Los pasados 13 y 14 de octubre, tuvo lugar la segunda edición de IdentiSIC con el fin de abordar el estado del arte en la gestión de identidades y accesos intensamente marcado por proliferación de la nube, la movilidad, el IoT y la aparición de nuevos escenarios regulatorios. Una realidad que hace inevitable su evolución hacía sistemas más seguros, ágiles, eficiente y fiables. En este contexto de transformación digital de la identidad, se analizaron aspectos tan importantes como la experiencia de usuario, el reconocimiento de la identidad, su autenticación, el contexto, los contornos legales y la capacidad de la IaM como habilitador de nuevos negocios. Para ello, esta segunda edición organizada por SIC contó con reputados profesionales y el patrocinio de diez fabricantes y proveedores de soluciones de referencia: Accenture, CA Technologies, Capgemini, CyberArk, HPE, IBM, Micro Focus – NetIQ, One Identity, Radiant Logic y Víntegris.
La magnitud del cambio que se deriva de los nuevos escenarios de la movilidad, la nube, el IoT y la gestión masiva de datos están sometiendo a la gestión de identidades a una dinámica de evolución rápida y compleja que obliga a replantearse tanto su alcance, como su capacidad de aportar la protección y privacidad adecuadas. Junto a todo ello, la lucha contra el robo de información corporativa y las nuevas medidas regulatorias hacen necesario un profundo análisis y evaluación del estado de las arquitecturas y sistemas IaM existentes. Con todo, la gestión de identidades se ha convertido en el epicentro de la trasformación digital e, incluso, en un nuevo elemento facilitador de nuevos modelos de negocio.
Para comprender mejor esta nueva realidad, la segunda edición de IdentiSIC contó con un amplio plantel de expertos en la materia que ofrecieron una detallada visión sobre el estado del arte de la gestión de identidades y sus tendencias, tanto desde una perspectiva de negocio, legal y tecnológica como desde la oferta de consultoría y servicios gestionados. Asimismo, el encuentro contó con la contribución de intervenciones de profesionales de largo recorrido en la materia, como, entre otros, Rafael Ortega, Director General de I4S (Grupo BBVA), el cual, fue el encargado de inaugurar la primera jornada exponiendo un exhaustivo análisis de la problemática y las oportunidades que genera la gestión de identidades en la nueva Era Digital.
Rafael Ortega
Bajo el título “La IaM que necesita una empresa transformada”, Ortega comenzaba su ponencia introduciendo el concepto de experiencia de usuario (UX, por sus siglas en inglés), como un requisito imprescindible a tener en cuenta en el devenir de la gestión de identidades. “En términos empresariales, la UX es lo que marcará el futuro de cualquier proyecto IaM puesto que un modelo de gestión de identidades que no sea sencillo no servirá dentro de un mundo digital”, apuntaba Ortega sobre uno de los puntos de reflexión más presentes durante todo el encuentro.
El experto de I4S prosiguió exponiendo con atino las diferencias entre una empresa transformada digitalmente y aquellas que han nacido siendo digitales –las cuales, hacen uso total de los sistemas de información para el desarrollo de sus actividades- para, posteriormente, explicar que, dado el amplio universo en el que se ha expandido la gestión de identidades, las primeras deben comprender que “muchos de los modelos o sistemas heredados on premise que se están utilizando actualmente no sirven para el mundo digital en el que estamos sumergidos”. En este sentido, Ortega aludía a la necesidad de prepararse para los profundos cambios que se están aconteciendo y llevarlos a cabo de forma gradual. Según el directivo, el desarrollo de una nueva estrategia de IaM debe seguir una serie de pasos graduales, sin prescindir de escenarios intermedios, evitando dar un gran salto tecnológica para adoptar de una vez y de manera inmediata el nuevo concepto de gestión de identidades, lo cual, se antoja imposible e ineficiente. Por este motivo, Ortega considera que “en un modelo de gestión de identidades ya no deben existir grandes proyectos, el modelo de pago debe ser por su uso y el proyecto deben de ser capaz de ser flexible y permitir cambios de 180º”.
