White paper

Cmo determinar fehacientemente el costo total de propiedad de la autenticacin de dos factores

Que se debe tener en cuenta cuando se implementa la autenticacin de dos factores, ms all del costo del dispositivo del usuario?
Desde siempre, las organizaciones han exigido que las personas corroboren su identidad antes de otorgarles acceso a elementos o ubicaciones de importancia. En los casos en que un oficial de aduana le solicita a una persona mostrar el pasaporte, un empleado bancario le pide a un Cliente que acredite su identidad antes de llevar a cabo una operacin de extraccin o una empresa le exige a sus empleados mostrar una credencial con foto para ingresar en el edificio, el objetivo es siempre el mismo: evitar instancias de acceso no autorizado. Generalmente, el tipo de identificacin requerido es, en gran medida, proporcional al valor del recurso que se desea proteger. La modalidad actual de esta prctica les exige a las empresas autenticar la identidad de los empleados, partners de negocio y clientes antes de concederles acceso a recursos y datos de valor de la empresa. Una organizacin puede verificar la identidad de usuarios remotos de diversas maneras, y cada una de ellas proporciona distintos grados de seguridad, costos y conveniencias para usuarios finales. La autenticacin de dos factores, que exige a un usuario remoto la presentacin de informacin que conoce y de un elemento que posee, por ejemplo, un token, una smart card o una imagen biomtrica, es uno de los mtodos ms comunes que utilizan las organizaciones para verificar la identidad. Este white paper presenta los factores que conforman el costo total de propiedad de una solucin de autenticacin de dos factores y ofrece un marco de trabajo para que las organizaciones comparen los costos de ofertas similares.

Los elementos del costo

El verdadero costo de una solucin de autenticacin de dos factores est conformado por varios elementos. En primer lugar, estn los elementos asociados con el costo de adquisicin del producto. Todas las soluciones de autenticacin de dos factores estn conformadas por dos componentes de producto principales: Dispositivo de usuario final: este dispositivo se relaciona con el factor elemento en posesin del usuario que se vincula exclusivamente con el individuo. Se puede tratar de un token que genera contraseas aleatorias de un solo uso, una smart card, un lector de huellas dactilares, un telfono mvil, un equipo personal o cualquier otro dispositivo estrechamente relacionado con el usuario. Servidor de autenticacin: el servidor de autenticacin es el componente que recibe la informacin proporcionada por el usuario final y determina si es correcta. Asimismo, le indica al sistema si debe conceder o denegar el acceso, y proporciona la interfaz administrativa. En segundo lugar, las organizaciones deben considerar las tarifas anuales de mantenimiento, que suelen incluir servicio de soporte telefnico para el Cliente y actualizaciones continuas de software. En tercer lugar, los costos de implementacin se deben analizar con sumo cuidado y pueden variar considerablemente segn el ambiente en el que funcione la solucin. Por ejemplo, las organizaciones deben tener en cuenta si se requiere trabajo de integracin de prestacin de servicios profesionales o productos adicionales de otros fabricantes para completar la solucin. Por ltimo, se deben considerar los costos de administracin continua para determinar el costo total de propiedad. Entre ellos, se incluyen los costos de administrador y de implementacin, y los gastos anticipados de servicio al usuario.

Existen muchos factores que se deben tener en cuenta cuando se calcula el costo total de propiedad de una solucin de autenticacin de dos factores, ms all del costo del dispositivo de usuario final.
1 White paper de RSA

Comparacin de costos de adquisicin

Dispositivos de usuario final En el momento de comparar los costos de los dispositivos de los usuarios finales, las organizaciones deben tener en cuenta todos los gastos asociados con la adquisicin de la solucin, incluidos el costo del dispositivo y de cualquier software o equipo especial que se necesite. Por ejemplo, si usted est considerando la posibilidad de implementar una solucin mediante smart cards, tambin debe tener en cuenta los gastos asociados con su adquisicin y con la distribucin de lectores de smart cards y software cliente o middleware para equipar a sus usuarios. De ms est decir que si todos los usuarios interesados ya cuentan con sistemas con lectores incorporados, se deben pasar por alto dichos costos para concentrarse exclusivamente en los gastos asociados con la adquisicin de las tarjetas y cualquier software cliente que sea necesario. La duracin del ciclo de vida de ciertos dispositivos de los usuarios finales puede variar, lo cual puede afectar su costo. Por ejemplo, una solucin de tokens con una vida til ms extensa puede tener un costo inicial ms elevado, pero su costo anual ser inferior al de una solucin cuya vida til es ms breve. Por tal motivo, es importante determinar el costo total de propiedad (TCO) a largo plazo y seleccionar el token que mejor se adapte a sus plazos. Evite una comparacin que abarque cinco aos y se base en dispositivos cuya duracin sea de tres aos, ya que esto generar la adquisicin innecesaria de tokens en el cuarto ao y provocar un marcado desequilibrio en los resultados. Ahora bien, por qu un dispositivo de usuario final tiene una duracin predeterminada? La respuesta es sencilla. Muchas organizaciones optan por implementar dispositivos de autenticacin con distintas fechas de vencimiento para no verse

obligadas a reemplazar todos los dispositivos de manera simultnea. En funcin de los comentarios de los clientes, RSA descubri que los clientes prefieren poder predecir y planificar la vida til de un dispositivo ante la posibilidad de que deje de funcionar de manera imprevista cuando se termine la batera. La calidad del dispositivo y la poltica de garanta que ofrece el proveedor son otros factores que se deben tener en cuenta cuando se evalan los costos de un dispositivo. Un dispositivo de calidad inferior fallar con ms frecuencia y los costos asociados con el reemplazo del dispositivo pueden contrarrestar rpidamente el ahorro inicial de costos. Eventualmente, la disminucin de la productividad de los empleados, los costos del help desk y los gastos de reimplementacin y de adquisicin de nuevos dispositivos aumentarn el costo total de propiedad de manera significativa. En ciertas ocasiones, los proveedores utilizan el bajo costo de un dispositivo de usuario final como herramienta de marketing para lograr nuevos negocios. Sin embargo, como se mencion anteriormente, el dispositivo de usuario final es solo un componente de la solucin general y no debe usarse como fundamento nico para tomar una decisin al respecto. De hecho, es posible que algunas de las soluciones que tenga pensado implementar no requieran ningn dispositivo de usuario final. En tal caso, es posible que no haya costos de adquisicin de dispositivos de usuario final. Sugerencia: El precio de los dispositivos de usuario final suele depender de la cantidad de unidades adquiridas. Para obtener mejores resultados, es conveniente conocer los descuentos por volumen y definir las cantidades en funcin de ello. Una tctica comn de los proveedores de la competencia es utilizar los precios por cantidad a su conveniencia cuando comparan los precios de los dispositivos. Figura 1. Un ejemplo del costo relativo de adquisicin frente al costo anual de adquisicin de dispositivos con vida til de distinta duracin.

Costo relativo de adquisicin

Costo de adquisicin Costo anual

Token de 2 aos

Token de 3 aos

Token de 4 aos

Token de 5 aos

White paper de RSA

Servidor de autenticacin Dado que son muchas las diferencias funcionales entre las ofertas de los proveedores, el servidor de autenticacin es un componente de la solucin que se debe considerar detenidamente. Adems de ejecutar las funciones de autenticacin bsicas del usuario, el servidor de autenticacin debe proporcionar una consola de administracin para ejecutar funciones bsicas, como agregar o eliminar usuarios y asignar o reasignar dispositivos. Tambin debe ofrecer servicios de backup y/o replicacin a fin de garantizar disponibilidad continua. Adems, gracias a que cuenta con una funcin de autoservicio, los usuarios finales pueden ejecutar funciones bsicas como restablecer un PIN o solicitar una contrasea de emergencia. Algunos proveedores han optado por separar las funciones incluidas en los paquetes y ofrecerlas como complementos que se comercializan por separado. Por ejemplo, es bastante comn que un proveedor venda el servidor de backup como una opcin separada y cobre un 50% ms o que ofrezca una funcin de autoservicio a un costo adicional significativo. Otra alternativa es que los proveedores fijen el precio de sus servidores de autenticacin limitando las funcionalidades que ofrecen. A fin de evitar sorpresas desagradables, es importante que compare las funciones y las capacidades que ofrece el servidor de autenticacin.

