En esta guía hablaremos sobre qué es MFA, por qué es importante, conceptos y estrategias de implementación en tus tácticas de seguridad en el IBM i – AS400.
Tradicionalmente, el IBM i – AS400 requiere un único factor de autenticación (SFA – Single Factor Auth), en las que la persona únicamente necesita introducir un nombre de usuario y una contraseña para obtener acceso al sistema. Es con lo que todos hemos estado familiarizados desde la concepción de controles de acceso.
La debilidad más grande del SFA es que es altamente susceptible a ataques por cibercriminales, no sólo por medio de fuerza y ataques en el mundo digital, sino que también utilizando estrategias de ingeniaría social para engañar a las personas y robar sus accesos con una manipulación inteligente.
Por otro lado MFA – Multi-Factor Authenticator es un método de autenticación que agrega una capa adicional de seguridad para asegurarse que el usuario que ingresa al sistema, es realmente la persona correcta. Para ello, se requiere una inteligente combinación entre elementos del mundo digital y el mundo físico.
Las autenticaciones al IBM i deben ser validadas por medio de distintos elementos que aseguren que la persona correcta ingresará con el usuario correcto. Estos elementos se dividen en 3 categorías:
Para que el método de autenticación sea considerado MFA, es necesario que el usuario forzosamente utilice al menos 2 de los elementos mencionados. Como se mencionó, el esquema tradicional sólo contempla el elemento del conocimiento, por lo que no se considera que MFA incluso aunque contemple 2 métodos como contraseña más algún PIN adicional.
Sin un segundo factor de autenticación en el IBM i, los cibercriminales tienen muchas más vías y oportunidades de violar la seguridad del sistema. Obtener un usuario y una contraseña ya no representa gran reto para los hackers, y una vez que obtienen los accesos, cada movimiento es tan válido e imperceptible como cualquier otro que ocurra en la operación. Vulnerando la operación de la compañía y arriesgando ser víctima de malware.
Implementar MFA en el IBM i significa agregar una capa más de seguridad, que eleva considerablemente fiabilidad en las defensas de nuestro sistema. Es posible que roben un usuario y contraseña, pero es muy complicado que logren tener acceso al siguiente factor de autenticación ya que implicaría involucrar un movimiento físico mucho más difícil de llevar a cabo.
MFA provee evidencia difícil de duplicar o de burlar. Cada vez son más las instituciones gubernamentales que están exigiendo la implementación del mismo para cumplir con ciertas regulaciones de ciberseguridad.
Por el alto nivel de seguridad que ofrece y el cumplimento de regulaciones que lo requieren, MFA se ha convertido en una medida fundamental de seguridad para muchas organizaciones a nivel mundial.
Hoy en día no es nada raro que incluso nosotros, como usuarios finales de alguna aplicación como la del banco o nuestras redes sociales, utilicemos segundos factores de autenticación para mantener nuestra información y ‘salud digital’ a salvo.
Adicionalmente a los factores mencionados (conocimiento, posesión e inherencia), existen dos factores adicionales que también son dignos de mención. Los mantenemos por separado ya que por lo general no son reconocidos oficialmente por las regulaciones que exigen MFA en sus cumplimientos.
Sin embargo, siguen siendo una excelente medida de seguridad para considerar implementar en nuestras estrategias. Esos elementos son:
En el IBM i, es posible implementar estos controles de acceso de forma sencilla con la solución de System Acces Manager de Assure Security.
Hoy en día es posible implementar una gran variedad de factores de autenticación que podrían ser adaptadas en tu estrategia de seguridad. Todo depende de la forma en las que desarrolles e implementes los factores. Los factores pueden ser desarrollados internamente en tu compañía, contratar una empresa desarrolladora, o implementar una solución de terceros lista para ser utilizada.
Lo recomendable es utilizar una solución de terceros ya que es más eficiente es cuestión de tiempos. Sólo es importante verificar que la solución de este tercero esté verificada en el cumplimiento de altos estándares de seguridad. De esta forma, no invertiremos tiempo y dinero por desarrollar una herramienta que no es nuestro expertise.
Los factores de autenticación disponibles a implementar en el IBM i a partir de la versión V7R1 serían las siguientes:
Factor de autenticación | Categoría |
Usuario del IBM i + contraseña | Conocimiento |
Preguntas de seguridad | Conocimiento |
Información personal (ej. número de empleado) | Conocimiento |
Personal Identificacion Number (PIN) | Conocimiento |
PIN de una ocasión (OTP) | Posesión |
PIN basado en tiempo | Posesión |
Código a correo electrónico | Posesión |
Mensaje SMS a celular | Posesión |
Radius Authetication Server | Posesión |
RSA SecureID | Posesión |
Huella dactilar o de palma de la mano | Inherencia |
Lectura de iris o reconocimiento de voz | Inherencia |
Es muy importante tener en cuenta que para que el método de autenticación sea considerado MFA, ese necesario implementar al menos 2 factores de diferentes categorías. En caso de implementar más de un factor pero de la misma categoría, no sería un MFA sino una autenticación multi-pasos (multi-step).
En TIMWare somos expertos en temas de ciberseguridad referentes al IBM i – AS400. Para los proyectos de implementación de MFA utilizamos la herramienta de Multi-Factor Authenticator de Assure Security. Somo socios de negocio y expertos técnicos en la solución y podemos proveerte de cualquier tipo de servicios u asesoría relacionada con la misma.
No dudes en contactarnos si necesitas ayuda con cualquier tema relacionado con el IBM i. Contamos con el conocimiento y las herramientas necesarias para sumar valor en la operación de tu empresa.