Category Archives: noticias

Los bancos y las instituciones financieras de todo el mundo están listos para hacer la transición de sus sistemas de pago del uso de mensajes SWIFT al nuevo estándar ISO 20022, altamente estructurado y rico en datos. Para 2025, será el estándar universal para los sistemas de pago de alto o gran valor de todas las monedas de reserva, y respaldará el 80 % de los volúmenes de transacciones y el 87 % del valor de las transacciones a nivel mundial. En Europa, SWIFT y el Banco Central Europeo han anunciado las fechas de lanzamiento de ISO 20022 de noviembre de 2022 para el estándar.

Entonces, ¿qué es exactamente ISO 20022?

ISO 20022, introducido por primera vez en 2004, es un estándar internacional para la transmisión de mensajes electrónicos entre instituciones financieras. Fue creado para brindarle a la industria financiera una plataforma común para enviar mensajes de pago e intercambiar datos de pago, utilizando un diccionario central, una metodología de modelado estándar y una serie de protocolos de lenguaje de marcado extensible (XML) y notación de sintaxis abstracta (ASN.1).

Por qué es importante la estandarización

Los estándares son un factor crítico al iniciar transacciones financieras y reportar la actividad financiera. Un estándar internacional es una forma de simplificar la interoperabilidad entre los proveedores de servicios y los clientes, y permitir el intercambio de archivos eficiente, consistente y seguro.

Tradicionalmente, las grandes instituciones financieras globales han tenido tendencias a desarrollar, aprobar e implementar estándares sin buscar aportes de otras organizaciones. Esto ha resultado en inconsistencia y falta de personalización, dejando a los departamentos de TI abrumados con la tarea de manejar la incorporación, probar y administrar las relaciones continuas con los socios.

ISO 20022 fue diseñado para remediar esto, como un marco flexible que proporciona una sintaxis de mensajes comerciales internacionalmente, donde las organizaciones de usuarios y los desarrolladores usarán la misma estructura, forma y significado de mensaje para intercambiar información de transacciones a nivel mundial.

¿Cuáles son los beneficios de ISO 20022?

La adopción global de ISO 20022 creará un lenguaje y un modelo comunes para los datos de pagos. Proporcionará datos de mayor calidad que se traducen en pagos de mejor calidad y más rápidos para todos los involucrados en la cadena de pagos. La implementación de ISO 20022 creará un estándar abierto que puede adaptarse a las necesidades cambiantes y los nuevos enfoques dentro de la industria de pagos. Como no estará controlado por un solo interés, puede ser utilizado por cualquier persona en la industria de servicios financieros e implementado en cualquier red.

Los beneficios clave incluyen:

• Datos más completos y granulares de principio a fin en todos los sistemas de pago.
• Más transparencia con más información sobre las remesas, lo que conduce a una mejor experiencia del cliente.
• Análisis mejorado, que requiere menos intervención manual, lo que da como resultado un proceso de cumplimiento más preciso, una mejor seguridad y prevención del fraude y una mayor resiliencia.
• A través de la automatización, abarcará todos los dominios comerciales y los procesos comerciales de extremo a extremo, fomentando la creación de nuevos servicios y un procesamiento directo más rápido.
• El uso de tecnología XML moderna y convencional ISO 20022 llegará a todas las infraestructuras del mercado y sistemas de pago para allanar el camino hacia una integración más eficiente.
• Una mayor flexibilidad y mejores datos significan más competencia en el sector financiero, lo que puede conducir a la innovación de productos.
• Los sistemas de transacciones basados ​​en ISO 20022 permiten referencias más eficientes y compatibilidad con alfabetos no latinos.

¿Cuál será el impacto de la adopción global de ISO 20022?

A fines de 2022, los bancos y las instituciones financieras de todo el mundo migrarán del sistema de mensajería financiera SWIFT MT heredado al estándar ISO 20022 altamente estructurado y rico en datos.

Se espera que esta adopción mundial tenga un profundo impacto en las instituciones financieras, corporaciones y cualquier negocio con una participación en los servicios financieros y la industria de pagos de alto valor.

Más de 70 países ya han adoptado ISO 20022 en sus sistemas de pago, incluidos Suiza, China, India y Japón. Y con un alcance de más de 200 tipos de pago, ISO 20022 permite la armonización de formatos y componentes de datos de diferentes métodos de pago que anteriormente no podían funcionar juntos.

ISO 20022 se aplicará a pagos nacionales, ACH, en tiempo real, de alto valor y transfronterizos.

