Cómo equilibrar la seguridad con …



Existe una delgada línea entre protegerse contra actividades sospechosas, maliciosas o no deseadas y hacer que los usuarios pasen por alto los obstáculos para demostrar su valía.

Como «defensores», los profesionales de la seguridad están enfocados en proteger a nuestras organizaciones de los riesgos y amenazas continuos que enfrentan constantemente.

Pero a veces esto se create a expensas de algo increíblemente importante: la experiencia del usuario. ¿Por qué es esto tan importante? Por un lado, cuando se enfrentan a restricciones insostenibles y procesos difíciles, las personas tienden a encontrar formas de evitar esa fricción, lo que empeora la postura de seguridad de la organización.

El aumento de la fricción también da como resultado la frustración del usuario y la tendencia a darse por vencido más rápidamente. Para un negocio en línea, por ejemplo, esto podría resultar en menos compras, reduciendo sus ingresos y ganancias.

Si bien nunca queremos comprometer la postura de seguridad de las organizaciones que defendemos, a menudo podemos mejorar la usabilidad, es decir, reducir la fricción del usuario, sin aumentar el riesgo. Aqui hay algunas sugerencias.

Reconocer buenos usuarios conocidos
No es ningún secreto que las contraseñas no proporcionan, por sí mismas, un nivel adecuado de seguridad. Ingrese la autenticación multifactor (MFA), que desafía a los usuarios a demostrar quiénes son a través de varios pasos de autenticación. A veces, la MFA es un requisito por reglamentación o política, pero también para aumentar la seguridad de la cuenta al iniciar sesión y en otros momentos importantes.

Si, por otro lado, reconocemos a un usuario, ¿por qué deberíamos molestarlo para que demuestre quién es? El reconocimiento confiable de buenos usuarios conocidos facilita el reconocimiento de usuarios desconocidos o malintencionados. Esto nos ayuda a centrarnos en aquello en lo que se supone que debemos centrarnos cuando se trata de autenticación, en lugar de reglas y políticas rígidas y draconianas que simplemente incomodan a los clientes legítimos que pagan.

Reconocer las pistas que los usuarios legítimos dejan atrás
Una forma en que podemos reconocer a los usuarios legítimos conocidos es prestando atención a las pistas que nos brindan y aprovechando las tecnologías, como la tecnología de prevención de fraude y autenticación adaptativa, que nos permiten actuar sobre esas pistas. Podemos agrupar estas pistas en tres categorías principales: los datos asociados con un dispositivo, los datos asociados con el entorno del usuario y los datos asociados con la forma en que esa persona se comporta e interactúa con nuestro sitio.

A medida que comenzamos a recopilar y analizar datos de una gran cantidad de usuarios provenientes de una variedad de dispositivos y entornos con diferentes perfiles de comportamiento, comenzamos a aprender mucho sobre los patrones de comportamiento esperados y las desviaciones de esos patrones. Cuando un usuario se comporta como esperaríamos que lo hiciera un usuario legítimo, podemos marcar para desafiarlo, brindándole así una experiencia en línea más fluida.

Reconozca las pistas que los ciberatacantes y estafadores dejan atrás
Así como los usuarios legítimos dejan pistas, también lo hacen los ciberdelincuentes. Si hemos hecho un buen trabajo aprendiendo cómo se comportan normalmente los usuarios legítimos, podemos aprovechar ese conocimiento para comprender cómo se comportan normalmente los atacantes y estafadores. Esto nos ayuda a bloquear y / o desafiar sus sesiones y transacciones y, en última instancia, ahorrar dinero al reducir las pérdidas de la organización por fraude. En otras palabras, mientras que queremos reducir la fricción para los usuarios legítimos, queremos aumentar drásticamente la fricción para los atacantes y estafadores no queremos permitirles operar dentro de nuestras aplicaciones.

Los equipos de seguridad a menudo reciben una reputación injusta como el «departamento del no». Pero parte de la gestión del riesgo a menudo significa rechazar o modificar propuestas que introducen demasiado en la organización. La implementación de un medio seguro y eficaz para reducir la fricción sin afectar negativamente la seguridad y aumentar el riesgo es la clave para aumentar la satisfacción del cliente, el resultado ultimate de la organización y la confianza en el equipo de seguridad.

Josh (Twitter: @ananalytical) es actualmente Director de Gestión de Productos en F5. Anteriormente, Josh se desempeñó como vicepresidente, director de tecnología de tecnologías emergentes en FireEye y como director de seguridad de nPulse Technologies hasta su adquisición por parte de FireEye. Antes de unirse a nPulse, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique