEXOS
Anexo A: Diagrama de red final de la implementación.
Figura 9. Diagrama de red final de la implementación. Elaboración propia.
72
Anexo B: Cronograma de proyecto de Implementación de RSA Authentication
Manager 8.1.
Descripción Duración Fecha de inicio Fecha de fin
PROYECTO IMPLEMENTACIÓN DE RSA AM 8.1 124 días 06/11/14 28/04/15
ETAPA I: Levantamiento de información 5 días 06/11/14 12/11/14
Reunión inicial del proyecto 1 día 06/11/14 06/11/14
Levantamiento de la información 3 días 10/11/14 12/11/14
ETAPA II: Preparación de la solución 33 días 07/11/14 23/12/14
Diseño de arquitectura de la solución 5 días 13/11/14 19/11/14
Instalación de plataforma en ambiente de laboratorio 2 días 25/11/14 26/11/14
Sincronización con agentes de autenticación 9 días 27/11/14 09/12/14
Ejecución de laboratorio con plataformas 10 días 10/12/14 23/12/14
ETAPA III: Puesta de producción de plataforma 70 días 12/01/15 17/04/15
Instalación de plataforma en ambiente de producción 4 días 12/01/15 15/01/15
Sincronización con agentes de autenticación 5 días 19/01/15 23/01/15
Coordinaciones de pase a producción 6 días 16/01/15 23/01/15
Puesta en marcha de plataforma 20 días 26/01/15 20/02/15
Validación de servicios 25 días 02/02/15 06/03/15
Monitoreo post-implementación 29 días 10/03/15 17/04/15
ETAPA IV: Cierre del proyecto 7 días 20/04/15 28/04/15
Entrega de informes de implementación 1 día 20/04/15 20/04/15
Entrega de manuales de administración y soporte 3 días 22/04/15 24/04/15
Presentación final 1 día 27/04/15 27/04/15
Acta de cierre del proyecto 1 día 28/04/15 28/04/15
73
Anexo C: Plan de trabajo de Implementación de RSA Authentication Manager 8.1.
74
75
76
Anexo D: Matriz de riesgos.
77