Lo que los bancos deben hacer

Una prioridad inicial para los bancos será realizar un análisis exhaustivo de su infraestructura de pagos y evaluar sus capacidades de procesamiento de pagos. El inicio temprano de su migración garantizará una transición sin problemas.

ISO 20022 implica el procesamiento de volúmenes de datos mucho más grandes en comparación con los formatos heredados convencionales. Los sistemas bancarios y las bases de datos deberán ser capaces de procesar estos volúmenes más grandes y a velocidades más altas para pagos en tiempo real, gestión de liquidez diaria, controles de cumplimiento y detección y prevención de fraudes.

Es esencial que haya suficiente tiempo para las pruebas a fin de garantizar que toda la información de formato y sintaxis sea correcta, y que los datos se asignen correctamente dentro de todos los sistemas de pago y compensación asociados. Idealmente, las pruebas deberían estar listas para comenzar a más tardar en el segundo trimestre de 2022.

Las infraestructuras de pago heredadas se diseñaron para almacenar información de forma no estructurada, por ejemplo, la información de la dirección del cliente. En el futuro, todas las partes de una dirección deberán almacenarse en campos separados.

Es vital que los bancos se comuniquen con sus clientes corporativos sobre los datos adicionales que potencialmente estarán disponibles y cómo se utilizarán. Además, esos clientes deben estar completamente informados e incluidos en las pruebas de extremo a extremo.

ISO 20022 y pagos transfronterizos

A medida que los pagos transfronterizos crecen tanto en volumen como en complejidad, aumenta la necesidad de interoperabilidad. Muchas fronteras geográficas casi han desaparecido, y los mercados se han reagrupado según la industria en lugar de las líneas geográficas, y los mercados financieros se están adaptando para reflejar estos cambios.

El estándar ISO 20022 cambiará la forma en que los bancos transmiten las instrucciones de pagos transfronterizos. Algunos bancos ya están preparados, mientras que otros tienen un menor grado de preparación. Los pagos transfronterizos involucran una cadena en el sistema de pagos donde un banco envía un mensaje a otro, quien a su vez pasa el mensaje a otro. Todos los bancos deben estar completamente equipados para recibir, procesar e intercambiar la información completa de ISO 20022 de una parte a otra. Una ruptura en la cadena podría significar la pérdida potencial de información vital. Las consecuencias de esto son un reflejo directo de que el banco es visto como el eslabón más débil.

ISO 20022 y pagos de alto valor (High Value Payments – HVP)

SWIFT, junto con los principales bancos mundiales e infraestructuras de mercado, ha formado el grupo de trabajo de prácticas de mercado HVPS+ (High Value Payments Plus). Con la implementación inminente de las normas ISO 20022, el grupo de trabajo ha creado una hoja de ruta para la armonización de los pagos de alto valor. Aunque proporcionará una base común, los requisitos de los sistemas y proveedores de pagos de alto valor son complejos.

«La armonización de los estándares de mensajería en los sistemas de pago de alto valor creará eficiencias para los participantes del sistema de pago y establecerá la base para desarrollar nuevos servicios». Michael Knorr, Jefe de Pagos y Gestión de Liquidez, Grupo de Instituciones Financieras, Wells Fargo Bank

Los sistemas HVP juegan un papel crucial en las finanzas internacionales como el último mecanismo de liquidación para los mercados transfronterizos en múltiples monedas. Por lo tanto, no hace falta decir que monitorear estos sistemas de pagos de gran valor con la solución de monitoreo adecuada es fundamental.

Desafíos clave de la implementación de ISO 20022

Al igual que con cualquier migración de sistema, los planes deben equilibrar el cumplimiento de los plazos con la consolidación de un estado preparado para el futuro. Las complejidades de ISO 20022, junto con las interdependencias de implementar nuevos estándares de la industria, pueden crear algunos desafíos.

Cualquier tecnología heredada utilizada por los proveedores de pagos que sea anterior a ISO 20022 deberá revisarse, mapearse y traducirse al nuevo estándar. Esto incluye las reglas correctas para las verificaciones de AML, fraude y cumplimiento. Además, los sistemas heredados obsoletos que no pueden procesar o admitir el formato ISO 20022 deben actualizarse, reemplazarse o convertirse. Por supuesto, esto implica un presupuesto, que debe acordarse entre las instituciones financieras, las partes interesadas y los socios.

Aunque todos los nuevos formatos de pago se refieren al estándar ISO 20022, existen diferencias en las especificaciones para diferentes esquemas de pago (por ejemplo, HVPS+ y CBPR+).

Los mensajes ISO pueden ser cientos de veces más largos que los mensajes de pago estándar. Esta espectacular expansión de datos significa que será necesario redefinir las infraestructuras para gestionar la información adicional de ISO 20022.

