Herramientas necesarias para aumentar la seguridad del acceso a sitios Web, Aplicaciones, Home Banking, WebService, Terminal Server, etc.
Las productos más usados del mercado y una alternativa interesante. HARDkey MIO, solución escalable para remplazar el Usuario y Password en pocas horas hasta incorporar un esquema PKI para Firmar documentos.
4. Más de 20 Años de Trayectoria en el Mercado
Diseñamos, Fabricamos y Comercializamos nuestros Productos
y Soluciones clasificados en las siguientes líneas principales:
Protección de Software y Datos
Autenticación Fuerte de Accesos a Aplicaciones y Sitios Web
Protección de Certificados Digitales en Esquemas PKI
Protección de Datos Personales y Accesos a PCs
Distribuidores Oficiales de SAFENET / RAINBOW
9. Aumentar la
• Sitios Web
seguridad en
• Software o Aplicaciones
el acceso • Home Banking
• Web Mail
• Redes y VPN
• PC’s y Notebooks
10. Falta de conciencia en materia de seguridad
• La sociedad no toma conciencia respecto a la
importancia de proteger la información que maneja
diariamente.
El presupuesto
• Se destinan escasos fondos a herramientas de
seguridad. Se considera un gasto y no como lo que
es, una inversión.
11. ISO 27001/27002 ex.17799
● ISO 27001 es una norma internacional que ofrece recomendaciones
para realizar la gestión de la seguridad de la información.
● La información es un activo, y la norma define como proteger
adecuadamente dicho activo.
● Busca la Confidencialidad, Integridad y Disponibilidad de la
información.
● El objetivo de la serie de normas 27000 es proporcionar una base
común para desarrollar normas de seguridad dentro de las organizaciones
12. ISO 27001/27002 ex.17799
Entre los diez dominios de control que establece para la Gestión de
Seguridad de Información destacaremos:
13. • Controlar los accesos a la información.
• Evitar accesos no autorizados a los sistemas de información.
• Protección de los servicios en red.
• Evitar accesos no autorizados a ordenadores.
• Evitar el acceso no autorizado a la información contenida en
los sistemas.
• Detectar actividades no autorizadas.
• Garantizar la seguridad de la información cuando se usan
dispositivos de informática móvil y teletrabajo.
14. • Evitar accesos no autorizados, daños e interferencias contra los
locales y la información de la organización.
• Evitar pérdidas, daños o comprometer los activos así como la
interrupción de las actividades de la organización.
• Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.
• Utilizar elementos físicos de autenticación para acceder a la
información.
15. Cifrado
Simétrico
(1 Clave)
CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS
Texto 3%$hd Texto
Plano @(987k Plano
Una sola clave para Cifrado y Descifrado
Problema: Cómo facilitar una clave de cifrado a los usuarios y cómo
asegurarse que no se “filtre” a otros usuarios?
16. Cifrado
Asimétrico
2 Claves
(Pública y Privada)
CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS
Clave Clave
Pública Privada
Texto 3%$hd Texto
Plano @(987k Plano
Cifrar con “Clave Pública” Publicar la Clave Pública
en directorios/agendas.
Descifrar con “Clave Privada” Mantener la Clave Privada bajo
control.
17. Cifrado
Asimétrico
2 Claves
(Pública y Privada)
CONCEPTOS BÁSICOS SOBRE CIFRADO DE DATOS
Cifrado con Clave
Clave Privada Pública
Cálculo 3%$hd Firma HASH
de Digital Descifrado
@(987k
Doc HASH
Comparar
Documento
Original Cálculo de
HASH
18. DISPOSITIVOS OTP HARDkey MIO
CRIPTOGRÁFICOS (One Time Password)
19. DISPOSITIVOS CRIPTOGRÁFICOS
Los Token o llaves Criptográficas como las “iKey” (de SafeNet) o
eToken Pro (de Aladdin) son dispositivos USB que además de
proteger y trasportar Certificados Digitales, almacenando el par de
claves que se utilizan en esquemas de Firmas Digital (PKI – Public
Key Infrastructure).
Permiten mediante un SDK o Kit de Desarrollo, implementar un
esquema de Autentificación fuerte de Usuarios.
La tecnología de firmas digitales es una herramienta para certifica
quien es la persona que está realizando una operación, y si el
documentos firmado no fue vulnerado.
