La identidad, un acelerador de la confianza y seguridad en las organizaciones

Vivimos en un mundo sin duda digital y, con ello, ya no solo tenemos una identidad digital sino que también es necesario lograr una confianza digital, uno de los valores hoy en día claves para tener éxito en un mundo globalizado y ultra competitivo.

Y no solo eso, lograr esa confianza digital pasa por garantizar la seguridad de procesos y aplicaciones, un desafío cada día mayor si tenemos en cuenta la cada vez mayor complejidad de las nuevas tecnologías como el cloud computing e infraestructuras TI cada vez más distribuidas.

De hecho, datos como el que ofrece Gartner que prevé que el 75 por ciento de los fallos que se producirán en la nube se deberán a una gestión inadecuada de las identidades, el acceso y los privilegios hacen más necesaria que nunca un correcta política de gestión de identidades.

En esa misma línea, la firma de servicios profesionales BDO revela que, solo en 2023, más del 90% de las empresas se encuentra en riesgo de sufrir un ataque de phishing por lo que resulta esencial evitar brechas de seguridad y suplantaciones de identidad.

Todo esto explica que la gestión de identidades y acceso (IAM) sea uno de los pilares de las estrategias de ciberseguridad de cada vez más organizaciones. En concreto, más del 44% de los profesionales de TI reconoce que sus empresas ya la han implementado, según la CyberRisk Alliance Business Intelligence.

Para analizar precisamente cómo está evolucionando la gestión de la identidad digital y compartir soluciones y buenas prácticas, Silicon organizaba una reunión en la que, junto a Daniel de Blas, Branded Content Manager de Netmedia, actuaron como anfitriones Mar García Maroto, Country Manager para Spain & Portugal e Iván Rodríguez Santos, Senior Solutions Engineer de Okta.

Un encuentro en el que, junto a ellos, participaron Alberto López, Global Head of IT & Cybersecurity de Solaria; Germán Hernando, Process Control Systems Leader Engineer  de Técnicas Reunidas; Alfonso de Pablos, director de Operaciones; Eva Puerta, CISO; y Pedro García, responsable de Arquitectura, todos ellos de Banco Caceis; Karl Louis Alfaro, Cybersec Manager de Nestlé; David Palomo, Team Lead de Swiss Re; Alberto Pérez, Senior Identity Specialist de Danaher Corporation; Enrique García, i-DE / Dirección Procesos y Tecnología en Iberdrola; Samuel López, User Lifecycle Supervisor (Identity & access Management) de Holcim; Marek Nowosielski, Data Science Director en Liberty Seguros; y Sergio Tagua, director de Tecnologías de Eficiencia Operativa y Servicios Digitales de Liberbank.

La identidad, pieza estratégica

Precisamente Mar García Maroto, Country Manager para Spain & Portugal de Okta, inició el encuentro explicando cómo vivimos en un momento en el que las compañías se ven obligadas a hacer frente a un notable incremento de las ciberamenazas al tiempo “que no pueden dejar de lado su necesidad de seguir innovando, optimizando procesos y recortando costes”.

Una tormenta perfecta, como calificó la situación, en la que también es necesario luchar contra la falta de talento, especialmente en el ámbito de la ciberseguridad, en el que la “la rotación es muy alta y resulta muy difícil capturar ese talento y mantenerlo”.

Un caldo de cultivo en el que, además, afirmaba García Maroto, la identidad también ha cambiado: “Lo que se hacía antes de gestiono quién eres y en función de eso te doy a acceso a determinadas cosas o no, ya no sirve. La identidad hoy es algo mucho más amplio; se ha convertido en la pieza clave de proyectos más estratégicos como pueden ser fusiones y adquisiciones, marketing, el ciclo de vida de un cliente, el onboarding, etc. No solo hablamos ya de la gestión de accesos. Y, en ese nuevo escenario, además es imprescindible mantener el equilibrio entre la seguridad y la experiencia de empleados y clientes”.