La importancia del análisis de pagos en tiempo real

Un informe definitivo de Worldpay, sobre el arte y la ciencia de los pagos globales, muestra algunas estadísticas de pago interesantes e información sobre las tendencias de pago mundiales. Los análisis de pagos en tiempo real son vitales para medir, ver el crecimiento y tomar decisiones a lo largo de la cadena de pagos y en cada plataforma diferente. Esto es aún más importante ahora con la inminente migración global a ISO 20022.

Soluciones de monitoreo de terceros

El monitoreo con una solución externa o de terceros no es intrusivo y se integra a la perfección en el entorno empresarial existente, brindando visibilidad en tiempo real a todo el ecosistema de pagos. Recopila datos de todos los silos del sistema de pagos, filtra, correlaciona y analiza esta información y la reúne en una sola aplicación.

Mantenerse al tanto de las tecnologías emergentes, los cambios regulatorios y la introducción de nuevos estándares de pagos internacionales es un desafío. Con la inminente migración a ISO 20022, convertir la información en inteligencia garantizará el funcionamiento seguro y eficiente de los sistemas de pago en todo el mundo.

Fuente:https://www.ir.com/guides/what-is-iso-20022

Falta video

Ya son noticias viejas: la pandemia provocó un «salto cuántico» en la transformación digital. Sin embargo, el hecho es que la seguridad aún tiene que ponerse al día.

El trabajo desde casa (WFH) e incluso el trabajo desde cualquier lugar (WFA) ahora es común, y las huellas de nube/nube múltiple continúan expandiéndose rápidamente. Dentro de esta «nueva normalidad», hay muchas tareas operativas que ahora realizamos desde casa o mientras viajamos, que requieren acceso privilegiado. Esto abarca toda la gama, desde la administración de servidores, bases de datos, aplicaciones y soluciones SaaS, hasta incluso la gestión de las cuentas de redes sociales de la organización.

Como consecuencia, estamos permitiendo que las redes Wi-Fi públicas y domésticas no seguras sean una extensión de nuestros «perímetros» de tecnología de la información para realizar tareas en nuestros entornos comerciales. Y los actores de amenazas están aprovechando alegremente las oportunidades que se presentan, como lo demuestra el aumento de ransomware y otros ataques en los últimos dos años.

Este entorno está obligando a las organizaciones a adoptar un modelo de Zero Trust y las estrategias de mitigación de riesgos Essential Eight de Australia para gestionar mejor el riesgo cibernético. La gestión de acceso privilegiado (PAM) es fundamental para ambas iniciativas. Un informe de Forrester, Embrace Zero Trust For Australia’s Essential Eight, establece cómo las organizaciones pueden alinear y optimizar la implementación de estas iniciativas para lograr la máxima reducción de riesgos.

¿Qué es el Essential Eight?

Mantenido por el Centro de Seguridad Cibernética de Australia (ACSC), Essential Eight nació en 2017, y las actualizaciones de las estrategias se lanzaron el año pasado. El gobierno australiano ha hecho obligatorio que los departamentos y agencias del gobierno federal cumplan con los requisitos de los Ocho Esenciales. Sin embargo, si bien estas mejores prácticas de ciberseguridad perfeccionadas por el ACSC se crearon principalmente para organizaciones australianas, los principios tienen un atractivo universal y, por lo tanto, han visto un gran interés y adopción en todo el mundo.

Essential Eight destila controles de seguridad cibernética altamente efectivos, como señala Forrester en el informe, “Los requisitos de Essential Eight establecen el estándar mínimo, no la barra alta. Abordan algunos, pero no todos, los elementos de un marco Zero Trust, como las capacidades relacionadas con la autenticación del usuario y la validación de la carga de trabajo. Lograr el cumplimiento es un paso necesario en la dirección correcta, pero no es el estado final”.

Ir más allá de los Essential Eight con Zero Trust

La seguridad relativa de la red corporativa, con sus cortafuegos y usuarios conocidos sentados dentro de ella, ha desaparecido, para gran parte de la comunidad empresarial, desde el comienzo de COVID. En su lugar, hay soluciones dispuestas apresuradamente que se crearon como medidas provisionales para una pandemia que iba a durar solo unos meses, no unos pocos años. Existen innumerables historias de organizaciones que se han visto afectadas por ataques perpetrados por sofisticados sindicatos criminales y estados nacionales.

Las razones para alinearse con Essential Eight son bastante simples: representa una base sólida en las mejores prácticas de seguridad cibernética que cubren la prevención de la entrega y ejecución de malware, limitando el alcance de los incidentes de seguridad cibernética, recuperando datos y ayudando con la disponibilidad del sistema.