20. DISPOSITIVOS CRIPTOGRÁFICOS
Pueden ser utilizados:
• Firmar Documentos Digitales
• Autenticar el Acceso a Sistemas
informáticos o sitios web
• Validar el acceso a redes
• Cifrar información.
21. FIRMA DIGITAL – DESCRIPCIÓN
Una “Ley de Firma Digital” básicamente lo que busca es igualar la
utilización de los “certificados digitales” para firmar documentos o
transacciones electrónicas, con la firma de puño y letra.
Además de garantizar la
identidad del “firmante”
permite garantizar que no se
puede alterar el contenido
del documento o transacción
firmada.
22. FIRMA DIGITAL – DESCRIPCIÓN
Una “Ley de Firma Digital” y sus
normas de reglamentación son el
marco general a tener en cuenta en
todo proyecto de PKI.
Hay que tener presente que el simple
hecho de utilizar Certificados
Digitales no es una “solución en si
misma”, pues hay que contar con
tecnologías adecuadas para
protegerlos.
23. FIRMA DIGITAL – QUÉ SE NECESITA?
Autoridad Certificante
Infraestructura
Autoridad Registrante
Desarrollos especiales para
firmar documentos con el
Llaves esquema PKI
Criptográficas
Modificación y adaptación de
SOFTWARE DE los software actuales.
Certificado TERCEROS
Digital Certificación de procesos PKI
Validación del Contrato de entre partes que
acepten las políticas
Certificado
•Comprobar si el certificado es valido SOFTWARE PROPIO
•Validar firma (que corresponda a usuario)
•Verificar el Vencimiento del Certificado
•Verificar el Ente Certificador
24. FIRMA DIGITAL – QUÉ SE NECESITA?
Es importante entender que en todo esquema de “Firma Digital” o
PKI, para que realmente se esté validando la identidad de un
usuario es necesario contar con dispositivos criptográficos ( como
las llaves USB iKey ) para proteger y transportar los certificados
digitales de los usuarios.
Además, si no se compra el certificado, hay que contar con dispositivos tipo
HSM (Hardware Security Module) como los LUNA SA de SafeNet.
Para:
Protegen “Certificados Servidor” ( Root )
Aceleran operaciones de cifrado
Llave Criptográfica iKey
25. FIRMA DIGITAL – QUÉ SE NECESITA?
Según la ley 25.506 de Firma Digital en la Argentina,
Es necesario contar:
• Dispositivos HSM
• Servidores dedicado
EN EL SERVIDOR: • Sistema de Backup.
• UPS
•…
• Dispositivos Criptográficos
• Certificado digital (arancel anual)
EN EL USUARIO: • Software especial para firmar
(recomendación) documentos.
•…
26. FIRMA DIGITAL – CONCLUSIONES:
• Certificación de normas internacionales de
seguridad.
BENEFICIOS • Firma Digital o Firma Electrónica.
• Autenticación de Usuario
• Cifrado de Datos
• Altos costos START UP
• Altos costos de Capacitación.
CONTRAS
• Requiere personal altamente especializado.
• Tiempo de implementación más de 6 meses.
• Gastos de Licencias Anuales.
27. DISPOSITIVOS OTP HARDkey MIO
CRIPTOGRÁFICOS (One Time Password)
28. OTP – One Time Password
- Dispositivos de Hardware que
proporcionan una autenticación
fuerte por un factor físico.
- Agregan al usuario y password
convencional una clave más que
varía a cada minuto.
29. OTP – One Time Password
La clave se genera aleatoriamente en función del instante
de tiempo en el que se presiona el botón (cuenta con Clock
Interno) y en función de la última clave generada.
30. OTP – One Time Password
Además de los token para
cada usuario, hay que
comprar una licencia de
software del lado servidor
que es necesario para
validar dicha clave.
31. OTP – One Time Password
• Certificación de normas internacionales de
seguridad.
BENEFICIOS • Autenticación Fuerte de Usuario.
• Fácil de utilizar para el usuario final.
• Altos costos START UP. (Hardware y Software)
• Altos costos de Capacitación.
CONTRAS
• Altos costos de Mantenimiento.
• Requiere personal altamente especializado.
• Tiempo de implementación 3 a 4 meses.
32. HARDKEY MIO - AUTENTICACIÓN
• Es un Dispositivo Electrónico USB diseñado, para hacer una
Validación Fuerte de Usuarios.