Así, la propuesta de Okta, explicaba Iván Rodríguez Santos, Senior Solutions Engineer de la firma, es una solución en modo SaaS que permite la gestión de identidades, no solo de empleados sino también de clientes (CIAM) de una forma unificada: “Desde Okta lo que hacemos es unificar todo esto en una única plataforma desde la que podemos no solo decidir quién accede a qué sino somos la misma plataforma que permite ese acceso o no”.

Como explicó Rodríguez Santos, la evolución de la solución también es uno de sus valores añadidos: “Okta empezó con la parte de identidad y hemos ido avanzando en la parte de gobernaza y accesos privilegiados. Ahora mismo, por tanto, podemos ofrecer un ecosistema completo con todo integrado desde un mismo portal para que el usuario pueda acceder a cualquier aplicación; el usuario si tiene que administrar cualquier herramienta, accede desde ahí con acceso privilegiado o si requiere poder modificar su rol dentro de una aplicación también puede hacerlo”.

Pero si hay algo necesario para que esa gestión de accesos e identidades sea exitosa es que la fricción con los empleados y clientes sea la mínima posible, como apuntó Alberto López, Global Head of IT & Cybersecurity de Solaria. “La ciberseguridad es un elemento indiscutible pero también es necesaria una política y medidas en pro de esa ciberseguridad que ofrezcan más confort al empleado; éste se tiene que dedicar a su trabajo no a estar luchando contra mil sistemas distintos de autenticación, acceso y validación o a quedarse a medias en un proceso precisamente por esos sistemas”, apuntó.

Una gestión de identidades y accesos por lo tanto menos árida para los empleados y clientes y en la que, además, apuntó Alberto López es esencial comenzar a contemplar todo lo relativo a OT y  “en concreto todo el ecosistema de usuarios y proveedores a los que les contratamos también el mantenimiento de todo ese entorno OT”.

Precisamente en esa demanda garantizar la seguridad y el cumplimiento normativo tanto para la organización como para los usuarios pero sin fricciones insistía también Germán Hernando, Process Control Systems Leader Engineer  de Técnicas Reunidas al apuntar que los protocolos de autenticación tienen que ser muy restrictivos pero no siempre o no en todos los casos; es decir, si tu estás manejando un proceso crítico, no puedes dejar de operar; el sistema tiene que dar la opción de autentificar una identidad independientemente de si ese usuario ha puesto mal la contraseña; cerciorándose de que realmente es quién dice ser pero hay que dar alternativas para que no se pare un proceso crítico”.

Una demanda que también hacía desde el entorno de los sistemas OT, para Germán Hernando, “aún el gran olvidado en la gestión de identidades”.

En el mismo plano se situó Karl Louis Alfaro, Cybersec Manager de Nestlé, que también señaló como OT complica todavía más la gestión de accesos y que explicó cómo en la compañía, “si hablamos de un directorio de usuarios, solamente internos, estamos hablando de que somos más de 350.000”.

Además, explicó, “al haber abrazo varios cloud service providers, tenemos IDPs distintos en cada uno de ellos”, algo que dificulta la gestión y para lo que, apuntó Alfaro, “actualmente, estamos utilizando identidades manejadas y vivimos un poco más tranquilos”.

Formar y concienciar

Una de las claves para reducir la necesaria “incomodidad” que los sistemas de gestión de accesos e identidades era apuntado desde el Banco Caceis. Así, su CISO, Eva Puerta, señalaba que, desde la entidad, se están realizando distintas iniciativas para “explicarles a los usuarios el porqué de estos controles; debes implicarles, enseñarles los beneficios de hacerlo de ese modo y concienciarles en su importancia; esas medidas de autenticación, por ejemplo, tienen que entender que nos protegen a nosotros pero también a ellos”.

