Gestión de identidades, seguridad y cumplimiento normativo en la era de los enfoques Zero Trust

Complejidad, incremento de los ataques, falta de concienciación  y escasez de recursos. Los responsables de ciberseguridad de las organizaciones se encuentran con una realidad cada día más compleja de gestionar.

La infraestructura tecnológica es muy heterogénea, conviviendo tecnologías de nube con infraestructura en distintos proveedores, con aplicaciones SaaS y los sistemas legacy o que se mantienen en on premises por distintas razones. Así, los CISOs están enfocando su estrategia hacía planteamientos Zero Trust o de mínimo privilegio en los que la identidad y la gestión y ciclo de vida de las identidades son la piedra angular para proteger la información y asegurar la continuidad y resiliencia del negocio.

Además, los responsables de seguridad son hoy los garantes del cumplimiento de normativas como ENS, DORA o NIS2, que afectan a numerosos sectores e industrias, y para los que es tan importante poner en práctica las medidas adecuadas como contar con las herramientas de auditoría que demuestren de manera efectiva este cumplimiento normativo.

Gestionar accesos e identidades

Por ello, las organizaciones necesitan optimizar y automatizar sus procesos de gobernanza y gestión de identidades, incluyendo las identidades de usuario, el control de privilegios y las políticas y configuración de seguridad en toda la empresa.

Una larga lista de retos que fue objeto de análisis y reflexión en el encuentro organizado por Silicon España y One Identity y al que acudían Miguel Ángel González, Global CIO & CISO de Grupo ImesAPI; César Santa María, Iberia Information Security Manager de GLS Spain; Raúl Moreno, responsable de IT y Seguridad en Fertiberia; Ildefonso Vera, director de Innovación, Procesos y Transformación Digital de ISDEFE; Jonás Delgado, Intelligent Cloud Team Leader de Galp; Luis Ricardo Ramírez, responsable de Gestión de Identidades de El Corte Inglés; y Sergio Tagua, experto en Tecnologías de Eficiencia Operativa y Servicios Digitales.

Y era precisamente la propuesta de One Identity de “unificar, verificar y adaptar” bajo la que arrancaba el encuentro, conducido por Daniel de Blas, responsable de Branded Content de NetMedia.

“Mejorar su situación de seguridad cibernética comienza con la seguridad de la identidad” afirma One Identity y así lo explicó Guillermo Martín Soto, Sales Excutive de la firma: “Ofrecemos soluciones para el gobierno, gestión y protección de las identidades. Es decir, ayudamos a las empresas a asegurar que las personas correctas tienen el acceso a las aplicaciones, procesos y herramientas correctas, aquellas que necesitan para hacer su trabajo”.

Una oferta que, además, dijo “es la única del mercado que cubre todas las áreas relacionadas con la identidad: gestión de accesos PAM; gestión de identidades y accesos, o IAM; directorios activos, etc. Una oferta especializada y modular”.

Soluciones que, explicaba Daniel Gaspar, Sales Account Manager de One Identity, están disponibles tanto en on premise como en la nube. Nos adaptamos al modelo que mejor responda a las necesidades del cliente y por eso, como hay empresas que funcionan con CAPEX y otras con OPEX, damos todas las opciones”.

Precisamente en el camino hacia la nube se encuentra El Corte Inglés, según exponía Luis Ricardo Ramírez, responsable de Gestión de Identidades de la compañía. “Actualmente estamos en un modelo de hibridación en ese paso al cloud y, sobre todo, en un proceso de consolidar, homogeneizar y centralizar todo en el área corporativa”.

Y es que el grupo está formado por numerosos y diversos negocios, cada uno con su propia estrategia de ciberseguridad y su propio CISO. Por eso, la prioridad, añadía es saber qué está sucediendo en todo momento, en cada uno de esos negocios. “Mi temor son las cajas negras, no saber algo porque no puedes controlar lo que desconoces”, apuntó Luis Ricardo Ramírez y añadía que “hay que asegurar una buena experiencia de usuario pero en materia de ciberseguridad también hay que ser firme y hacerles ver a los empleados los riesgos a los que podrían exponer a toda la empresa. Concienciar es básico”.

Cumplir con la normativa

Esa concienciación es también clave en opinión de Ildefonso Vera, director de Innovación, Procesos y Transformación Digital de ISDEFE. En plena implantación del Esquema Nacional de Seguridad (ENS), “la ciberseguridad está en nuestro ADN”, aseguraba.

