St.Galler Kantonalbank AG (SGKB) estaba buscando una nueva solución para asegurar y controlar mejor el acceso a las aplicaciones propias del banco mientras está en movimiento y desde el extranjero. Con Swisscom, SGKB estableció un concepto de traiga su propio dispositivo para los empleados y combinó la facilidad de uso con un alto nivel de seguridad que cumple con los estrictos requisitos bancarios, a costos más bajos y con menos esfuerzo administrativo.
Como institución financiera líder en el este de Suiza, St.Galler Kantonalbank (SGKB) ha estado ofreciendo servicios financieros integrales a clientes privados y comerciales durante más de 150 años. Emplea a un total de 1.200 personas en su sede en St. Gallen y en las 38 sucursales adicionales. De estos, unos 300 empleados del banco y unos 100 empleados externos necesitan acceder regularmente a las aplicaciones del banco fuera de la oficina. Estos incluyen trabajadores transfronterizos en Austria y Alemania, así como administradores de sistemas, algunos de los cuales necesitan acceso a aplicaciones desde el extranjero.
Seguridad a expensas de la facilidad de uso
Guido Kölliker ha sido Director de Seguridad de la Información en SGKB desde el 1 de julio de 2017 y en este cargo es responsable de la seguridad de la información del banco. Uno de los primeros desafíos como CISO fue mejorar la seguridad de la autenticación de 2 factores de acceso remoto, así como un control más fuerte del acceso regional desde el extranjero. Hasta entonces, los empleados que querían iniciar sesión mientras estaban de viaje lo hacían con un token RSA o SMS como segundo factor además de la contraseña. El token físico generaba un código de seguridad de seis dígitos que el usuario tenía que ingresar para iniciar sesión. Lo mismo ocurría con el SMS, que generaba un código de cuatro dígitos.
Sin embargo, el token RSA era impopular entre los gerentes y el personal por varias razones. Por un lado, significaba un dispositivo adicional que los empleados debían llevar consigo en todo momento para acceder a las aplicaciones. En segundo lugar, las VPN eludían fácilmente la función de geovalla basada en IP y, por lo tanto, por sí sola no proporcionaba el nivel de seguridad necesario para el acceso desde el extranjero. Por ello, como alternativa, se probó la autenticación vía SMS como segundo factor para sustituir el dispositivo adicional e incluir más los dispositivos privados de los empleados (smartphones).
"Tan pronto como un empleado olvidaba su token RSA en casa, no podía trabajar", recuerda Kölliker. "Por eso buscaba una solución que incluyera el smartphone de los empleados. Después de todo, siempre llevas contigo tu smartphone privado. A través de SMS, establecimos los dispositivos de los empleados como un segundo factor, pero este método no ofrecía el deseado nivel de seguridad, ya que se ha demostrado que se puede aprovechar en el pasado".
Se busca: seguridad, usabilidad y control
Por lo tanto, la nueva solución tenía que ofrecer un alto nivel de seguridad, facilidad de uso y mayor control sobre el acceso extranjero en igual medida. La búsqueda de la tecnología apropiada inicialmente resultó difícil. Se descartó una solución basada en una aplicación que usara ruido de fondo para la verificación porque los micrófonos requeridos en la computadora privada del usuario habrían causado costos adicionales. Las soluciones basadas en dispositivos que usaban una tarjeta inteligente como segundo factor, por ejemplo, tampoco eran adecuadas porque presentaban los mismos problemas que el token RSA e implicaban mucha administración.
Durante la búsqueda, Kölliker también conversó con Swisscom, con quien SGKB ya ha estado trabajando con éxito durante años. Por un lado, Swisscom opera la infraestructura de TIC y los lugares de trabajo de SGKB; por otro lado, los lugares de trabajo de los empleados migraron a Windows 10 en ese momento y actualmente están renovando la infraestructura con computadoras de escritorio, portátiles y thin clients. Durante algún tiempo, se discutió sobre la posibilidad de implementar una autenticación fuerte de 2 factores junto con la renovación de los lugares de trabajo. Sin embargo, debido a las dependencias de programación, esto se pospuso para una fecha posterior.