Asimismo, para Ortega la seguridad tiene que estar embebida dentro del negocio, no solo en la parte de las personas sino, además, en la tecnología. Las plataformas de IAM se conciben así como herramienta de seguridad y, por ello, hay que tenerlas bien conceptualizadas. De hecho, “el 80% de una plataforma de gestión de identidades es una herramienta de prevención”, puntualizaba. Así pues, Ortega concluía su exposición indicando que, ahora mismo, “el CISO tiene que disponer de capacidades mucho más amplias y elevarse como un ‘facilitador’, capaz de llevar a cabo procesos de negociación”.
Tras la ponencia contextualizadora de Ortega y el repaso de las propuestas tecnológicas, se dio paso a un interesante debate que reunió en el estrado a todos los ponentes de la primera jornada de IdentiSIC, quienes se pronunciaron desde sus diferentes perspectivas ante las distintas cuestiones que la audiencia proponía. La primera de ellas pedía la visión de cada uno de los participantes sobre un tema tan candente como lo es la implicación de las nuevas normativas europeas a la hora de impulsar un proyecto de gestión de identidades. En este sentido, Jacinto Grijalba opinaba, desde la perspectiva de los fabricantes de tecnología, que “las nuevas regulaciones ayudarán a dar confianza a nuestros clientes y a ellos a ofrecer la fialiblidad necesaria a sus consumidores”. Ante esta respuesta asentía con gesto de afirmación Anastasia Sotelsek –representante en la mesa de CyberArk– añadiendo su importancia a la hora de dar protección legal a los datos y ayudar a que los ciberataques se hagan públicos. Desde su punto de vista, Facundo Rojo consideraba a estas regulaciones, además, “como habilitadores del negocio derivados de la mejora de la seguridad permitiendo, en nuestro caso, para generar certificados digitales y cualificarlos dentro de una legalidad”.
Por su parte, Enrique Ramos, acotaba que “las regulaciones van a permitir la puesta en marcha de nuevos servicios más seguros”. Así también lo consideraba David Boixo para quien supone “un valor añadido en la adopción de soluciones como las nuestras añadiendo una capa más a la seguridad de la empresa”.
En este sentido, Sergio Marín, ante la pregunta sobre cómo afrontar este reto sin atender debidamente a la identidad, el directivo fue rotundo al afirmar que “no puede haber un gobierno de los accesos sin una visión de la identidad, ya que sin la identidad no hay capacidad de gestionar información, los servicios, etc.”
Asimismo, los ponentes se pronunciaron acerca de la gestión de las credenciales de acceso, desmintiendo en su mayoría la sentencia “el password está muerto” y aclarando que, a pesar de la aparición de la biometría, aún no existe una solución tecnológica de reemplazo siendo necesario, ante las múltiples identidades e identificadores, educar al usuario. El punto de inflexión lo marcó Gonzalo de la Hoz para quien “las contraseñas terminarán desapareciendo ya que son relativamente fáciles de robar”, por lo tanto, “el mercado debería alejarse de ellas”.
La segunda jornada de IdentiSIC fue inaugurada por Manuel Carpio, otro de los expertos con mayor peso en ciberseguridad y muy especialmente en el ámbito de IaM El hoy Director General de Sea2see, profundizó en los aspectos económicos y de negocio de la gestión de identidades, arrojando luz –desde una nueva perspectiva- a sobre la importancia de implementar una óptima estrategia de IaM que, como bien se consideró durante la jornada anterior, puede convertirse en un facilitador de nuevos modelos de negocio.
Manuel Carpio
Carpio comenzó así su ponencia haciendo una introducción de los cuatro principales impulsores de la transformación de la identidad digital y su conversión en mejoras para el negocio de cualquier empresa:
En este sentido, Carpio reflexionó sobre la capacidad de numerosas empresas de enorme pujanza como Acxioan, Intelius y Datalogix, entre otras, que ya ofrecen servicios relacionados con la identidad digital y el comercio de los datos atribuidos a la misma en unos volúmenes considerables. “Se trata de empresas que no solo obtienen los datos online, sino también offline, a través de las oficinas de registros que integran dentro de sus bases de datos para, posteriormente, vendérselo a Google o Facebook”. En total, “alrededor de 300.000 millones de dólares sumó el valor de este negocio solo en Estados Unidos en los tres últimos años”, puntualizó.
