La Agencia de Seguridad Nacional de los Estados Unidos (NSA) ha publicado un documento muy interesante que explora los desafíos y el panorama de las soluciones de Identidad y Gestión de Acceso (IAM). El documento, dirigido a desarrolladores y proveedores de IAM, ofrece una visión detallada de los desafíos actuales y sugiere algunas ideas intrigantes para los próximos años. Puedes acceder al documento completo en este enlace: PDF
Uno de los aspectos destacados del documento es la advertencia de que los actores maliciosos son oportunistas y buscarán aprovecharse de cualquier brecha en la capacidad de gestionar entidades y sus accesos. Esta realidad afecta tanto a empresas pequeñas como a grandes corporaciones, ya que todas enfrentan desafíos únicos relacionados con la selección, implementación y gestión de soluciones de Autenticación Multifactor (MFA) y de inicio de sesión único (SSO).
El primer desafío al que se enfrentan las organizaciones es seleccionar la solución de MFA adecuada. Algunas empresas optan por herramientas basadas en la facilidad de implementación (como los mensajes de texto), mientras que otras priorizan la experiencia del usuario final. La comparación clara y la evaluación del coste-beneficio entre las opciones técnicas son fundamentales en este proceso. Además, la comparación entre productos de diferentes proveedores puede resultar complicada, especialmente en el caso de soluciones de autenticación «Push» que abarcan una amplia variedad de tecnologías y ventajas.
Es crucial comprender que el MFA no debe considerarse simplemente como una parte de la herramienta de SSO. Este enfoque es parcial y limitado. La seguridad del MFA estará determinada en gran medida por el proceso de inscripción del MFA. Por lo tanto, el proceso de inscripción del MFA debe ser una fase integral de aprovisionamiento de identidades. Solo una perspectiva convergente, como la ofrecida por Soffid, puede cerrar las brechas entre las soluciones de gestión de identidades y accesos.
En el caso de Soffid Identity Provider, todas las tareas de autenticación y SSO se centralizan en una herramienta especializada que se beneficia de protocolos de federación como SAML u Open ID Connect. Sin embargo, este beneficio conlleva un compromiso. El proveedor de identidad se convierte en un activo de seguridad crítico que debe protegerse adecuadamente. En nuestro caso, Soffid ha obtenido la Certificación Common Criteria para garantizar un nivel de seguridad óptimo.
La NSA también expresa preocupación por el uso de MFA para acceder a cuentas de administrador de alto nivel. En nuestro caso, al ser una plataforma de identidad convergente, se pueden aplicar los mismos requisitos de seguridad y, incluso, elevar el nivel de protección para los recursos especialmente protegidos, aplicando autorizaciones bajo demanda, permisos dinámicos y un registro de auditoría extendido.
Además, la NSA alienta a los proveedores de software a implementar estándares de aprovisionamiento de identidades como SCIM. Desde 2017, Soffid ha brindado soporte para SCIM.
En cuanto a los protocolos de SSO, Open ID Connect ha alcanzado un nivel de excelencia reconocido por la NSA. Según el documento, Open ID Connect ha superado a SAML en términos de seguridad y diseño. Su diseño más simple lo hace menos propenso a errores de implementación, solucionando varios de los problemas técnicos asociados con SAML.
Por último, la NSA destaca algunas tecnologías emergentes, como el Marco de Señales Compartidas (anteriormente conocido como Señales y Eventos Compartidos). Este estándar, respaldado por el consorcio Open ID, está ganando interés al ser capaz de detener de inmediato cualquier sesión activa realizada por una cuenta comprometida, intercambiando eventos entre plataformas en tiempo real. Aunque Soffid ya es compatible con el Marco de Señales Compartidas, es importante tener en cuenta que el estándar aún no está finalizado y podrían producirse algunos cambios menores