Si bien Zero Trust es anterior a Essential Eight, su prominencia ha aumentado significativamente, dados los cambios en la forma en que hemos estado trabajando durante los últimos dos años. Según una encuesta de 2021 realizada por Identity-Defined Security Alliance (IDSA), el 93 % de los profesionales de seguridad e identidad ahora dicen que el Zero Trust es estratégico para proteger su organización.

Cada vez más, los recursos que requieren autenticación, privilegios y acceso pueden residir fuera del gobierno corporativo. La confianza cero mejora la seguridad al adoptar de manera predeterminada una mentalidad de «nunca confíe, siempre verifique», que requiere autenticación continua, otorga acceso por tiempo limitado según el contexto, impone privilegios mínimos y capas en monitoreo continuo y administración de sesiones.

Aquellas organizaciones que están en el camino de la confianza cero y que también buscan alinearse con los Ocho Esenciales encontrarán que esta alineación es más fácil porque la confianza cero a menudo supera los requisitos de los Ocho Esenciales. A medida que se introducen nuevos regímenes de cumplimiento, Zero Trust coloca a la organización sobre una base sólida para cumplir con cualquier requisito adicional.

Como señaló Forrester en su informe, lograr el cumplimiento no es el estado final sino un paso en el camino. Forrester enfatiza que al hacer que la estrategia sea de confianza cero, las organizaciones pueden cumplir con los requisitos de cumplimiento a medida que avanzan.

Gestión de Acceso Privilegiado (PAM) y Zero Trust

La administración de acceso privilegiado es una pieza fundamental y esencial para habilitar una arquitectura de confianza cero (ZTA) y cumplir con los Ocho Esenciales.

Las soluciones PAM permiten la eliminación de la confianza persistente, hacen cumplir la autenticación continua, aplican privilegios mínimos, permiten el control de acceso adaptable, implementan segmentación/microsegmentación para aislar recursos y monitorean cada sesión privilegiada, ya sea humana, máquina, proveedor, empleado, local o remoto.

Fuente: www.beyondtrust.com

MainSoft, es una empresa de capitales chilenos fundada en 1993 con casa matriz en Santiago de Chile, y oficinas en Perú y Argentina. La compañía es reconocida como una empresa especializada en el diseño e implementación de soluciones y servicios TI que apoyan los procesos de negocio de las principales compañías de la región.

Matías Salaberri, gerente General de MainSoft en Argentina, analiza la nueva alianza que firmaron con Red Hat: ‘Sin duda, nos abre las puertas a un mundo muy amplio. Desde MainSoft estamos hace 10 años acompañando al sector financiero, desarrollando el monitoreo de infraestructuras y redes, buscando que tengan el mejor updown. Eso nos obligó a buscar nuevas tecnologías que nos permitan ofrecer un servicio más completo a nuestros clientes’.

‘La realidad del mercado es que, ya sea on-premise o en la nube, tenemos que ser proactivos para encontrar respuestas a los problemas emergentes. Necesitamos incorporar metodologías, estructurar correctamente las áreas, etc. La pandemia nos obligó a un cambio sustancial en nuestros procesos, y creo que nos hemos adaptado muy bien’.

Continua Salaberri explicando: ‘En el último tiempo, empezaron a aparecer muchas aplicaciones y soluciones nuevas, lo que demandó un mayor monitoreo de infraestructuras y capas donde se construyen las soluciones. Entonces, eso nos llevó a que tengamos que sumar no solo nuevo personal capacitado, sino agregar conocimientos y expertise a nuestra cartera de servicios’.

Matías analiza la actualidad del sector financiero y cómo los obligo a adaptarse, y comenta: ‘La operación con los home bankings cambio, y nos fue generando una carga de trabajo extrema. Además, tuvimos que sumar control de experiencia de usuario, para poder brindar visibilidad a nuevas capas, así como un trabajo diferencial en bases de datos y procesos’.

‘Cuando el área de negocios demanda un mejor servicio digital, el área de sistema siempre necesita responder. Por eso, la tecnología necesita evolucionar rápidamente, para que los bancos puedan ofrecer un mejor servicio’.

El ejecutivo destaca la importancia de la nueva alianza: ‘En ese proceso, identificamos que Red Hat puede automatizar el levantamiento de plataformas o procesos, que ocurren de forma diaria, y con una demanda extrema. Por eso, hace casi un año, decidimos sumar en nuestro porfolio de tecnología y consultoría, las aplicaciones de Red Hat. Nosotros somos una empresa desarrolladora, que apunta a eficientizar la operación, automatizando servicios tanto on-premise como en la nube’.