Dado que son muchas las diferencias funcionales entre las ofertas de los proveedores, el servidor de autenticacin es un componente de la solucin que se debe considerar detenidamente.
Es posible que haya que considerar otros costos ocultos. Por ejemplo, es posible que el servidor de autenticacin requiera adquisiciones adicionales, como una base de datos y un servidor RADIUS. Estos costos tambin se deben tener en cuenta cuando se considera el costo total del servidor de autenticacin. En la figura 2, se muestra que los precios de las ofertas bsicas de los tres proveedores son comparables. Sin embargo, el proveedor A ofrece un producto con mayor cantidad de funciones y las incluye en su producto bsico, mientras que los costos de los proveedores B y C aumentan considerablemente cuando se incluyen funciones relevantes en el costo total. Sugerencia: Los servidores de autenticacin se suelen vender por usuario, y cuando la cantidad de usuarios aumenta, el precio por usuario disminuye. Al igual que con los dispositivos de autenticacin, es importante conocer los descuentos en los precios de cada proveedor para poder realizar una comparacin precisa del TCO. Mantenimiento anual

Licencia bsica Licencia bsica y operaciones de backup Licencia bsica, operaciones de backup y autoservicio

US$40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 Proveedor A Proveedor B Proveedor C

Figura 2. Comparacin de los costos de autenticacin de tres reconocidos proveedores de autenticacin de dos factores con respecto a una licencia bsica de 250 usuarios. Se han incorporado tanto los servicios de backup como la funcionalidad de autoservicio del usuario final.

Por lo general, los costos de mantenimiento anual se calculan como un porcentaje del precio del servidor de autenticacin y varan segn el proveedor. En la figura 3, se muestra que, por costos de mantenimiento anual, el proveedor A cobra un 21%; el proveedor B, un 20%; y el proveedor C, un 25%. Si se tienen en cuenta las diferencias de precio de servidor originales, las tarifas anuales del proveedor A sern considerablemente menores. Esto resulta de suma importancia, ya que el mantenimiento solamente igualar o superar el costo original del software en un lapso de cuatro a cinco aos y representar un elemento significativo del TCO.

White paper de RSA

Sugerencia: Cuando compare ofertas de mantenimiento, asegrese de considerar las horas de servicio de soporte tcnico, los servicios en lnea y las polticas relacionadas con nuevas versiones de software. Es posible que algunos proveedores brinden todas las nuevas versiones de software a sus clientes segn lo estipulado en el acuerdo de mantenimiento, mientras que otros pueden cobrar una tarifa de actualizacin considerable para acceder a las principales nuevas versiones. Implementacin El costo que representa la implementacin de un servicio de autenticacin puede variar en gran medida segn el proveedor y puede dividirse en dos categoras principales: implementacin de usuario final e integracin de sistemas. La implementacin incluye los costos de asignacin y entrega de dispositivos, y de capacitacin de usuarios. Los costos de implementacin deben ser similares cuando se comparan soluciones y solo deben variar cuando las soluciones requieren esfuerzos muy diferentes. Por ejemplo, si es necesario actualizar los sistemas de los usuarios finales con lectores de tarjetas, se deben anticipar los costos de servicio de soporte tcnico. Los costos de capacitacin de usuarios finales tambin deberan presentar similitudes. Sin embargo, es posible que algunos proveedores proporcionen recursos y herramientas de capacitacin en lnea que pueden ayudar a reducir estos costos.
Licencia bsica Licencia bsica y operaciones de backup Licencia bsica, operaciones de backup y autoservicio

Sugerencia: Para posicionarse mejor, es posible que algunos proveedores presenten una comparacin del TCO que se base en un perodo de cinco aos y destaque que, en el cuarto ao, se repiten los costos de implementacin y adquisicin de los dispositivos en los productos proporcionados por la competencia. Esta es una accin innecesariamente redundante ya que si la duracin del dispositivo es de cinco aos no ser necesario reemplazarlo ni reimplementarlo durante el perodo de evaluacin del TCO. Los costos de integracin del sistema son los costos asociados con la preparacin de la solucin para que funcione en un ambiente en particular. Algunas soluciones pueden requerir tareas de personalizacin, mientras que otras estn diseas para implementarse inmediatamente. Una contratacin de servicios profesionales suele costar entre US$2,000 y US$2,500 por da. Las tareas de personalizacin pueden abarcar la implementacin de cambios en el esquema de la base de datos o el desarrollo de agentes para proteger recursos especficos. Es importante tener en cuenta si la solucin es compatible con otros productos de otros fabricantes y con el volumen de tareas de servicios profesionales que se requieren para que la solucin funcione. Si un proveedor le ofrece una prueba certificada y documentada de interoperabilidad con varios productos de otros fabricantes que quiz ya estn implementados en su ambiente, se reducir o se eliminar la necesidad de servicios profesionales complementarios. Un factor importante en el clculo del TCO es contar con un presupuesto de los servicios profesionales de cada proveedor que se tenga en cuenta.