Para finalizar, Carpio concluyó con una gran reflexión vislumbrando la aparición de nuevos jugadores dentro del ámbito IaM que cobrarán gran relevancia como serán los brokers especializados en gestionar la identidad de sus clientes en internet y los brokers expertos en ocultar la identidad de sus clientes.
Tras esta interesante intervención, Ignacio Alamillo, Socio de Astrea la Infopista Jurídica y CISO de Logalty, se subía a la palestra para profundizar sobre uno de los aspectos más relevantes y de más expectación que jalonan la gestión de identidades: sus contornos legales.
Ignacio Alamillo
Alamillo dio comienzo a su ponencia referenciando las diferentes problemáticas vividas hoy a la hora de impulsar la identidad digital pues aun siendo cierto que existe un negocio potencial, “existe igualmente una gran presión derivada de los derechos y libertades fundamentales de las personas”.
Ante esta realidad, Alamillo describió los principales marcos regulatorios de la IaM relacionados con los nuevos escenarios que adosa la evolución digital de las empresas. Entre ellos, se encuentran:
Como colofón, el evento volvió a celebrar en su recta final un debate con todos los ponentes de esta segunda jornada a fin de reflexionar sobre las cuestiones que surgieron durante el encuentro. En primer lugar, se pronunciaron acerca de la capacidad de generación de ROI de los proyectos de gestión de identidades. En este sentido, para Jorge Hurtado, “la clave es el caso de negocio en el que está implícito el ROI, el cual no ya solo se puede medir en dinero sino también en facilidades y mejoras para las empresas”. Rodrigo Blanco supone “todo aquello que implica un valor inducido para una compañía; y, cuando lo trasladas a identidades externas mucho más porque estás habilitando nuevos modelos de negocio”. Desde el punto de vista de Ángel Otermin, “el hecho de que no exista un ROI específico para un proyecto no significa que no sea necesario para la empresa. Por este motivo, “resulta fundamental afianzarse en la confianza de los clientes para que otros proyectos puedan ofrecer ese ROI”, apostillaba.
Finalmente, resultó igualmente interesante la opinión de estos profesionales ante el papel que juega el departamento de seguridad de la información a la hora de estimular proyectos en este ámbito. Para todos ellos, la participación de los departamentos de seguridad de información en este tipo de proyectos se considera como un facilitador y una oportunidad para mejorar la seguridad general de una compañía con la incorporación de nuevos elementos de control y detección por ejemplo, de comportamientos sospechosos.
CA Technologies. Jacinto Grijalba, Estratega de Soluciones de Seguridad Platinum Top Account para Iberia.
Considera que la nueva empresa digital presenta cuatro retos principales: el incremento del robo de la identidad, la mejora de la experiencia de usuario, el cumplimiento normativo y la adopción de entornos en la nube e híbridos. Frente a estos retos, CA plantea una filosofía de soluciones que permiten saber con certeza quiénes son los usuarios, a qué están accediendo, desde el lugar, para qué, y cuál es su comportamiento, y trazar todas las operaciones realizadas de forma sencilla. Todo en una plataforma híbrida.
CyberArk. Albert Barnwell, Director de Ventas.
Centró su intervención en la protección de las cuentas privilegiadas como una nueva capa más de la seguridad de una compañía. En este sentido, el directivo junto con Anastasia Sotelsek, Directora de Ventas de la compañía para el Sur de Europa, explicaron la importancia de tener una solución de gestión de identidades privilegiadas que cubra todo el ciclo de vida de dichas cuentas mediante la protección de credenciales, el aislamiento y el control, y la monitorización continua.
IBM. Gonzalo de la Hoz, Director de Ventas IaM para Europa.
