SlideShare una empresa de Scribd logo

Marcos de Pedro Neoris authenware_cybersecurity step2

Descargar como PPT, PDF
Marcos De Pedro
Marcos De Pedro

Authenware es un sistema de autenticación biométrica basado en el análisis de parámetros de comportamiento del usuario, como la cadencia de tecleo o variables del entorno, que genera un patrón personal dinámico para cada usuario y lo compara con el patrón de referencia almacenado para verificar la identidad sin necesidad de hardware adicional. Se presenta como una alternativa más segura, usable y económica que otros métodos biométricos o basados en contraseñas.

1 de 18
Credential changing policies and complex passwords are decreasing security
Authenware, seguridad biométrica  Authenware es un sistema de análisis heurístico que introduce un nuevo concepto en la naturaleza de la identificación (saber, tener, ser): cómo hacer.  Construye y actualiza un patrón personal cada vez que se introduce por teclado algún dato específico, por ejemplo usuario y contraseña.  El patrón es comparado con el que existe como referencia en un sistema central, y su verificación permite actuar en consecuencia.
Authenware, funcionalidades  El patrón personal puede estar formado por:  Cadencia de escritura en el teclado +  Variables de entorno +  versión SO,  tipo de navegador,  dirección IP,  franja horaria de uso,  etc.  Variables de comportamiento personal  uso de tabulador o ratón,  acceso a determinadas funciones de la aplicación,  etc.
Evolución de los Sistemas Biométricos 1. Sistemas basados en elementos externos al usuario EVOLUCIÓN FACTOR AUTENTICACIÓN EVOLUCIÓN FACTOR AUTENTICACIÓN Basados en datos conocidos por el Basados en datos conocidos por el Usuario: Pasword, PIN,….. Usuario: Pasword, PIN,….. Riesgo de ser copiados Riesgo de ser copiados Basados en elementos externos que Basados en elementos externos que posee el Usuario: Token, Smart card,.. posee el Usuario: Token, Smart card,.. Riesgo de ser Clonados Riesgo de ser Clonados 2. Sistemas basados en elementos inherentes al usuario (Biométricos) Físicos: Huella dactilar, iris, facial,… Físicos: Huella dactilar, iris, facial,… Parámetros de comportamiento: Parámetros de comportamiento: Cadencias de tecleo, costumbres de uso Cadencias de tecleo, costumbres de uso horarios modales, menús modales,…. horarios modales, menús modales,…. Costos altos de desplegar Costos altos de desplegar Copiables Copiables No siempre aceptados por el usuario No siempre aceptados por el usuario (preservar intimidad, etc.) (preservar intimidad, etc.) Eficientes Eficientes No copiables No copiables No predecibles No predecibles Muy económicos Muy económicos
Eficacia frente a otros Sistemas Biométricos  Authenware se sitúa como uno de los métodos más seguros respecto al eje comparativo de eficacia / aceptación / coste.  La tasa de falso negativo depende mucho de la sensibilidad con la que se use el producto y de la tipología de la entrada (longitud de la clave, PIN, uso de elementos auxiliares, etc.) Ojo (Iris) Ojo (Retina) Huellas dactilares Geometría de la mano Escritura y firma Voz Cara Authenware Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta Alta Facilidad de uso Media Baja Alta Alta Alta Alta Alta Muy alta Prevención de ataques Muy alta Muy alta Alta Alta Media Media Media Muy alta Aceptación Media Media Alta Alta Muy alta Alta Muy alta Muy alta Estabilidad Alta Alta Alta Media Baja Media Media Muy alta
Modelo de Procesos Proceso de registro Proceso de comparación TECLEO DE INFORMACIÓN DE REFERENCIA TECLEO DE INFORMACIÓN COMPARACIÓN Contexto Variables de uso GENERACIÓN DE PATRÓN DE REFERENCIA Base de datos de patrones Contexto Variables de uso GENERACIÓN DE PATRÓN DE COMPARACIÓN COMPARADOR   Sí. No.
Modelo de Funcionamiento
Arquitectura de Red
Arquitectura Lógica
Proceso de Implantación de la Solución  Authenware se instala de modo integrado con el sistema de seguridad de cada compañía.  Debe realizarse un análisis previo de las necesidades a cubrir, un diseño detallado del alcance de la solución y de los pasos a dar para su implantación.  Instalación del servidor Authenware.  Identificar aplicaciones a securizar y casos de uso.  Identificación de campos a verificar.  Actuaciones sobre las aplicaciones:  Cliente: proteger los campos seleccionados.  Aplicación: reglas de control de identidad y árbol de decisiones de las acciones a emprender en cada caso.  Configuración del servidor Authenware.  Pruebas de validación y rendimiento.  Puesta en producción / Implantación en clientes y usuarios.