US$80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 Proveedor A Proveedor B Proveedor C

Figura 3. Comparacin del costo total de servidores de autenticacin durante un perodo de cinco aos cuando se tienen en cuenta los costos de mantenimiento.

White paper de RSA

Administracin continua Surgen costos de administracin diarios relacionados con el funcionamiento de todos los servicios de autenticacin. En casi todos los casos, se asigna un administrador para manejar las tareas de asignacin de usuarios y dispositivos y para dar respuestas a los problemas de soporte de los usuarios finales, por ejemplo, el olvido de un PIN o problemas de sincronizacin de servidores. En gran medida, algunas de estas tareas de administracin continua se minimizan mediante el ofrecimiento de capacidades de autoservicio a los usuarios. Si una solucin no incluye funcionalidad de autoservicio, se deben tener en cuenta los costos administrativos, ya que el personal de TI deber resolver problemas que, de lo contrario, se solucionaran sin su intervencin. Otro gasto de administracin que se debe considerar es la necesidad ocasional de reemplazar un dispositivo de autenticacin daado o extraviado. Para mayor seguridad, lo ms recomendable es suponer que todas las soluciones de autenticacin que funcionan con dispositivos de usuarios finales tendrn tasas de prdidas similares; entonces, se debe calcular el costo que tendr reemplazar y volver a implementar esas unidades. Se deben incluir tanto el costo del dispositivo como los gastos de distribucin. En cuanto a los dispositivos daados, es importante prestar especial atencin a la calidad y la garanta que ofrece cada proveedor. Los productos que fallan con frecuencia, finalmente, tienen un costo considerablemente mayor. Algunos proveedores ofrecen garanta de por vida, mientras que otros pueden cobrar determinadas tarifas por extender el plazo de los servicios.

Las soluciones que no funcionan con dispositivos de autenticacin de usuarios finales suelen generar gastos transaccionales que deben calcularse en el costo total de propiedad. Por ejemplo, si una solucin enva contraseas de un solo uso al telfono mvil del usuario, se debe considerar el costo del servicio de envo de mensajes. Para ello, ser necesario calcular la cantidad de transacciones y las tarifas por transaccin del servicio de envo. Sugerencia: Solicite a su proveedor mtricas de prueba y tasas de fallas de dispositivos. Los dispositivos de buena calidad aumentan la satisfaccin de los usuarios finales y reducen los costos de administracin y distribucin.

Ejemplo de TCO
La figura 4 muestra un ejemplo de una comparacin del TCO que incluye 250 usuarios y se extiende durante cinco aos para los proveedores A, B y C (todos proveedores tradicionales de autenticacin de dos factores). En este ejemplo, para analizar todos los costos mencionados anteriormente, nos basaremos en los siguientes supuestos: Un administrador debe ser capaz de manejar una instalacin de 1,000 usuarios en el caso de un sistema que cuenta con una funcin de autoservicio para usuarios finales que limita las llamadas al help desk. Para este ejercicio, asignaremos la cuarta parte del costo anual de US$60,000 de un administrador de tiempo completo. Se calcular que los dispositivos irrecuperables, robados o extraviados representan un 5% anual de la cantidad total de dispositivos. El costo de implementacin ser de US$20 por dispositivo. La contratacin de servicios profesionales promedio ser de cinco das a un costo promedio de US$2,000 diarios.

Si una solucin no incluye funcionalidad de autoservicio, se deben tener en cuenta los costos administrativos, ya que el personal de TI deber resolver problemas que, de lo contrario, se solucionaran sin su intervencin.