Para Ildefonso Vera “la gestión de identidades es crítica pero también que todos nuestros proveedores cumplan la normativa en materia de seguridad y estén certificados”. Según compartió con el resto de asistentes, ISDEFE “está actualmente implantando modelos de gobierno de identidades para saber quién accede a qué en todo momento, con un modelo de mínimos privilegios”.

Y añadía que su preocupación es “tener un incidente de ciberseguridad pero sobre todo cómo vamos a reaccionar cuando se produzca ese incidente”.

Tal vez ese temor ha llevado a Jonás Delgado, Intelligent Cloud Team Leader de Galp a no concebir ningún proceso ni desarrollo que no tenga la ciberseguridad como un elemento más desde el inicio. “En mi experiencia si algo he aprendido es que no se puede considerar la ciberseguridad como algo aparte. De hecho, la resistencia al cambio la mayoría de las veces se produce porque es algo aparte cuando lo que debería es considerarse como un proceso natural, fluido”.

Para Jonás Delgado además “el foco de la ciberseguridad debe ponerse en la identidad” y reconocía también ese miedo a “perder el conocimiento de lo que está sucediendo porque si pierdes del conocimiento pierdes el control”.

Visibilidad y control

Saber quién accede a qué también es el reto de GLS, según César Santa María, Iberia Information Security Manager de la compañía. Una labor complicada si se tiene en cuenta que GLS tiene 600 agencias independientes con sus propios repartidores y empleados. “El repartidor no es un trabajador de GLS pero yo necesito de algún modo saber a qué información accede, en qué momento, para qué, etc. y no es fácil”.

Por ello una de las mayores preocupaciones de César Santa María es “la falta de identificación. Sé que hay datos que están donde no deberían y/o a los que acceden personas que no deberían hacerlo”.

Así, su desafío es contar con una estrategia de gobierno del dato y, respecto al usuario, explicó el portavoz de GLS, “hay que darle las herramientas necesarias, concienciarlo y formarlo en ciberseguridad pero no podemos hacerle el último responsable de un incidente. Ese no es su trabajo”.

Los participantes al evento señalaron también que, aunque la dirección cada vez está más concienciada en materia de ciberseguridad, la falta de recursos humanos y económicos sigue siendo un obstáculo a salvar.

Así, por ejemplo, lo exponía Sergio Tagua, experto en Tecnologías de Eficiencia Operativa y Servicios Digitales que señalaba cómo, en su experiencia profesional, “sigue siendo difícil que los CEOs te den el presupuesto económico que necesitas para desplegar una estrategia de ciberseguridad sólida”.

También apuntó cómo muchas veces es el propio responsable de Ciberseguridad el que “limita” algunos desarrollos y nuevos proyectos. “Yo entiendo perfectamente que hay una normativa y una regulación que cumplir pero tenemos que seguir innovando. Hay que encontrar el equilibrio”.

Gran conocedor de tecnologías de robótica y automatización, Sergio Tagua apuntaba además cómo “esos robots que comienzan a operar en las compañías también tienen una identidad y hay que poder gestionarla”.

Aspecto en el que Guillermo Martín Soto, Sales Excutive de One Identity señaló como “precisamente los robots están convirtiéndose en un claro objetivo de los ciberataques”.

OT, el nuevo entorno a proteger

En el caso de Fertiberia, otro factor de riesgo es todo lo relativo a entornos y tecnologías OT, actualmente aislado de TI pero que, en breve, tendrán que conectarse, según ponía sobre la mesa Raúl Moreno, responsable de IT y Seguridad en la compañía.

Además de “mucho legacy y muchos usuarios muy poco digitales”, esa mirada en el futuro llevaba a Raúl Moreno a demandar “partners de confianza, que me acompañen a lo largo de todo el viaje, no solo al inicio”.

Un escenario similar es el que marca la actividad del Grupo ImesAPI como explicó Miguel Ángel González, Global CIO & CISO de la compañía. “Tenemos que ser capaces de llevar la ciberseguridad al usuario y el mío es poco digital y está trabajando en una carretera, un puente o las calles de cualquier ciudad”.

Para Miguel Ángel González tres son los pilares de la compañía: “La normativa o compliance, los resultados económicos y la ciberseguridad”.

Y en esa tercera pata, la de la ciberseguridad que “ya no puede considerarse como algo estático sino que hay que verlo como un proceso, como algo dinámico”, aseguraba “es esencial la gestión de identidades”.

Porque si algo quedó claro en el evento es que en materia de ciberseguridad el nuevo perímetro es la identidad. Por ello gestionar y controlar, de forma unificada, las identidades digitales que hay en una empresa, se presenta hoy como el camino correcto para poder protegerla.