En ese sentido, Alfonso de Pablos, director de Operaciones también apuntaba a la importancia de invertir en sistemas de gestión de acceso e identidades, “aún desconocidos en ocasiones pero claves”; y Pedro García, responsable de Arquitectura de la entidad explicó que actualmente el objetivo que están intentando lograr es unificar y automatizar todos sus sistemas de identificación y acceso.

Esa unificación es también el reto en el que se encuentra inmerso Alberto Pérez, Senior Identity Specialist de Danaher Corporation. “Estamos actualizando nuestros sistemas de gestión de identidades, de gobernanza, etc… pero es cierto que no es fácil ya que somos un grupo de distintas empresas”.

Así, explicó, cada una de estas compañías, por ejemplo, conserva su propio dominio: “Necesitamos simplificar desde la base para poder abordar una gestión de accesos e identidades con éxito”, añadía.

Y es que otro aspecto en el que todos los participantes coincidieron, además de en la necesidad de contar con este tipo de herramientas, fue en abordar este reto como una proyecto a largo plazo.

En ese sentido, Marek Nowosielski, Data Science Director en Liberty Seguros, aseguraba que “saber quién es quién y a qué puede acceder es y será siempre un camino en el que trabajar. Está bien tener un plan director para saber a dónde voy pero eso no es suficiente y no se soluciona de un día a otro”.

Un proceso que aún van a complicar más, en su opinión, tecnología como la Inteligencia Artificial: “Para mí es un proceso a largo plazo. De hecho creo que cada vez va a ser más importante, a medida que el mundo va a ser más digital y puede llegar un momento en el que no sepamos con claridad si un usuario es realmente un usuario o un robot y, tras él, la amenaza de un ciberdelincuente”.

Esa visión es la misma que expresó David Palomo, Team Lead de Swiss Re: “Tanto las soluciones de gestión de accesos e identidades IAM como CIAM (customer identity) son para mí el futuro. Decides implantarlas pero debes seguir evolucionando con ellas”.

Una labor continua de actualización, mejora y optimización en la que, al igual que los portavoces del Banco Caceis, para David Palomo, es imprescindible además “concienciar y explicar a la gente porque aún falta mucha labor de divulgación por realizar”.

Un paso más, la inteligencia

Samuel López, User Lifecycle Supervisor (Identity & access Management) de Holcim, ponía la mirada en el mañana al explicar cómo aunque en su compañía hace mucho tiempo que cuentan con una estrategia sólida de control de acceso e identidades, actualmente están tratando de ir un paso más allá en la misma. “Ahora entiendo mejor los datos que nos proporcionan las herramientas de CIAM que tenemos implantadas y, por ello, estamos intentando aplicar Inteligencia Artificial para tomar mejores decisiones de negocio, etc”.

Para el portavoz de Holcim, además, es muy importante “que las identidades se gestionen de forma unificada y que haya un único departamento para ello. Siempre y cuando se puedan unificar los procesos de gestión de identidad bajo un mismo equipo y liderazgo, mejor”.

La integración de estas soluciones era también puesta de relieve por Enrique García, i-DE / Dirección Procesos y Tecnología en Iberdrola. “Desde hace tres años, empezamos a implantar un plan director de ciberseguridad en el que también se establece todo lo relativo a gestión de identidades y accesos. Siempre le habíamos dado importancia pero con la apertura a la nube, la externalización de determinados servicios, etc. cada día se ha convertido en una necesidad más importante y, sobre todo, hacerlo de forma integrada con el resto de aplicaciones y soluciones que tengas”.

La petición de Sergio Tagua, director de Tecnologías de Eficiencia Operativa y Servicios Digitales de Liberbank a empresas como Okta cerró el encuentro. Como reflexionaba, “con la digitalización cada vez más compleja (clientes, empleados, y ahora también asistentes, robots, etc. en la nube, on premise…) necesitamos soluciones que hagan más ágil la gestión de identidades. Este es un proceso a largo plazo y por eso la propuesta de proveedores como Okta tiene que ser no una solución sino una estrategia a largo plazo. Una propuesta de servicio más que un producto”.