Las prácticas deficientes en torno a las contraseñas son una de las mayores amenazas para la seguridad cibernética empresarial. Las contraseñas vulneradas o robadas causan más del 80 % de las violaciones de datos fructíferas. Cuando los empleados utilizan contraseñas no seguras, reutilizan contraseñas para varias cuentas o almacenan sus contraseñas de forma insegura (apuntadas en notas adhesivas, hojas de cálculo, etc.), ponen en riesgo a la propia empresa.
Las organizaciones suelen aprovechar los gestores de contraseñas empresariales para paliar un poco estas prácticas deficientes de los empleados respecto de las contraseñas. Desafortunadamente, muchas empresas utilizan soluciones de gestión de contraseñas heredadas que requieren una implementación local. En comparación con las soluciones modernas cloud-based, las implementaciones locales presentan tres desafíos: escalabilidad, seguridad y fiabilidad.
Escalabilidad
Las soluciones de gestión de contraseñas en la nube pueden incorporar o eliminar usuarios de forma instantánea siempre que sea necesario. Incluso la configuración inicial es rápida, pues no es necesario implementar infraestructura alguna ni realizar cambios en la red, como en los sistemas de nombres de dominio (DNS) o el protocolo simple de transferencia de correo (SMTP), entre otros. Por otro lado, las soluciones locales requieren la implementación de servidores y otros grandes cambios en la infraestructura.
Además, con las soluciones de gestión de contraseñas en la nube, no es necesario comprar, implementar o mantener ningún hardware y software de gestión de contraseñas. Por otra parte, las soluciones locales requieren la implementación de servidores, lo que implica más costes, más tiempo y más mano de obra.
Seguridad
Los proveedores de soluciones de gestión de contraseñas en la nube suelen realizar importantes inversiones para garantizar la protección de los datos y la privacidad. Muchos centros de datos de gestión de contraseñas en la nube cumplen con estrictas certificaciones y marcos de seguridad, como SOC2, ISO 27001, el Reglamento General de Protección de Datos (RGPD) y el programa FedRamp. Los proveedores de gestión de contraseñas en la nube gestionan todos los parches y problemas de seguridad y de TI. Los gestores de contraseñas locales requieren que los equipos de TI y de seguridad de su propia empresa se encarguen de proteger la infraestructura.
Además, algunas soluciones de gestión de contraseñas locales heredadas se diseñaron sin el principio del cifrado zero-knowledge. Estas soluciones locales pueden cifrar los datos en reposo, y el administrador podría disponer de las claves para el descifrado con acceso a la infraestructura. Almacenar las claves de cifrado junto con los datos en reposo es una bomba de relojería.
En un modelo de cifrado zero-knowledge, las claves para descifrar datos nunca se almacenan y se derivan de la contraseña maestra del usuario final. En este modelo, ningún administrador tiene la capacidad de descifrar arbitrariamente el cofre de ningún usuario.
Hay que considerar varios vectores de ataque cuando tanto las claves de cifrado como las contraseñas cifradas se almacenan en la misma ubicación. Una persona con información privilegiada y acceso al software alojado o a la base de datos back-end podría penetrar sin dejar rastro. O cualquier actualización de software malicioso del proveedor podría filtrar datos.
Fiabilidad
El acceso a las credenciales de inicio de sesión es crucial para cualquier empresa, por lo que el tiempo de actividad y la fiabilidad son factores vitales a la hora de elegir un gestor de contraseñas. Las soluciones de gestión de contraseñas en la nube suelen ofrecer un índice de tiempo de actividad superior al 99,9 %, así como acceso sin conexión, que permite a los usuarios acceder a las contraseñas durante un tiempo de inactividad poco probable. Sin embargo, los gestores de contraseñas locales requieren que los equipos de TI de cada empresa garanticen el funcionamiento y la disponibilidad de la infraestructura al máximo, lo que conlleva tiempo y dinero.
Son muchas las organizaciones que han optado por utilizar soluciones de gestión de contraseñas cloud-based en lugar de soluciones locales, que presentan los obstáculos técnicos mencionados. La solución de gestión de contraseñas cloud-based de Keeper puede ayudarle de la siguiente manera.
Gestión de contraseñas segura y escalable que se integra fácilmente con su infraestructura y procesos de seguridad
Keeper se implementa a nivel empresarial e independiente del número de usuarios, desde en pequeñas empresas hasta en organizaciones con miles de empleados y contratistas. Keeper Cloud Security Vault se aloja en Amazon AWS en América del Norte, Europa, Japón, Canadá y Australia, a fin de proteger la privacidad de los datos y garantizar la segregación geográfica para alojar y gestionar la solución y la arquitectura de Keeper. Utilizar Amazon AWS permite a Keeper escalar sin problemas los recursos según las necesidades y brindar a los clientes el entorno de almacenamiento en la nube más rápido y seguro. Keeper Security opera en entornos multizona y multiregión para maximizar el tiempo de actividad y ofrecer a los clientes el tiempo de respuesta más rápido.