Proceso de Implantación de la Solución: Certificaciones  Evaluación y certificación del IBG (International Biometric Group).  Evaluación en INTECO (Instituto Nacional de Tecnología de la Comunicación – Ministerio de Industria, Comercio y Turismo).  Certificación Common Criteria (CCC EAL 2 ).  Evaluación por parte de Gartner Group .
Ventajas frente a otros Sistemas Biométricos En el puesto de trabajo No necesita hardware adicional para la autorización del acceso (lectores de tarjetas, sensores para biometría, etc.), tampoco requiere mantenimiento. No es necesaria la instalación de software adicional en el puesto de autorización, (JavaScript). Servidor Authenware El patrón se genera de forma dinámica adaptándose a los cambios evolutivos naturales del usuario. La generación de los patrones es transparente al usuario. No almacena ninguna información (salvo el propio patrón) Host / Sistema de Seguridad Diseñado como un servicio en red.
Escenarios de Servicio: Seguridad Mejora en la seguridad: Al ser un nuevo modelo de seguridad para autenticación, protege aspectos que otros modelos no abordan o lo hacen de forma parcial. Permite securizar el acceso general a un determinado sistema o activo. Transacciones específicas de alto riesgo y máxima criticidad pueden ser securizadas sin modificar ninguna de las condiciones generales de seguridad de la aplicación.  Incorpora un registro centralizado de actuaciones con independencia del grado de integración de las aplicaciones sobre las que actúa.
Usabilidad Mejora de la atención al usuario: Reduciendo la complejidad (custodia, memorización y uso) de las contraseñas, tarjetas, tokens, secuencias, etc.. y los circuitos de actualización y distribución. Facilidad y naturalidad en el uso: Con Authenware cuanto más “natural” sea la actuación de cada persona, mayor nivel de confianza genera.  Eliminando el uso incorrecto de las mismas.  Aumentando los tiempos para el cambio de las contraseñas, reduciendo incidencias.  Incorporando mayor confianza en las transacciones electrónicas.
Ahorro de Costes de Logística  En escenarios con autenticación mediante clave/contraseña, permite aumentar el periodo de tiempo de permanencia de contraseña con la consiguiente reducción de las incidencias de usuario y su coste asociado.  En escenarios con autenticación mediante tokens, tarjetas de coordenadas, etc., permite reducir la criticidad en la gestión logística de dichos elementos e, incluso, sustituirlos, lo que supone un notable ahorro en el caso de sistemas muy concurridos y extendidos.  En escenarios con autenticación mediante biometría, permite sustituir los dispositivos de captura necesarios para la verificación de identidad así como la gestión logística  Es de destacar que el coste de la solución prácticamente asociada. no se incrementa cuando aumenta el número de usuarios, al contrario de lo que ocurre con otros métodos.
Aplicaciones  Como complemento a sistemas de autenticación ya desplegados (tanto sobre usuario/contraseña como sobre PIN de acceso a tarjeta, tokens, etc.).  Como solución de seguridad para el acceso a recursos protegidos (acceso por contexto).  Como complemento a sistemas de firma electrónica (basados en PIN Common Criteria, ejemplo: DNIe).  Como servicio de autenticación para servicios de seguridad gestionados.
Principales Referencias  Importante grupo financiero.  Autenticación en portales para “Home Banking” (400.000 usuarios).  Administración Pública de México.  Autenticación en sistemas aduaneros (100.000 usuarios internos).  Importante grupo financiero.  Autenticación en sistema de tarjeta de crédito (2.000.000 usuarios).  Telefónica Ingeniería de Seguridad (TIS).  Sistemas críticos de correlación de eventos de seguridad (Distrito C).  Ministerio de Sanidad y Política Social.  Sistemas de soporte a teletrabajo.
Marcos de Pedro Neoris authenware_cybersecurity step2

