Nota publicada por Riva Richmond
The Wall Street Journal
Tradicionalmente, la seguridad informática de las empresas se reducía, en esencia, a combatir la amenaza de quienes trataban de infiltrarse en la red interna desde fuera.
Últimamente, a las empresas les preocupan cada vez las amenazas provenientes de la misma compañía, es decir, de empleados y socios que podrían entrar a aplicaciones a las que no debieran ingresar o a zonas de la red que no están relacionadas con sus actividades.
Las empresas, plagadas por sistemas inadecuados de contraseñas, están reforzando sus herramientas para identificar y admitir a los usuarios autorizados. Esto se traduce en mejorar la protección de las contraseñas mediante el uso de fichas, tarjetas inteligentes y aparatos biométricos. Esto significa, además, el fortalecimiento de los controles internos de modo que alguien no altere la información de la compañía.
Las tecnologías más utilizadas para identificar a los individuos vienen en tres categorías: fichas, que son aparatos que despliegan códigos que cambian constantemente después de unos minutos y que, por lo general, se pueden poner en los llaveros; tarjetas inteligentes, similares a las tarjetas de crédito pero que tienen un chip con información de acceso y otros datos que debe leer otro aparato; y los biométricos, que son sistemas que leen y analizan características personales, como caras, huellas digitales, iris o voces.
La implementación de estas nuevas alternativas puede ser costosa, pero junto con una mejor seguridad, pueden generar una mayor productividad y ahorrar costos relacionados con el soporte técnico.
Gartner Inc., firma de investigación de mercadoo de Stamford, Connecticut, estima que un 30% de las llamadas a los departamentos de informática provienen de los empleados que necesitan reconfigurar su clave secreta.
Muchas empresas que siguen dependiendo de este tipo de contraseñas tratan de mejorar su seguridad exigiendo que los empleados cambien sus contraseñas periódicamente y que añadan a éstas números, símbolos y mayúsculas. Pero la mayoría "no cuenta con un buen sistema de gestión de contraseñas, y cuando lo tienen, son extraordinariamente caros y una molestia para los usuarios", dice Chris Christiansen, un analista de IDC.
Fue precisamente un pésimo sistema de contraseñas el que llevó a la empresa estadounidense de agricultura y biotecnología Monsanto Co. a reorganizar su sistema de administración de identidad. "Tenemos que demostrar [a los auditores] que tenemos control sobre nuestra información financiera", dice el ingeniero de redes Scott Crosier. "Puesto que toda esa información está disponible en nuestra red, consideramos que eso significaba que teníamos que demostrar que teníamos control sobre nuestra red".
Unos 6.700 empleados de Monsanto ingresan a la red de la compañía desde fuera. "Cada vez que una empresa tiene acceso remoto, eso se traduce en una gran vulnerabilidad", dice Crosier.
Los empleados que viajan estaban ingresando con nombres de usuario y contraseñas administrados por MCI Inc., el proveedor de acceso a Internet que trabajaba con Monsanto. Pero era difícil cambiar las contraseñas y, por tanto, los empleados rara vez las modificaban. Peor aún, cuando los empleados abandonaban la compañía, no siempre se les borraba de las listas de MCI, así que seguían teniendo acceso a la red.
Para solucionar el problema, Monsanto pagó cientos de miles de dólares para cambiarse a un sistema basado en un software de fichas, producido por ActivCard Corp., de Fremont, California. En el la mayoría de los casos, las fichas se instalan en las computadoras de los empleados, transmitiendo una clave numérica de acceso cada vez que tratan de conectarse.
Lo único que tienen que hacer los trabajadores es recordar su número secreto. Debido a que la ficha genera una nueva clave númerica cada vez que el usuario se conecta, puede incapacitar los programas espía que utilizan los ladrones de identidades para capturar información personal.
Hay unos 200 empleados de Monsanto que representan un reto más complicado porque suelen utilizar diferentes computadoras para entrar en la red. Con el paso del tiempo, los generadores de contraseñas en máquinas que se empleaban con menor frecuencia dejarían de estar sincronizados con los de las que se utilizaban más, dice Crosier, provocando que los códigos no coincidieran con los de la red.
El usuario no podría ingresar, por lo que el personal de Monsanto tendría que volver a sincronizar las fichas. La solución fue entregarles a esos empleados una ficha ActivCard adicional, que utilizan para ingresar una clave para cada computadora. Monsanto asegura que el cambio de sistema le ayudó a ahorrar entre US$400.000 y US$500.000 al año.
Clarian Health Partners, empresa que opera tres hospitales en EE.UU., está implementando un sistema y espera que mejore su seguridad. El actual sistema requiere varias combinaciones de claves. Pero el nuevo exige una clave y huellas digitales para tener acceso a información médica y financiera sensible.
---.---
