La identificació i la autenticació, essencials per teletreballar amb total seguretat
Per Alberto Guidotti, CEO Euronovate Group
En plena crisi del Covid-19, el teletreball ha esdevingut una solució d’emergència per a moltes empreses que s’han vist obligades a enviar als seus treballadors a casa. Ho han fet davant el risc de contagi que comporta aquesta alerta sanitària i també per la mateixa viabilitat de molts negocis i la identificació i l’autenticació digital són critiques.
En aquest escenari de teletreball imperfecte on les empreses es plantegen mantenir la productivitat empresarial als mateixos nivells que si estiguessin treballant des de les seves oficines, existeix un element clau: la ciberseguretat. Si els ciberdelinqüents sovint no tenen problemes per a assaltar grans empreses i institucions, ara quan molts professionals treballen des de la seva casa amb xarxes i connexions domèstiques, el risc és molt més gran. Repassem com podem aconseguir un entorn més segur.
Per a comprendre la dimensió, hem d’entendre primer de tot que, en el món digital actual, estem contínuament realitzant transaccions digitals amb empreses i organitzacions de tot el món. Cada transacció deixa un rastre digital que permet a l’empresa (en cas de litigi) demostrar que vostè, com a usuari, ha acceptat explícitament la transacció. En aquest punt, és on apareix la firma electrònica, que la llei accepta com un contracte vinculant, el que significa que un usuari no pot negar (retractar) haver realitzat la transacció. Això es garanteix mitjançant la combinació d’autenticació i integritat:
Una firma electrònica que, com hem explicat és acceptada per la llei com un contracte vinculant, assegura el no repudi. Això significa que un usuari no pot negar (repudiar) haver realitzat la transacció. Això es garanteix mitjançant una combinació d’autenticació i integritat, que a grans trets ve a ser:
- Autenticació: l’autenticació assegura que la transacció es realitza per un usuari conegut, és a dir, la plataforma ha autenticat a l’usuari que realitza la transacció.
- Integritat: la integritat garanteix que el missatge (és a dir, el contingut que es signa) no es va modificar durant el seu trànsit.
Per a tots dos aspectes existeixen diversos mètodes, cadascun dels quals estableix un compromís diferent entre la usabilitat i el risc operatiu.
L’autenticació només intenta garantir que la persona que signa la transacció sigui la mateixa que la persona que va registrar a l’usuari. Si la identitat no es va verificar durant el procés de registre, no hi ha garantia sobre la identitat de l’usuari. En general, una autenticació d’1 factor no és suficient per a autenticar de manera adequada i segura en algú. Encara que a vegades, s’apliquen 2 o múltiples factors en funció del risc. En total existeixen 5 factors d’autenticació, vegem quins són:
- El que només saps tu: Informació pròpia que l’usuari ha de proporcionar generalment a la plataforma en el moment del registre de l’usuari. El més comú és el típic nom d’usuari / contrasenya.
- El que tu tens: El segon factor, es basa en la tinença d’un objecte personal. Per exemple, rebre un codi per SMS en el telèfon de l’usuari o accedir a un edifici a través d’una targeta intel·ligent personal, o l’autenticació d’adreces en el seu PC.
- El que tu ets: Normalment es tracta d’una característica biomètrica (per exemple, empremta digital, iris, veu, cara…) que permet autenticar a l’usuari.
- Allà on ets: La ubicació de l’usuari (per exemple, adreça IP o coordenada GPS). Com la ubicació de l’usuari no sol ser molt distintiva, normalment no s’utilitza com un únic mètode d’autenticació, sinó en combinació amb un altre mètode d’autenticació.
- El que tu fas: autenticar a un usuari a través del comportament del seu usuari (per exemple, la forma en què una persona sosté el seu telèfon, el gest de pulsació de tecla, els moviments del mouse…).
Tot i això, hem de tenir clar que, un cop autenticats, cal verificar la identitat de l’usuari, ja que un usuari autenticat no és un usuari identificat. Un exemple senzill és el de les xarxes socials, que permeten que algú creï un compte amb un nom diferent, sense cap problema. Per a garantir també la identitat de l’usuari, es necessita identificació. Això també es pot aconseguir de diferents maneres, amb diferents nivells de seguretat:
- Carregar una còpia del carnet d’identificació o passaport de l’usuari.
- Carregar una o més còpies de factures d’empreses de serveis públics o altres documents que continguin una identitat verificada.
- Un vídeo en temps real en el qual l’usuari sosté la seva targeta d’identificació al costat de la seva cara (sovint combinada amb la sol·licitud de parpellejar per a evitar falsificacions).
- Ús d’un proveïdor d’identitat digital (per exemple, a Bèlgica, l’ús del eID o Itsme).
- Generar un enllaç amb una altra companyia que ja hagi verificat la identitat de l’usuari. Per exemple, els bancs tenen una identitat digital verificada dels seus clients, ja que es veuen obligats a fer una verificació KYC (Know Your Customer) en el procés d’incorporació.
- No obstant això, donat el caràcter extraordinari de la situació. Durant la vigència de l’estat d’alarma, decretat pel Reial decret 11/2020, de 31 de març, l’organisme supervisor acceptarà aquells mètodes d’identificació per videoconferència basats en els procediments autoritzats pel Servei Executiu de la Comissió de Prevenció del Blanqueig de Capitals i Infraccions Monetàries o reconeguts per a l’expedició de certificats qualificats per un altre Estat membre de la Unió Europea.
En la pràctica i per comoditat, molts sistemes requereixen una identificació en la incorporació, però després només requereixen autenticació. Això significa que si els tokens d’autenticació són robats o piratejats o si algú comparteix les seves credencials, no hi ha garantia d’identitat. Això podria resoldre’s fent complir que cada transacció se signi amb una autenticació biomètrica, però no sempre seria apreciada per molts usuaris.
Presentats ara aquests elements, autenticació i identificació et fem una pregunta, Quants d’ells compleixes a l’hora de realitzar el teu teletreball? I en la teva empresa s’han fixat tots aquests protocols quan accediu a informació rellevant de la vostra companyia?
Vivim en plena situació d’emergència, no obstant això la digitalització ens permet intentar minimitzar l’impacte d’aquesta pandèmia en la nostra activitat empresarial, comptar amb un partner tecnològic que ofereixi una solució a aquest escenari, es tradueix en un avantatge competitiu en aquests dies d’incertesa. La Identificació per videoconferència amb la tecnologia Onboarding de tapID i l’expedició del Certificat Qualificat de la CA vinCAsig, cobreixen tots els requeriments necessaris. Euronovate Group és actualment l’únic proveïdor que pot donar resposta a aquesta casuística.
¿Necessita que la seva empresa treballar de forma remota i segura i vols saber més?
Si vols saber més sobre els avantatges que ofereix la identificació i l’autenticació digital, o sol·licitar una demostració per comprovar tu mateix, pots contactar-nos. Estarem encantats d’atendre’l i resoldre tots els dubtes.