Recomendados

Control acceso
Control accesoControl acceso
Control accesoGermán Cruz
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónmaryparedes22
 
Auditoria de la seguridad lógica
Auditoria de la seguridad lógicaAuditoria de la seguridad lógica
Auditoria de la seguridad lógicabertcc
 
Sistema De Control De Acceso Al Yacimiento
Sistema De Control De Acceso Al YacimientoSistema De Control De Acceso Al Yacimiento
Sistema De Control De Acceso Al Yacimientoagustin_pd
 
Gestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioGestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioLuigi Zarco
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva vFran Deivis Rojas Marcano
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJUANCARLOSRIVERA2012
 
Grupo1 control de acceso
Grupo1 control de accesoGrupo1 control de acceso
Grupo1 control de accesoElisabeth Escalante
 

Recomendados

Control acceso
Control accesoControl acceso
Control accesoGermán Cruz
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónmaryparedes22
 
Auditoria de la seguridad lógica
Auditoria de la seguridad lógicaAuditoria de la seguridad lógica
Auditoria de la seguridad lógicabertcc
 
Sistema De Control De Acceso Al Yacimiento
Sistema De Control De Acceso Al YacimientoSistema De Control De Acceso Al Yacimiento
Sistema De Control De Acceso Al Yacimientoagustin_pd
 
Gestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioGestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioLuigi Zarco
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva vFran Deivis Rojas Marcano
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJUANCARLOSRIVERA2012
 
Grupo1 control de acceso
Grupo1 control de accesoGrupo1 control de acceso
Grupo1 control de accesoElisabeth Escalante
 
ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAelianitapabon
 
exposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosexposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosFernandoRamirez
 
Control de Acceso
Control de AccesoControl de Acceso
Control de AccesoIntegral de Prevención S.L.
 
Karina elizabeth caiza ubillus
Karina elizabeth caiza ubillusKarina elizabeth caiza ubillus
Karina elizabeth caiza ubilluskarycaiza1
 
Politicas de cuentas de usuario
Politicas de cuentas de usuarioPoliticas de cuentas de usuario
Politicas de cuentas de usuarioAriannys Romero Parra
 
Control de uso y asignación de privilegios
Control de uso y asignación de privilegiosControl de uso y asignación de privilegios
Control de uso y asignación de privilegiosAlejandro Salas
 
C:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosC:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosXimena Williams
 
Qué es el control de accesos
Qué es el control de accesosQué es el control de accesos
Qué es el control de accesosMarketalia Marketing Online
 
Tema 1 TeoríA De Sistemas. Sistemas Inteligentes
Tema 1 TeoríA De Sistemas. Sistemas InteligentesTema 1 TeoríA De Sistemas. Sistemas Inteligentes
Tema 1 TeoríA De Sistemas. Sistemas InteligentesESCOM
 
Septima U
Septima USeptima U
Septima USistemOper
 
Seguridad informatica 2013
Seguridad informatica 2013Seguridad informatica 2013
Seguridad informatica 2013Maestros Online
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2SistemOper
 
Entel SSO
Entel SSOEntel SSO
Entel SSORamsés Gallego
 
TECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORTECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORFitto Fernandez
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10Carlos Gonzalez
 
Clase Dos Componentes Y Fuerza 2009
Clase Dos Componentes Y Fuerza 2009Clase Dos Componentes Y Fuerza 2009
Clase Dos Componentes Y Fuerza 2009infosistemasuno
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De RobosChema Alonso
 

Más contenido relacionado

La actualidad más candente

ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAelianitapabon
 
exposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosexposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosFernandoRamirez
 
Karina elizabeth caiza ubillus
Karina elizabeth caiza ubillusKarina elizabeth caiza ubillus
Karina elizabeth caiza ubilluskarycaiza1
 
Control de uso y asignación de privilegios
Control de uso y asignación de privilegiosControl de uso y asignación de privilegios
Control de uso y asignación de privilegiosAlejandro Salas
 
C:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosC:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosXimena Williams
 
Tema 1 TeoríA De Sistemas. Sistemas Inteligentes
Tema 1 TeoríA De Sistemas. Sistemas InteligentesTema 1 TeoríA De Sistemas. Sistemas Inteligentes
Tema 1 TeoríA De Sistemas. Sistemas InteligentesESCOM
 
Seguridad informatica 2013
Seguridad informatica 2013Seguridad informatica 2013
Seguridad informatica 2013Maestros Online
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2SistemOper
 

La actualidad más candente (12)

ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICA
 
exposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosexposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datos
 
Control de Acceso
Control de AccesoControl de Acceso
Control de Acceso
 
Karina elizabeth caiza ubillus
Karina elizabeth caiza ubillusKarina elizabeth caiza ubillus
Karina elizabeth caiza ubillus
 
Politicas de cuentas de usuario
Politicas de cuentas de usuarioPoliticas de cuentas de usuario
Politicas de cuentas de usuario
 
Control de uso y asignación de privilegios
Control de uso y asignación de privilegiosControl de uso y asignación de privilegios
Control de uso y asignación de privilegios
 
C:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De DatosC:\Fakepath\Entorno De Base De Datos
C:\Fakepath\Entorno De Base De Datos
 
Qué es el control de accesos
Qué es el control de accesosQué es el control de accesos
Qué es el control de accesos
 
Tema 1 TeoríA De Sistemas. Sistemas Inteligentes
Tema 1 TeoríA De Sistemas. Sistemas InteligentesTema 1 TeoríA De Sistemas. Sistemas Inteligentes
Tema 1 TeoríA De Sistemas. Sistemas Inteligentes
 
Septima U
Septima USeptima U
Septima U
 
Seguridad informatica 2013
Seguridad informatica 2013Seguridad informatica 2013
Seguridad informatica 2013
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2
 

Similar a Marcos de Pedro Neoris authenware_cybersecurity step2

TECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORTECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORFitto Fernandez
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Clase Dos Componentes Y Fuerza 2009
Clase Dos Componentes Y Fuerza 2009Clase Dos Componentes Y Fuerza 2009
Clase Dos Componentes Y Fuerza 2009infosistemasuno
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficamauromaulinir
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De RobosChema Alonso
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robosguest022763
 
Presentacion AuraQuantic BPM + Seguridad
Presentacion AuraQuantic BPM + SeguridadPresentacion AuraQuantic BPM + Seguridad
Presentacion AuraQuantic BPM + SeguridadAuraQuantic
 
Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Juana Rodríguez
 
Seguridad TI en un mundo abierto
Seguridad TI en un mundo abiertoSeguridad TI en un mundo abierto
Seguridad TI en un mundo abiertoBernardo Ramos
 

Similar a Marcos de Pedro Neoris authenware_cybersecurity step2 (20)

Entel SSO
Entel SSOEntel SSO
Entel SSO
 
TECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORTECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADOR
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10
 
Clase Dos Componentes Y Fuerza 2009
Clase Dos Componentes Y Fuerza 2009Clase Dos Componentes Y Fuerza 2009
Clase Dos Componentes Y Fuerza 2009
 
G-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráficaG-OTP - Generador de clave perecedera gráfica
G-OTP - Generador de clave perecedera gráfica
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De Robos
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robos
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Portafolio
PortafolioPortafolio
Portafolio
 
Portfolio3
Portfolio3Portfolio3
Portfolio3
 
Portfolio3
Portfolio3Portfolio3
Portfolio3
 
Portafolio
PortafolioPortafolio
Portafolio
 
Portafolio2
Portafolio2Portafolio2
Portafolio2
 
Presentacion AuraQuantic BPM + Seguridad
Presentacion AuraQuantic BPM + SeguridadPresentacion AuraQuantic BPM + Seguridad
Presentacion AuraQuantic BPM + Seguridad
 
Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05
 
Seguridad TI en un mundo abierto
Seguridad TI en un mundo abiertoSeguridad TI en un mundo abierto
Seguridad TI en un mundo abierto
 

Marcos de Pedro Neoris authenware_cybersecurity step2

  • 1. Credential changing policies and complex passwords are decreasing security
  • 2. Authenware, seguridad biométrica  Authenware es un sistema de análisis heurístico que introduce un nuevo concepto en la naturaleza de la identificación (saber, tener, ser): cómo hacer.  Construye y actualiza un patrón personal cada vez que se introduce por teclado algún dato específico, por ejemplo usuario y contraseña.  El patrón es comparado con el que existe como referencia en un sistema central, y su verificación permite actuar en consecuencia.
  • 3. Authenware, funcionalidades  El patrón personal puede estar formado por:  Cadencia de escritura en el teclado +  Variables de entorno +  versión SO,  tipo de navegador,  dirección IP,  franja horaria de uso,  etc.  Variables de comportamiento personal  uso de tabulador o ratón,  acceso a determinadas funciones de la aplicación,  etc.
  • 4. Evolución de los Sistemas Biométricos 1. Sistemas basados en elementos externos al usuario EVOLUCIÓN FACTOR AUTENTICACIÓN EVOLUCIÓN FACTOR AUTENTICACIÓN Basados en datos conocidos por el Basados en datos conocidos por el Usuario: Pasword, PIN,….. Usuario: Pasword, PIN,….. Riesgo de ser copiados Riesgo de ser copiados Basados en elementos externos que Basados en elementos externos que posee el Usuario: Token, Smart card,.. posee el Usuario: Token, Smart card,.. Riesgo de ser Clonados Riesgo de ser Clonados 2. Sistemas basados en elementos inherentes al usuario (Biométricos) Físicos: Huella dactilar, iris, facial,… Físicos: Huella dactilar, iris, facial,… Parámetros de comportamiento: Parámetros de comportamiento: Cadencias de tecleo, costumbres de uso Cadencias de tecleo, costumbres de uso horarios modales, menús modales,…. horarios modales, menús modales,…. Costos altos de desplegar Costos altos de desplegar Copiables Copiables No siempre aceptados por el usuario No siempre aceptados por el usuario (preservar intimidad, etc.) (preservar intimidad, etc.) Eficientes Eficientes No copiables No copiables No predecibles No predecibles Muy económicos Muy económicos
  • 5. Eficacia frente a otros Sistemas Biométricos  Authenware se sitúa como uno de los métodos más seguros respecto al eje comparativo de eficacia / aceptación / coste.  La tasa de falso negativo depende mucho de la sensibilidad con la que se use el producto y de la tipología de la entrada (longitud de la clave, PIN, uso de elementos auxiliares, etc.) Ojo (Iris) Ojo (Retina) Huellas dactilares Geometría de la mano Escritura y firma Voz Cara Authenware Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta Alta Facilidad de uso Media Baja Alta Alta Alta Alta Alta Muy alta Prevención de ataques Muy alta Muy alta Alta Alta Media Media Media Muy alta Aceptación Media Media Alta Alta Muy alta Alta Muy alta Muy alta Estabilidad Alta Alta Alta Media Baja Media Media Muy alta
  • 6. Modelo de Procesos Proceso de registro Proceso de comparación TECLEO DE INFORMACIÓN DE REFERENCIA TECLEO DE INFORMACIÓN COMPARACIÓN Contexto Variables de uso GENERACIÓN DE PATRÓN DE REFERENCIA Base de datos de patrones Contexto Variables de uso GENERACIÓN DE PATRÓN DE COMPARACIÓN COMPARADOR   Sí. No.
  • 10. Proceso de Implantación de la Solución  Authenware se instala de modo integrado con el sistema de seguridad de cada compañía.  Debe realizarse un análisis previo de las necesidades a cubrir, un diseño detallado del alcance de la solución y de los pasos a dar para su implantación.  Instalación del servidor Authenware.  Identificar aplicaciones a securizar y casos de uso.  Identificación de campos a verificar.  Actuaciones sobre las aplicaciones:  Cliente: proteger los campos seleccionados.  Aplicación: reglas de control de identidad y árbol de decisiones de las acciones a emprender en cada caso.  Configuración del servidor Authenware.  Pruebas de validación y rendimiento.  Puesta en producción / Implantación en clientes y usuarios.
