Los pasados 17 y 18 de noviembre, tuvo lugar la tercera edición de IdentiSIC con el objetivo de analizar el panorama actual y futuro de la IaM cuya importancia para la protección de la identidad y el dato está posicionando esta área en el epicentro de las estrategias de ciberseguridad de las organizaciones a medida que el perímetro se diluye y la necesidad de acceso tanto a los recursos internos como a los servicios externos, comportan riesgos cada vez más críticos. Para comprender mejor esta nueva realidad, esta edición organizada por SIC contó con reputados profesionales así como el patrocinio de fabricantes y proveedores de servicios de referencia como Accenture Security, Capgemini, Beta Systems, CA Technologies, CyberArk, Micro Focus, One Identity One Identity, Radiant Logic, SailPoint, Symantec y Víntegris.
Por tercer año consecutivo, IdentiSIC volvió a abrir las puertas de su foro de análisis y debate sobre el gobierno y la seguridad de la identidad digital y sus accesos, marcado por múltiples factores como su diversidad de usos en los que entran en juego nuevas necesidades en la gestión de usuarios, clientes externos o, incluso, cosas, que unido a los requisitos imprescindibles de privacidad y protección del dato, demandan la búsqueda de aproximaciones que se adecuen a la nueva era digital. En este contexto, se analizaron aspectos fundamentales como el valor de la identidad digital y sus atributos, la experiencia de usuario, la autenticación avanzada y adaptativa, la gestión de privilegios, la identidad de los clientes y del IoT, los retos y capacidades de blockchain, así como el cumplimiento normativo, entre otros.
Para ello, el encuentro se nutrió de expertos en la materia que dieron repaso al estado del arte de la gestión de identidades y accesos así como a sus futuras vertientes tanto desde una visión de negocio, como desde la perspectiva tecnológica de los productos y servicios existentes en el mercado para dar solución a la problemática que rodea a este ámbito. Asimismo, y como viene siendo es habitual, el encuentro contó con dos reputados profesionales en la materia que deleitaron a la audiencia con sendas ponencias. El primero de ellos, Luis Saiz, Responsable de Innovación en Seguridad de BBVA, fue el encargado de inaugurar la primera jornada del encuentro con un exhaustivo análisis de la tecnología más especializada en la identificación y autenticación de las identidades digitales así como sus principales características.
Luis Saiz
Saiz comenzó dando un repaso a la historia ya que, como bien apuntaba el directivo, desde siempre, cualquier servicio creado en la sociedad se ha basado en la identidad. “Los procesos en persona o vía documento siempre ha llevado incorporada implícita o explícitamente la identidad del solicitante, de las “entradas” del servicio, del ejecutor del propio servicio y del resultado final del mismo”, puntualizaba Saiz. En la actualidad, los procesos de verificación han ido evolucionando a petición de los avances tecnológicos generados, llegando a los últimos proyectos de autenticación biométrica, como elemento más reciente. No obstante, dentro del maremágnum tecnológico que implica el gobierno de identidades de accesos, sin duda, para este profesional, las APIs se van a convertir en la piedra angular de estos sistemas.
Según Saiz, las APIs están engullendo la nueva forma de hacer servicios digitales ya que suponen automatizar y definir todo vía software: la red, las infraestructuras y los sistemas, allá donde almacenemos la información. “Sin duda, es una buena manera de ofrecer servicios de identificación en función de los servicios que se quieran dar en base a unos privilegios dados, ya que la otra posibilidad sería crear un sistema ad hoc, en los que primaría las operaciones manuales, cuando lo más eficiente sería automatizar y hacer uso de estándares”. En este sentido, la clave para dotar de seguridad a las APIs y evitar que se conviertan en un elemento de riesgo más es “definir bien su implementación”, afirmaba Saiz.
Otro elemento reseñable que está llamado a transformar la gestión de identidades y accesos es el modelo zero trust en detrimento del concepto trust, but verify –más orientado a la defensa de un perímetro–. En el modelo zero trust se puede establecer un acceso seguro a todos los recursos independientemente de donde estén localizados, donde los controles de acceso van a determinar el resto de la infraestructura. Con lo cual, “ya no se trata de ver en qué parte del perímetro estás”, puntualizaba Saiz.