‘Las actuales líneas de negocio de MainSoft serían potenciadas gracias a las soluciones de código abierto de Red Hat. En el área de Observabilidad de aplicaciones, MainSoft trabaja con Dynatrace, la cual sería optimizada con la solución de Red Hat Ansible Automation para automatizar los entornos de TI empresariales. Mientras que en la línea de Negocio de seguridad y las soluciones de transferencia de archivo de la compañía, serían montadas sobre Red Hat OpenShift’.

Una problemática creciente en la región, es la falta de personal capacitado. Al respecto, el ejecutivo comenta: ‘Es algo muy difícil de solucionar, y una preocupación para todos los que formamos parte de este sector. Hoy hay muchas industrias, como las Fintech, billeteras virtuales, seguros, manufactureras con e-Commerce creciente, además de los retailers. Eso generó una demanda enorme de personal. Desde MainSoft, estamos constantemente capacitando y ayudando a nuestros clientes en nuevas tecnologías, con conocimientos y expertise. Nosotros trabajamos en la incorporación de estudiantes, para ayudarlos a crecer y que sean parte de la cultura de la empresa. Nuestros clientes necesitan innovación y creatividad, y nosotros necesitamos estar un paso delante de sus requerimientos’.

Matías destaca los cambios que se vivieron en el mundo producto de la pandemia: ‘No es ningún secreto, lo vivido en los últimos dos años nos abrió nuevos mercados y oportunidades. Por ejemplo, el mundo de las manufactureras creció muchísimo este último tiempo, porque necesitan mejorar y darle visibilidad a toda la infraestructura que ya tienen. Básicamente, para poder operar correctamente en el mundo del e-Commerce, necesitan contar con un backup acorde, para que las soluciones y sistemas corran correctamente. Lo que es consumo masivo, vivió un cambio enorme, y encontramos muchísimas oportunidades en el sector’.

‘Las empresas manufactureras quieren integrar la parte producción con lo comercial. Antes, tenían todo muy separado y dividido. Ahora necesitan unificar todo para poder hacer un cruce apropiado de información. Desde MainSoft, empezamos a ayudar en este proceso, para que puedan ganar visibilidad y que el sector operaciones pudiera operar 7z24, así como otras áreas como Supply Chain, Ventas, Marketing, etc. Sin duda, la tecnología de Red Hat es muy buena para esto, porque permite una automatización correcta, con la posibilidad de evolucionar y seguir agregando nuevos servicios’.

Concluye Salaberri destacando la importancia de contar con un mayorista que los acompañe en los proyectos: ‘Nexsys nos brinda la posibilidad de tener distintas miradas del mercado, lo que nos permite promover nuevas tecnologías para que nosotros analicemos incorporar a nuestro porfolio. Es un mayorista que motiva mucho a trabajar en equipo, y nos da la visión general de nuestros proyectos. Su expertise, es fundamental para nosotros, para saber donde estamos y hacia dónde queremos ir’.

Agrega: ‘Nos acompañan con especialistas que no contamos en nuestro equipo de trabajo, no por falta de interés, sino por no contar con el conocimiento necesario en ciertas tecnologías. Eso nos da un valor extra sustancial, porque podemos brindar un servicio más completo a nuestros clientes’.

Adrián Berardi, gerente Unidad de Negocios, de Nexsys, se suma a la charla y da su visión: ‘Como distribuidores, tratamos de ayudar a los canales en todo lo que necesitan. Hoy por hoy, tenemos a todo el equipo comercial y técnico trabajando full time. En los casos que existan integradores que requieran nuestros servicios, estamos todos a disposición. Para nosotros, es re importante el crecimiento de nuestros partners, y en esa línea, planificamos a nivel general y particular, todos los proyectos que tienen por delante. Por eso, tenemos gente local y regional, para ayudarlos en el posicionamiento de sus planes. Acompañamos desde lo financiero, marketing, comercial, técnico, etc.’.

Continua Berardi explicando: ‘En lo que es infraestructura, tenemos una landing page, un equipo especializado de pre venta, así como también realizamos capacitaciones propias, y también acompañarlos en la educación y evangelización de sus propios clientes. Como Nexsys, buscamos ofrecer un valor agregado al porfolio de nuestros socios de negocios’.

Cierra afirmando: ‘Para nosotros, MainSoft es un canal muy importante. No sólo porque están a la vanguardia, sino también porque ofrecen una solución diferente que es muy útil para sus clientes, y no todos los canales pueden ofrecer algo así’.