Además, Keeper se integra de forma rápida y fluida con cualquier solución de identidades local o cloud-based, como AD, LDAP, Azure, SCIM y otros proveedores de identidades (IdP) que siguen el protocolo SAML. Aquí se incluyen soluciones de inicio de sesión único (SSO), como Azure, Okta, Centrify, BeyondTrust, Google Workspace, JumpCloud, OneLogin y Ping Identity. Keeper también proporciona interfaces de programación de aplicaciones (API) para desarrolladores, que permiten integrar Keeper con cualquier tipo de entorno local, en la nube o de nube híbrida. Para el seguimiento y la generación de informes de eventos, Keeper se integra perfectamente con todas las principales soluciones de información de seguridad y gestión de eventos (SIEM), como Splunk, Sumo Logic, LogRhythm, IBM, DEVO, Datadog y cualquier sistema que admita eventos con formato Syslog.
Seguridad zero-trust y zero-knowledge para contraseñas
Keeper cuenta con los certificados SOC 2 e ISO 27001 más antiguos del sector. Para los clientes de la UE, Keeper cumple con el RGPD y dispone de centros de datos aislados de la zona de la UE.
Para los clientes del sector público de EE. UU., Keeper Government Cloud está autorizado por el programa FedRAMP (nivel de impacto moderado) y cumple con el Reglamento sobre el Tráfico Internacional de Armas (ITAR, por sus siglas en inglés). El sistema de gestión de la seguridad de la información (ISMS) de Keeper garantiza que se han establecido estrictos controles de seguridad para proteger los datos de los clientes y garantizar el funcionamiento seguro de los productos y servicios.
Keeper Security crea sus productos aplicando un marco de seguridad zero-trust que se basa en no confiar en ningún usuario de la arquitectura. Este enfoque zero-trust supone que todos los usuarios y dispositivos podrían verse comprometidos y, por lo tanto, cada usuario debe verificarse y autenticarse antes de poder acceder a un sitio web, una aplicación o un sistema. Este marco de seguridad cibernética es la base de la plataforma de seguridad cibernética de Keeper. La plataforma proporciona a los administradores de TI una visibilidad integral de todos los usuarios, sistemas y dispositivos a los que acceden, lo que ayuda a garantizar el cumplimiento de los requisitos normativos y del sector. Para implementar un marco de trabajo zero-trust en una organización, se debe contar con la mejor seguridad en torno a las contraseñas, que sea compatible con una arquitectura de seguridad zero-knowledge.
Cifrado zero-knowledge
Keeper es un proveedor de seguridad zero-knowledge. Las credenciales de usuario se cifran localmente en el dispositivo y el texto cifrado se almacena de forma cifrada en el entorno de AWS de Keeper. Keeper implementa un sistema de cifrado de múltiples capas basado en claves generadas por el cliente. Las claves de nivel de registro y de nivel de carpeta se generan en el dispositivo local, que cifra cada registro almacenado del cofre (por ejemplo, contraseñas). Las claves se generan localmente en el dispositivo para preservar el zero-knowledge y admitir funciones avanzadas, como el uso compartido de registros y carpetas. Los usuarios que inician sesión con tecnología SSO o sin contraseñas utilizan la criptografía de curva elíptica para cifrar y descifrar datos en el dispositivo. Las múltiples capas de cifrado garantizan que, incluso si una sola clave se viera comprometida, el acceso al resto de registros permanecería seguro. A esto lo llamamos limitación del “radio de explosión”. Como la nube de Keeper solo almacena texto cifrado, los empleados de Keeper Security y los proveedores de infraestructura no tienen posibilidad alguna de acceder o descifrar los datos de los clientes.
Tiempo de actividad y acceso sin conexión más fiables
Keeper se aloja en AWS, con un compromiso del 99,99 % de disponibilidad y accesibilidad. Otros gestores de contraseñas se alojan en sus propios centros de datos personalizados, lo que provoca tiempos de inactividad repetidos. Keeper conoce la importancia de sus preguntas y le ofrece la opción de hablar con una persona en directo por teléfono. El soporte en directo de Keeper está disponible las 24 horas, los 7 días de la semana. Keeper también ofrece formación sobre productos e incorporación con su suscripción. Haga clic aquí para consultar el estado del tiempo de actividad de Keeper.
El modo sin conexión de Keeper permite a los usuarios acceder a sus cofres desde cualquier dispositivo cuando no pueden conectarse en línea con Keeper o con su proveedor de identidades. El acceso sin conexión está disponible para el cofre web de Keeper, la aplicación para ordenadores y las aplicaciones móviles de iOS y Android. Los datos del cofre se almacenan en un formato cifrado al que solo se puede acceder si el usuario proporciona su contraseña maestra o mediante autenticación biométrica. Varios usuarios pueden compartir un único dispositivo (p. ej., un ordenador portátil) y todos tendrán su cofre almacenado de forma segura en dicho ordenador cuando no estén conectados. La protección mediante autodestrucción borrará todos los datos almacenados localmente tras 5 intentos fallidos de inicio de sesión.
Resumen
Las soluciones de gestión de contraseñas heredadas que requieren una implementación local plantean desafíos de escalabilidad, seguridad y fiabilidad en comparación con las soluciones modernas cloud-based. Si le interesa una solución de gestión de contraseñas todo en uno segura y cloud-based, solicite una demo a un miembro de nuestro equipo.