White paper de RSA

TCO en un perodo de cinco aos

Proveedor A
Dispositivos de autenticacin Servidor de autenticacin con operaciones de backup y autoservicio Mantenimiento y soporte (cinco aos) Costos de implementacin Servicios profesionales Administrador (cinco aos) Costos de reemplazo de dispositivos perdidos (cinco aos) Reimplementacin de dispositivos perdidos TCO total en un perodo de cinco aos US$21,500 US$16,500 US$17,325 US$5,000 US$0 US$75,000 US$5,375 US$1,250 US$141,950

Proveedor B
US$5,287 US$21,500 US$26,875 US$5,000 US$10,000 US$75,000 US$1,321 US$1,250 US$146,233

Proveedor C
US$1,250 US$39,500 US$39,500 US$5,000 US$10,000 US$75,000 US$312 US$1,250 US$171,812

Figura 4. Este ejemplo muestra que el proveedor A ofrece el costo total de propiedad ms bajo en un perodo de cinco aos, a pesar de que el precio de los dispositivos de usuario final sea claramente el ms elevado de los tres proveedores.

Conclusin
Existen muchos factores que se deben tener en cuenta cuando se calcula el costo total de propiedad de una solucin de autenticacin de dos factores, ms all del costo del dispositivo de usuario final. Algunos proveedores intentan posicionarse como una alternativa de bajo costo enfocando su estrategia competitiva en el costo del dispositivo. Sin embargo, hay otros costos que deben considerarse si se desea determinar fehacientemente el costo total de propiedad de una solucin de autenticacin de dos factores, como software y hardware adicionales, mantenimiento continuo, servicios profesionales y diversos costos administrativos.

White paper de RSA

Hoja de trabajo del TCO de la autenticacin de dos factores

RSA
Dispositivos de autenticacin
1

Proveedor B

Proveedor C

Tarifas de la extensin de la garanta de los dispositivos2 Costos de implementacin inicial3 Costos de reemplazo de dispositivos perdidos4 Dispositivos daados (costos de reemplazo)5 Servidor de autenticacin Servidor de backup de autenticacin Mdulo de autoservicio del usuario Mantenimiento del servidor de autenticacin6 Servidor RADIUS Mantenimiento del servidor RADIUS Servidor de bases de datos Mantenimiento de bases de datos7 Tarifas de servicios profesionales8 Administracin/gestin9 Costos de help desk10
7

Incluidas

Incluidos

Incluido Incluido

Incluido Incluido Incluido Incluido

Total

Notas de la hoja de trabajo

1 2 3

Costo inicial de adquisicin de dispositivos. Tarifas para extender la garanta de los dispositivos a fin de que cubra el perodo de anlisis. Costo estimado de la implementacin inicial de dispositivos. (Costo sugerido de US$20 por usuario). 4 Costo de reemplazo y reimplementacin de dispositivos perdidos por el usuario final. (Costos de los dispositivos e implementacin). 5 Costo de reemplazo y reimplementacin de dispositivos daados o que dejaron de funcionar. (Si estn cubiertos por la garanta del proveedor, los dispositivos no tendrn costo. Los costos de reimplementacin si deben aplicarse). 6 Las tarifas de mantenimiento anual del servidor primario, el servidor de backup y el mdulo de de autoservicio del usuario multiplicadas por el plazo de anlisis del TCO. 7 Calcule las tarifas de mantenimiento anual de productos de otros fabricantes y multiplquelas por la cantidad de aos para la comparacin del TCO. 8 Cotizacin del proveedor por instalacin, integracin, desarrollo de informes personalizados, implementacin y realizacin de pruebas. 9 Costo anual estimado del personal de administracin requerido multiplicado por el plazo de anlisis del TCO. 10 Costo anual estimado del personal de help desk requerido multiplicado por el plazo de anlisis del TCO. (Sin la funcionalidad de autoservicio del usuario, los costos sern mayores).

RSA y RSA Security son marcas registradas o marcas comerciales de RSA Security Inc. en los Estados Unidos y en otros pases. EMC es una marca registrada de EMC Corporation. Todos los otros productos o servicios mencionados son marcas comerciales de sus respectivos dueos. 2010 RSA Security Inc. Todos los derechos reservados.

2FTCO WP 0110

White paper de RSA