Fuente: prensariotila.com

En Mainsoft estamos muy contentos de estar apoyando a nuestro partner Fluid Attacks en Segurinfo Argentina, uno de los principales eventos iberoamericanos [en ciberseguridad] que sirve como punto de encuentro con clientes y colegas. En una época donde es fundamental mantener a salvo la información, nuestro principal propósito es ayudar a nuestros clientes a ser menos vulnerables mediante pruebas exhaustivas donde combinamos IA con el trabajo manual de hackers certificados. Estas pruebas, implementadas desde fases tempranas de los ciclos de desarrollo, permiten reducir los costos de remediación hasta en un 90%.

El gran experimento de Trabajo Remoto, impulsado por la pandemia, ha madurado mucho durante los 18+ meses y se han aprendido muchas lecciones. La necesidad de adaptarse a las nuevas condiciones laborales también impulsó el crecimiento de la transformación digital. Todo esto ha remodelado la trayectoria del trabajo y la seguridad empresarial en el futuro.

En el apresurado impulso para ir a distancia y permitir la productividad en los primeros meses de la pandemia, las mejores prácticas de seguridad se relajaron o simplemente se ignoraron. A los trabajadores se les otorgaron derechos de acceso privilegiado que excedían el nivel requerido para el trabajo, hinchando la superficie de ataque. Las tecnologías de acceso remoto, como VPN y RDP, con frecuencia se extendían mucho más allá de sus casos de uso seguro y, a menudo, estaban mal configuradas. Muchas de estas deficiencias de seguridad persisten en la actualidad y los ciberdelincuentes están atacando activamente.

Este blog discutirá cómo varios modelos y tecnologías de control de acceso pueden ayudar a garantizar la seguridad adecuada en torno al acceso remoto para respaldar un modelo comercial de trabajo desde cualquier lugar.

Controles de acceso

Las soluciones para la gestión de derechos de acceso, IAM (gestión de identidades y accesos), son una pieza de seguridad fundamental. La configuración e implementación correctas de los controles de acceso también es fundamental para permitir un entorno de trabajo remoto seguro.

En ausencia de altos niveles de automatización para los sistemas de control de acceso, las empresas no pueden escalar adecuadamente la seguridad y marcar los derechos de acceso de los usuarios incluso en entornos modestamente complejos que pueden abarcar la computación en la nube o híbrida, y una combinación de identidades y cuentas de empleados, proveedores y máquinas.

Revisemos algunas tecnologías y enfoques fundamentales de control de acceso y cómo pueden desempeñar un papel en la seguridad del acceso remoto.

Role model

La estructura predefinida de control de acceso basado en roles (RBAC) se usa a menudo en soluciones de administración de identidades. RBAC ayuda a administrar el control de acceso según el principio de privilegio mínimo (PoLP). Esta estructura también es muy útil para proporcionar acceso remoto a datos almacenados en servidores corporativos. Los roles de usuario prescritos en sistemas de información específicos determinan con qué puede trabajar un empleado de forma remota y prohíben el acceso a información no relacionada con su función laboral.

Por ejemplo, el rol de Tom, que es un empleado del departamento de TI, sugiere la capacidad de realizar cambios en ciertas bibliotecas y archivos del sistema A. Pero este rol no puede ser utilizado por empleados con un nivel de acceso más bajo, por ejemplo, del departamento de contabilidad.

Por el contrario, la contadora Kate puede recibir derechos en el sistema A que le permiten realizar determinadas transacciones financieras. Sin embargo, estas operaciones no están disponibles para la gerente de la oficina, Susan, ya que se encuentra en un nivel funcional inferior y su función en el sistema A solo permite ver datos.

El enfoque RBAC ayuda a reducir el riesgo de infección y compromiso de malware cuando los empleados utilizan puntos finales remotos o redes no seguras para conectarse a servidores corporativos. Este modelo de acceso también reduce la probabilidad de errores al asignar permisos a los usuarios y hace que el acceso sea más transparente para controlar.

Sin embargo, el control de acceso basado en roles por sí solo no es suficiente. Además, especialmente cuando se opera en un modo de emergencia, es posible que no sea posible prever y construir todo inmediatamente con estándares de seguridad aceptables confiando en RBAC.