Con Mobile ID, Swisscom ofrecía una solución que cumplía con todos los requisitos de SGKB. Permite el control interno del acceso remoto al permitir que los propios empleados del banco concedan y revoquen temporalmente autorizaciones de acceso de diferentes países a través de listas blancas/negras. Otro avance significativo es que la verificación no se basa en IP, sino que se realiza a través de la red móvil. "Tratar de falsificar una ubicación diferente aquí requeriría un alto grado de energía criminal, ya que la ubicación se determina sobre la base de la torre de radio y el proveedor del país respectivo. Esto es mucho más difícil de eludir", dice Guido Kölliker con satisfacción.
Además, Mobile ID funciona independientemente del dispositivo terminal y se puede usar en los teléfonos inteligentes de los empleados sin una aplicación adicional, lo que reduce considerablemente los costos y el esfuerzo de administración. Al iniciar sesión, el usuario ingresa sus datos, luego recibe una notificación en el teléfono inteligente (independientemente de si está encendido o apagado) y confirma el inicio de sesión a través de Mobile ID con un PIN de seis dígitos, que se establece individualmente por adelantado y se puede cambiar en cualquier momento.
Adaptación a los requisitos individuales
El cambio a Mobile ID comenzó en septiembre de 2018 y transcurrió sin problemas, aunque aún surgieron algunos obstáculos durante el proceso de implementación.
"Los requisitos para la solución eran únicos en el sentido de que SGKB quería ejecutar la administración de geofencing por sí mismo, pero la infraestructura se ejecutaba en la plataforma Citrix de Swisscom. No habíamos tenido una situación como esta en el pasado", comenta Swisscom. "Teníamos que asegurarnos de que Mobile ID fuera compatible con el entorno de Citrix y que los cambios de Active Directory se adoptaran sin problemas en el backend de Mobile ID. Tuvimos que incorporar estos cambios sobre la marcha, pero logramos hacerlo muy bien dentro del programa. Al final, el proyecto se completó según lo planeado.
Como parte del cambio, los 300 empleados y 100 externos que necesitan acceder a la aplicación bancaria mientras están de viaje recibieron tarjetas SIM nuevas y habilitadas para Mobile ID para sus dispositivos privados, que se vincularon a su cuenta de usuario en el banco. Aquellos que aún no eran clientes de Swisscom o de los proveedores asociados de Mobile ID recibieron una tarjeta SIM adicional para iniciar sesión.
Desde abril de 2019, los empleados ahora usan exclusivamente Mobile ID como un segundo factor para iniciar sesión mientras están en movimiento. Guido Kölliker expresa su satisfacción por el cambio: "Fue especialmente importante para mí que el control del acceso extranjero esté en nuestras manos y que los empleados también sigan el camino, de lo contrario no hubiera funcionado. Por eso estoy muy contento de que encontramos una solución que fue muy bien recibida por el personal y que al mismo tiempo ofrece la seguridad necesaria en el entorno bancario."
Solo el primer paso
Después de la exitosa introducción de Mobile ID para empleados remotos, a Guido Kölliker le gustaría introducir esta forma de autenticación de 2 factores en todos los ámbitos para todos los empleados en la oficina a fines de 2019 para fortalecer la seguridad general en el banco. También recibe apoyo interno del departamento de recursos humanos, que también quiere integrar más los teléfonos inteligentes privados en la vida laboral cotidiana para registrar mejor las horas de trabajo, por ejemplo. Por lo tanto, extrae una conclusión intermedia totalmente positiva:
"Con Mobile ID, hemos podido demostrar que los conceptos de traiga su propio dispositivo también pueden funcionar muy bien en el entorno bancario sin comprometer la seguridad. Además, hemos sentado una base importante para un mayor progreso digital y, en el futuro , podremos procesar convenientemente firmas electrónicas calificadas o declaraciones de intenciones a través del teléfono inteligente, lo que a su vez será más conveniente para los clientes.