  • 11. Proceso de Implantación de la Solución: Certificaciones  Evaluación y certificación del IBG (International Biometric Group).  Evaluación en INTECO (Instituto Nacional de Tecnología de la Comunicación – Ministerio de Industria, Comercio y Turismo).  Certificación Common Criteria (CCC EAL 2 ).  Evaluación por parte de Gartner Group .
  • 12. Ventajas frente a otros Sistemas Biométricos En el puesto de trabajo No necesita hardware adicional para la autorización del acceso (lectores de tarjetas, sensores para biometría, etc.), tampoco requiere mantenimiento. No es necesaria la instalación de software adicional en el puesto de autorización, (JavaScript). Servidor Authenware El patrón se genera de forma dinámica adaptándose a los cambios evolutivos naturales del usuario. La generación de los patrones es transparente al usuario. No almacena ninguna información (salvo el propio patrón) Host / Sistema de Seguridad Diseñado como un servicio en red.
  • 13. Escenarios de Servicio: Seguridad Mejora en la seguridad: Al ser un nuevo modelo de seguridad para autenticación, protege aspectos que otros modelos no abordan o lo hacen de forma parcial. Permite securizar el acceso general a un determinado sistema o activo. Transacciones específicas de alto riesgo y máxima criticidad pueden ser securizadas sin modificar ninguna de las condiciones generales de seguridad de la aplicación.  Incorpora un registro centralizado de actuaciones con independencia del grado de integración de las aplicaciones sobre las que actúa.
  • 14. Usabilidad Mejora de la atención al usuario: Reduciendo la complejidad (custodia, memorización y uso) de las contraseñas, tarjetas, tokens, secuencias, etc.. y los circuitos de actualización y distribución. Facilidad y naturalidad en el uso: Con Authenware cuanto más “natural” sea la actuación de cada persona, mayor nivel de confianza genera.  Eliminando el uso incorrecto de las mismas.  Aumentando los tiempos para el cambio de las contraseñas, reduciendo incidencias.  Incorporando mayor confianza en las transacciones electrónicas.
  • 15. Ahorro de Costes de Logística  En escenarios con autenticación mediante clave/contraseña, permite aumentar el periodo de tiempo de permanencia de contraseña con la consiguiente reducción de las incidencias de usuario y su coste asociado.  En escenarios con autenticación mediante tokens, tarjetas de coordenadas, etc., permite reducir la criticidad en la gestión logística de dichos elementos e, incluso, sustituirlos, lo que supone un notable ahorro en el caso de sistemas muy concurridos y extendidos.  En escenarios con autenticación mediante biometría, permite sustituir los dispositivos de captura necesarios para la verificación de identidad así como la gestión logística  Es de destacar que el coste de la solución prácticamente asociada. no se incrementa cuando aumenta el número de usuarios, al contrario de lo que ocurre con otros métodos.
  • 16. Aplicaciones  Como complemento a sistemas de autenticación ya desplegados (tanto sobre usuario/contraseña como sobre PIN de acceso a tarjeta, tokens, etc.).  Como solución de seguridad para el acceso a recursos protegidos (acceso por contexto).  Como complemento a sistemas de firma electrónica (basados en PIN Common Criteria, ejemplo: DNIe).  Como servicio de autenticación para servicios de seguridad gestionados.
  • 17. Principales Referencias  Importante grupo financiero.  Autenticación en portales para “Home Banking” (400.000 usuarios).  Administración Pública de México.  Autenticación en sistemas aduaneros (100.000 usuarios internos).  Importante grupo financiero.  Autenticación en sistema de tarjeta de crédito (2.000.000 usuarios).  Telefónica Ingeniería de Seguridad (TIS).  Sistemas críticos de correlación de eventos de seguridad (Distrito C).  Ministerio de Sanidad y Política Social.  Sistemas de soporte a teletrabajo.

Notas del editor

  1. {}