Modelo de atributo

Sí, el modelo a seguir reduce los riesgos, pero, de nuevo, no los elimina por completo. Por lo tanto, se deben tomar medidas adicionales. Es aquí donde deberíamos hablar de identificación. En el contexto de la conexión remota, la identificación se puede dividir en dos aspectos:

• Identificación del dispositivo
• Identificación de usuario

Aquí crea una base de datos que incluye datos del dispositivo e información sobre los usuarios. Esto permitirá definir combinaciones permitidas y prohibidas, introduciendo así un nivel adicional de control. Esto nos da un modelo de control de acceso basado en atributos (ABAC). Ahora, los usuarios con roles predefinidos tienen acceso a secciones específicas de la red corporativa interna de acuerdo con la combinación específica: ID de usuario – ID de dispositivo.

Por ejemplo, el gerente de marketing, John, recibirá permisos de acceso según el rol del departamento de marketing, si se conecta al sistema A desde su computadora portátil corporativa. El sistema reconocerá su número de identificación de dispositivo. Por otro lado, a un empleado del departamento legal, Adam, se le negará el acceso, ya que está tratando de establecer una conexión al sistema A desde la computadora personal de su hogar, cuyo identificador no figura entre los dispositivos aprobados.

El modelo de atributos de control de acceso es bastante confiable para ayudar a resolver algunos problemas adicionales de seguridad de la información asociados con el creciente volumen de acceso remoto. Sin embargo, aún se necesitan más controles.

Autenticación multifactor

La autenticación multifactor (MFA) es cada vez más una capa de defensa imprescindible, especialmente cuando se trata de acceso remoto y escenarios que implican privilegios elevados más allá de los de un usuario estándar.

Tenga en cuenta que, incluso con las medidas anteriores implementadas, todavía existe el riesgo de que las contraseñas sean forzadas o comprometidas de otra manera. Esto puede ocurrir potencialmente incluso si las contraseñas son muy complejas y se almacenan en una base de datos cifrada. Cuando un atacante captura esta base de datos, el problema de obtener una contraseña está limitado solo por la cantidad de tiempo y la potencia del hardware. Tenga en cuenta que las herramientas de piratas informáticos pueden descifrar contraseñas alfanuméricas de 14 caracteres en aproximadamente dos minutos.

La autenticación multifactor combina dos o más métodos para autenticar fuertemente a un usuario: algo que conoces (como una contraseña), algo que tienes (como un token) o algo que confirma quién eres (datos biométricos). Cada factor adicional aumenta la confianza en que la persona que quiere acceder al sistema es quien dice ser. Es posible que las organizaciones deseen aumentar la cantidad de factores que se utilizan para proteger los activos más sensibles y las áreas de acceso privilegiado.

Los escenarios típicos de MFA incluyen:

• • Leer una tarjeta inteligente e ingresar un PIN

Iniciar sesión en el sistema y solicitar ingresar una contraseña adicional de un solo uso (OTP), que se puede enviar al teléfono o dirección de correo electrónico

Descargar el cliente VPN con un certificado digital válido e iniciar sesión en la VPN antes de otorgar acceso a la red

Leer una tarjeta, escanear una huella digital y responder una pregunta de seguridad

• Usar un token de hardware a través de USB que genera una contraseña de un solo uso y usar una contraseña de un solo uso para iniciar sesión en la VPN

Muchas consideraciones, basadas en una empresa en particular o el entorno operativo, pueden impulsar las decisiones sobre qué factores de autenticación implementar. Por ejemplo, la autenticación biométrica mediante huellas dactilares puede ser un segundo factor conveniente y confiable para el trabajo diario de oficina. Pero si un empleado trabaja de forma remota y debe conectarse a los recursos de la empresa desde diferentes ubicaciones geográficas, puede que no sea conveniente llevar siempre consigo un lector para la autenticación biométrica. En este caso, se pueden usar herramientas de software que generan PIN de inicio de sesión, mensajes SMS o aplicaciones OTP para teléfonos inteligentes.

El objetivo del MFA es crear defensas de varias capas y hacerlo demasiado expansivo para que un atacante obtenga acceso al sistema. Incluso si un factor está comprometido, habrá al menos otro factor, que debe superarse para penetrar en la red.

Gestión de acceso privilegiado

Los sistemas de administración de acceso privilegiado (PAM) son un medio sólido de proteger las conexiones remotas a los activos corporativos y cualquier otro tipo de acceso, ya sea que involucre identidades humanas o no humanas, empleados o proveedores.

Muchos incidentes de seguridad están asociados con el compromiso de credenciales y cuentas con privilegios excesivos, que pueden proporcionar acceso sin restricciones a recursos críticos. PAM reduce estos riesgos mediante la gestión de credenciales privilegiadas, la aplicación de privilegios mínimos y la intermediación de sesiones remotas seguras.