Reflexionó sobre la idea de que un sistema IAM debe formar parte de una plataforma de seguridad integrada aportando información de contexto para nutrir al sistema de gestión de identidades haciéndolo más fiable. Por este motivo, dentro del llamado “sistema inmune”, IBM proporciona soluciones que ayudan a proteger aplicaciones y datos valiosos mediante el control de acceso basado en contexto, la aplicación de políticas de seguridad y capacidades de gobierno de identidades empresariales.
Micro Focus – NetIQ. Enrique Ramos, Responsable de Identidad, Acceso y Seguridad para España.
Ahondó en el control de accesos a los servicios digitales que, en la actualidad, se caracterizan por realizarse a través de aplicaciones móviles y en la nube, mediante la identidad social y el acceso basado en el riesgo. Ante los problemas inherentes en el control de dichos accesos, propone una suite de soluciones que permite a las compañías la gestión, control y monitorización de la actividad y privilegios de las identidades corporativas tanto en entornos locales, como móviles y en la nube.
One Identity. Sergio Marín, Account Executive para Iberia.
Considera fundamental focalizarse en un "servicio centrado en el cliente", romper los silos y crear una única visión de la identidad de los empleados, clientes, consumidores, aplicaciones, dispositivos, etc., lo que implica ser capaces de saber gestionar toda la información aprovechando las capacidades del big data. Sobre esta filosofía, One Identity ha desarrollado una oferta tecnológica caracterizada por ofrecer una visión unificada y simplificada capaz de gestionar todas las etapas del ciclo de vida IaM.
Radiant Logic. David Boixo, Director Técnico.
La propuesta del servicio de identidad federada a través de la virtualización en la que profundizó este especialista trata de resolver los problemas de redundancia, ineficiencia y complejidad en la gestión de identidades a través del establecimiento de un hub como punto central de acceso. Un complemento a la estrategia IaM de cualquier compañía que aprovecha la infraestructura existente, mitiga los riesgos, reduce los costes eliminando tareas repetitivas y mejora su gobernanza.
Víntegris. Facundo Rojo, Director General.
Aboga por la protección de la identidad digital tanto de la persona como de un dispositivo a través de una autenticación de doble factor robusta, sirviendo al usuario de un certificado digital avanzado con todas las garantías legales. Según explicó José María Jiménez, Director Técnico de Víntegris, solución Nebula Suite permite así a sus clientes la creación de sus certificados digitales y sellos de dispositivo, gestión de su uso, y firmas manuscritas y certificadas de documentos en movilidad
Accenture. Rodrigo Blanco, Senior Manager Arquitecto de Seguridad.
Ante proyectos complejos, costosos y largos, este experto resumía la propuesta de Accenture -cuyo pilar es Velocity Identity Platform-, en un conjunto de herramientas de automatización de IaM y soluciones preconfiguradas que permiten despliegues rápidos ofreciendo a las compañías lo que necesitan a la hora de desarrollar sus plataformas de identidad digital internas, externas o de ambas.
Capgemini. Jorge Hurtado, Director de Servicios de Ciberseguridad. Dentro de este contexto, la compañía ofrece dos propuestas en torno a IaM. Por un lado, Fast Track, caracterizada por la rapidez en su implantación gracias a sus aceleradores o facilitadores. Y, por otro, Capgemini IDaaS una nueva propuesta de servicios en la nube o en local para clientes, usuarios, multisector y multicanal, que abarca todo el ciclo de vida de la gestión de identidades.
HPE. Ángel Otermin, Consultor de Preventa de Ciberseguridad para Iberia.
Explicó la manera en la que HPE enfoca los proyectos de gestión de identidades como integrador. En este sentido, la estrategia se enfoca en la gestión de identidades en entornos heterogéneos -legacy y en la nube-. HPE realiza así servicios de consultoría diseñados en función de las necesidades del cliente con workshops para guiar y asesorar en la forma de abordar de este tipo de proyectos de gran complejidad no solo tecnológica, sino de gestión del cambio de la propia compañía.