• Con sólo incorporar unas pocas líneas de código fuente del Logon
de una aplicación o Sitio Web, es suficiente para implementarlo la
solución de una manera rápida y sencilla
• Es fácilmente incorporable en la mayoría de los lenguajes como ASP,
PHP, Java, Visual, C++, C#, .NET, etc.
• Para el usuario es totalmente trasparente, cuando tiene que acceder
sólo debe conectar la llave USB e ingresar su PIN.
33. HARDKEY MIO – CÓMO FUNCIONA?
-En el caso de Sitio Web:
• El servidor web manda una página de consulta al cliente donde está
conectado la llave HARDkey MIO.
• El OCX o componente JAVA instalado en el cliente se encarga de
verificar la presencia de la llave, leer o grabar información, leer la clave
privada, importar o exportar un certificado. El dato, se lo pasa al servidor
en forma encriptado y segura para que lo procese.
• El servidor lo toma, lo analiza y actúa según se lo programe.
34. HARDKEY MIO – SOLUCIÓN ESCALABLE
Se puede dejar para una segunda etapa un esquema con
Certificados Digitales, almacenando en la llave la “Clave Privada”.
De esta forma se divide en etapas el proyecto, distribuyendo
el tiempo de la carga de trabajo que implica la implementación.
+ Con HARDkey en una primera
Firma instancia se puede implementar
HARDkey simplemente el chequeo de la
+ “OTP” llave y su PIN. Validando, por
ejemplo, el número de serie.
Validación Fuerte
36. HARDKEY MIO – SOLUCIÓN ESCALABLE
• Reemplazar el login estándar de Usuario y Password (muy
débil) por una Autentificación Fuerte de dos Factores.
• Donde el usuario sólo Ingresa una llave y el PIN de acceso.
• Se lee de la llave el ID o el Usuario y Contraseña grabada
dentro de la misma y continuamos con el proceso de login
normal.
38. HARDKEY MIO – SOLUCIÓN ESCALABLE
• Telefónica de Argentina utilizo nuestras llaves para autenticar el acceso a
la Intranet de 200 puestos y Certificó la Norma ISO 17799.
• Además de la presencia de la llave agregaron un 3º factor de
autenticación, una clave Aleatoria de 64 bytes que la guardan en la
memoria de la llave, cambiándola cada vez que hace el login.
39. HARDKEY MIO – SOLUCIÓN ESCALABLE
Cambia en cada
Sesión
_:;ñ´P?=#”$
8SoClqÑ01+
+=?)!#”#$5
41. HARDKEY MIO – SOLUCIÓN ESCALABLE
• La gente de MATba (Mercado a Termino de Buenos Aires) comercializan
cereales mediante un sistema web llamado NeSS.
• Utilizan las llaves HARDkey para autenticar el acceso y a su vez guardan
una clave privada en la memoria de la llave.
42. HARDKEY MIO – SOLUCIÓN ESCALABLE
Validan el Acceso
Autentifican que el que hace la transacción es el autorizado. (Identidad)
Evitan que el documento firmado haya sido modificado. (Vulnerabilidad)
Contrato de Entre partes entre socios y la firma. (Legales)
44. HARDKEY MIO - AUTENTICACIÓN
• Autenticación Fuerte de Usuarios.
• Costo de Unica Vez (compra de llave).
• Implementación rápida y sencilla.
BENEFICIOS • PLUG & PLAY (no requiere Driver)
• Sin caras capacitaciones.
• Sin costosas licencias de software
• Excelente relación COSTO-BENEFICIO.
• No es ampliamente conocido.
CONTRAS • No posee certificaciones internacionales.
(Sólo implica firmar un contrato entre partes).
45. En la gran mayoría de las instalaciones donde se necesita una
“Validación Fuerte de Accesos de Usuarios”, se soluciona
con un “Contrato entre Partes”.
Por ello se puede optar
por opciones más simples
de implementar
y de menor costo.
46. Si bien existe siempre el deseo de implementar tecnologías
ampliamente difundidas, normalmente no se destinan recursos
económicos para lograrlo.
Y se termina dejando siempre “para el año que viene” la
implementación de soluciones de seguridad por no optar por
opciones al alcance de las economías Latinoamericanas.
Es preferible implementar soluciones “provisorias para siempre”
antes que seguir utilizando esquemas endebles como el de
Usuario y Password.