Al administrar activamente las credenciales, como rotarlas o caducarlas después de cada uso, los sistemas y las cuentas pueden protegerse contra los ataques de reutilización de contraseñas, ya que las contraseñas caducan rápidamente. Además, el sistema PAM verifica los derechos de acceso del usuario, si se les permite acceder al recurso de destino en la cuenta utilizada, y solicita un factor adicional de autenticación confiable. Al habilitar controles de acceso adaptativos y just-in-time, los productos PAM minimizan el tiempo durante el cual los privilegios pueden verse comprometidos y también revocan el acceso si el contexto o el riesgo cambian.

La más avanzada de las soluciones PAM también proporciona capacidades de acceso remoto seguro, que pueden acceder mediante proxy a los recursos, sin el uso de una VPN, asegurando que el acceso remoto privilegiado esté bloqueado, que siempre se apliquen los privilegios mínimos y que se auditen todas las sesiones. El control y la gestión de sesiones pueden incluir la realización de registros de pulsaciones de teclas y grabaciones de vídeo, con la capacidad de pausar o finalizar sesiones sospechosas.

PAM es también una tecnología de seguridad clave necesaria para habilitar modelos y arquitecturas de seguridad de confianza cero, que cubriremos a continuación.

Modelo Zero Trust

El modelo confianza cero ha ido ganando impulso durante los últimos años. Sin embargo, la confianza cero se ha consolidado recientemente como una ideología de implementación obligada, en respuesta al aumento del trabajo remoto y la computación en la nube, y los ciberataques de alto perfil que aprovechan la mayor superficie de ataque.

De hecho, un estudio de IDSA a principios de este año informó que el 93% de los profesionales de seguridad de TI afirman que la confianza cero es estratégica para proteger su organización, y el 97% también afirma que la identidad es un componente fundamental de un modelo de seguridad de confianza cero.

La implementación de la confianza cero requiere autenticación y autorización para cada usuario y dispositivo en la red, para cada aplicación a la que acceden. Incluso si las aplicaciones y los dispositivos están unidos en una red corporativa, la autenticación y autorización bajo un modelo de confianza cero operan bajo el supuesto de que ningún usuario es digno de confianza.

El enfoque tradicional de la seguridad de la red se basa en la afirmación de que es muy difícil acceder a la red desde el exterior. Debes pasar por varios cordones de protección de red. Un gran riesgo aquí es que, cuando el usuario (incluido uno malintencionado) ya está dentro de la red, automáticamente se le percibe como de confianza.

Históricamente, las empresas han depositado demasiada confianza en los usuarios individuales. Zero Trust sostiene que no es seguro centrarse principalmente en proteger el perímetro de la red corporativa. En condiciones de confianza cero, ningún usuario, ni dentro ni fuera de la red, se considera de confianza. El modelo de confianza cero es una herramienta más confiable para proteger los activos críticos en un mundo donde los entornos están cada vez más distribuidos, los puntos finales y los usuarios pueden conectarse desde cualquier lugar y la seguridad del perímetro de la red es menos efectiva.

Los enfoques técnicos para implementar dicho modelo pueden variar, pero los principios básicos a seguir son los mismos:

• No se confía en ningún usuario de forma predeterminada, e incluso cuando se otorga acceso, debe ser finito.
• Los usuarios deben recibir el nivel mínimo suficiente de derechos para realizar sus funciones (conocido como el principio de privilegio mínimo).
• Los perímetros de la red deben dividirse en pequeños componentes (microsegmentación), donde cada segmento tiene requisitos de acceso individuales.

Apoyándose en la inteligencia artificial

Finalmente, mirando un poco hacia el futuro, consideremos la promesa de la inteligencia artificial (IA) para ayudar a abordar los desafíos relacionados con el control de acceso.

Es posible que se ejecuten grandes cantidades de datos de un lado a otro durante conexiones remotas masivas, en particular, durante los procesos de autenticación y autorización. En este caso, el uso de la inteligencia artificial puede ayudar de manera significativa, por ejemplo, al analizar e identificar el comportamiento anómalo del usuario y las posibles brechas de seguridad. Se pueden aplicar tecnologías de inteligencia artificial para requerir que los usuarios se vuelvan a autenticar en medio de una sesión, si se detecta actividad sospechosa.

Próximos pasos para marcar en Secure Access Control

El mundo de la tecnología y el trabajo ha experimentado una mini revolución en respuesta a la pandemia mundial. Si bien la lucha inicial ya pasó, es crucial revisar y garantizar que se implementen los controles de acceso correctos para los casos de uso apropiados para cerrar las brechas de seguridad y respaldar la implementación exitosa de las iniciativas de transformación digital.

Autor: Alex Vakulov Artículo Original: Ver Articulo Original