Con el reciente aluvión de problemas informáticos muy públicos y publicitados, muchos interesados en la seguridad informática están reevaluando su estrategia global de seguridad. Es inevitable que, en algún momento de esa evaluación, se considere la idea de implantar la autenticación multifactor.
A menudo se habla de las tarjetas inteligentes y se descartan rápidamente como alternativa a los sistemas multifactor existentes. Sin embargo, en los últimos años se han producido muchos cambios en la oferta de tarjetas inteligentes, que incluyen reducciones del coste total y una implantación más sencilla en entornos heterogéneos.
El primer paso para implantar con éxito una tarjeta inteligente es determinar qué tipo de software necesita la organización para seguir adelante. Los requisitos obvios incluyen tarjetas, lectores de tarjetas y controladores asociados y software. La organización también tendrá que estudiar un sistema de gestión de tarjetas inteligentes y, posiblemente, impresoras de tarjetas.
1. Recursos
Encontrar buenos recursos para ayudar en un proyecto de tarjeta inteligente puede ser difícil y, con demasiada frecuencia, me encuentro con que los clientes contratan a CSS demasiado tarde en el proceso. Esto a menudo lleva a tener que replantearse ciertas decisiones que se han tomado o a crear una suposición que aún no se ha investigado a fondo. Colaborar con una organización que posea una amplia experiencia en el despliegue de tarjetas inteligentes en una fase temprana del proyecto puede reducir los errores y las suposiciones costosas, lo que permite una experiencia más rápida y mejor para el usuario final cuando se despliegan las tarjetas.
2. Selección de tarjeta inteligente
Parece que hoy en día todo el mundo quiere venderte tarjetas inteligentes, pero ten cuidado: NO TODAS LAS TARJETAS SON IGUALES. Existen opciones en cuanto a sistemas operativos de tarjetas, requisitos de middleware, compatibilidad con sistemas operativos, factor de forma y espacio de la tarjeta. Todos estos factores deben tenerse muy en cuenta para elegir la tarjeta inteligente adecuada para su organización.
El error más común que veo que cometen las organizaciones hoy en día es fijarse sólo en el coste por tarjeta y no tener en cuenta qué más se necesita para que la tarjeta funcione en el entorno. Si el smartcart seleccionado requiere software adicional para funcionar en un entorno Windows (normalmente denominado middleware PKCS 11), es probable que le cueste mucho más en 5 años que uno que no lo requiera. He aquí un cálculo rápido para mostrar las diferencias de coste:
| Tarjeta inteligente Java que requiere PKCS #11 Middleware | Tarjeta inteligente CSP básica | |
| Coste de adquisición de la tarjeta inteligente | 15.00 | 25.00 |
| Coste de cada puesto de Middleware | 35.00 | Incluido en Windows |
| Coste de mantenimiento año 1 a 5 para Middleware (20 % de la lista) | 35.00 | Incluido en Windows |
| Coste total por usuario | 85.00 | 25.00 |
NOTA: El ejemplo no incluye el coste asociado a los parches y a los esfuerzos de despliegue, que incrementarían aún más los costes del middleware.
El gráfico anterior demuestra claramente que el coste de la tarjeta es sólo un pequeño porcentaje del coste total para la organización.
3. Sistema de gestión de tarjetas inteligentes
Igual de importante que la selección de la tarjeta inteligente es la selección del sistema de gestión de tarjetas inteligentes. Una vez más, los hay de muchas formas y tamaños, y las opciones obvias no siempre son las mejores.
El sistema de gestión de tarjetas inteligentes gestiona el ciclo de vida de la tarjeta inteligente en una organización. Proporciona una plataforma que permite realizar operaciones cotidianas en apoyo de la tecnología de tarjetas inteligentes. Estas operaciones incluyen el restablecimiento de PIN, el desbloqueo de tarjetas, la gestión de los certificados de una tarjeta, etc.
La mayoría de los proveedores de tarjetas inteligentes ofrecen un sistema de gestión de tarjetas inteligentes específico para cada proveedor, que probablemente no sea la mejor opción para la mayoría de las organizaciones. En primer lugar, vincula a su organización a un fabricante de tarjetas específico y, aunque esto no parezca importante al principio, dentro de unos años, cuando otro fabricante ofrezca un nuevo tipo de tarjeta, factor de forma o característica, no querrá tener que soportar plataformas de gestión de varias tarjetas. Además, en función de la complejidad de su organización, podría ser necesario admitir inmediatamente distintos tipos de tarjetas inteligentes. Por ejemplo, una tarjeta CSP base de menor coste para Windows y tarjetas PKCS11 para máquinas Linux y UNIX.
4. Alcance - Caminar antes de intentar correr
Las tarjetas inteligentes pueden utilizarse para muchos fines beneficiosos en una organización. Pueden utilizarse para el inicio de sesión de dos factores, el acceso a VPN y pueden combinarse con tecnología para el acceso físico o utilizarse como tarjetas de pago para la cafetería.
Aunque la mayoría de las organizaciones tienen como objetivo final eliminar el uso de contraseñas para iniciar sesión, muchos proyectos de tarjetas inteligentes se quedan estancados en el grupo de TI porque no se tiene debidamente en cuenta el impacto del cambio.
Empiece por distribuir tarjetas a un pequeño grupo con un fin específico. Por ejemplo, a los administradores de TI para acceder a los servidores o a los ejecutivos para eliminar los ataques basados en contraseñas a información de gran valor. Desplegar miles de tarjetas inteligentes e insistir en que todo el mundo las utilice al día siguiente para iniciar sesión probablemente dará lugar a un bajo índice de adopción y a reacciones negativas. Recuerda que, en este ejemplo, estás pidiendo a la gente que se conecte sin contraseña, algo que la mayoría de la gente nunca ha hecho. Es un gran cambio para una persona sin conocimientos técnicos.
5. Planificación
Como en cualquier otro proyecto informático, la planificación es fundamental para el éxito de la implantación de una tarjeta inteligente. Trabajar con un equipo que tenga experiencia previa en el despliegue de tarjetas inteligentes puede reducir significativamente las razones comunes por las que fracasan los despliegues de tarjetas inteligentes. Una comunicación y formación adecuadas son fundamentales para el éxito de la implantación.
Igualmente importante es asegurarse de que se tiene en cuenta todo el ciclo de vida de la tarjeta inteligente. Con demasiada frecuencia hemos visto que las organizaciones invierten tiempo y dinero en implantar las tarjetas, pero muy poco en renovarlas o sustituirlas. Aprovechar la tecnología adecuada para adaptarla al entorno y los procesos existentes reducirá la complejidad.
Los consultores de CSS han trabajado con clientes de todo el mundo para implantar con éxito más de 100.000 tarjetas inteligentes. Trabajamos con socios estratégicos y con el cliente para garantizar la mejor solución de tarjeta inteligente posible para su organización. Nos enorgullecemos de ofrecer asistencia de calidad para abordar la singularidad de cada entorno y las preocupaciones de la organización.