Este profesional hizo también alusión a la gestión identidades orientado a clientes donde se “deconstruían” sus componentes, diferenciando verificación, autorización y autenticación. En la actualidad, los nuevos documentos publicados por el NIST establecen nuevos niveles de garantía, cuya gestión y combinación es crucial para obtener un nivel de global de seguridad de un sistema, permitiendo llegar a un nivel de autenticación o un estado final determinado según las necesidades del servicio y el usuario.
A toda una serie de elementos a tener en cuenta, se les suma, como bien recordó Saiz, las diferentes regulaciones existentes como el Reglamento de Protección de Datos europeo (RPDG) y la PSD2 -para aquellos que operan en banca- que requieren a las empresas tener claro qué información se tiene de sus clientes y cómo se va a utilizar dicha información. “Algo que podemos usar a nuestro favor ya que dependiendo del histórico de atributos del que dispongamos, podremos plantear diferentes modelos de confianza y verificación de la identidad”. Antes de finalizar su intervención, Saiz quiso dar su opinión sobre la gestión de identidades con la tecnología blockchain hacia la cual este profesional se mostró reticente.
Tras esta ilustrativa ponencia se dio paso a un interesante debate que reunió en el estrado a todos los ponentes de la primera jornada de IdentiSIC provenientes de diferentes fabricantes y proveedores de servicios, los cuales, mostraron su visión sobre las diferentes cuestiones que la audiencia proponía. La primera de ellas pedía la opinión de cada uno de los participantes sobre la existencia dentro de las empresas de esos pequeños reinos de taifas que conforman los departamentos de TI y de negocio y que hacen compleja, en este caso, la administración de los proyectos de gestión de identidades y accesos. En este sentido, Jacinto Grijalba, Estratega de Soluciones de Seguridad Platinium Top Account de CA Technologies, opinaba que “es verdad que los proyectos de gestión de identidades no están alineados con la estrategia de la organización, sin embargo, se van teniendo en cuenta cada vez más las necesidades de negocio”. A este respecto, Jordi Medina, Responsable de Ventas IaM de HiD Global para el Sur de Europa, añadía que aunque sigue existiendo dichos reinos de taifas, “sí que es cierto que la identidad se ha convertido en una necesidad transversal a todo el negocio”. Para Albert Barnwell, Director de Ventas para España y Portugal de CyberArk, estos silos departamentales es un problema que afecta en el día a día, en su caso, en los proyectos de cuentas privilegiadas. No obstante, para el resto de ponentes como Jerome Venturelli, Responsable de Ventas para España de Beta Systems, “en los últimos años el juego de poder entre IT y de negocio se está transformando, especialmente, debido a las necesidades del usuario final”. Una visión similar exponía Enrique Ramos, Responsable para España de Identidad, Accesos y Seguridad de Micro Focus, al explicar que la situación está cambiando no solo por un tema de cumplimiento o gobierno sino también porque no sería factible para el cumplimiento de los objetivos”. Finalmente, Rodrigo Blanco, Senior Manager Arquitecto de Seguridad de Accenture Security, aconsejaba que esta problemática no se viera “como un control de la cadena de valor, sino más bien como un habilitador de la cadena de valor”.
Asimismo, los ponentes se pronunciaron acerca del nuevo modelo de DevOps que consideraron una disciplina joven e inmadura cuya coordinación se realizará a través de procesos lentos y costosos, especialmente a la hora de integrar la seguridad por diseño, clave en la seguridad de los procesos de desarrollo, decantándose por integrar la seguridad de forma automatizada para que, sin ser un experto, sea posible seguir cumpliendo con los mínimos estándares de seguridad y los plazos establecidos.
Otra de las cuestiones planteadas giró alrededor de la proliferación de los proveedores de identidad como servicio. En este sentido, algunos de los ponentes lo veían como un paso muy importante que un proveedor u otro tendrá que dar en el mercado porque es algo que los clientes van a demandar. Para otros, la identidad como servicios es algo que porque podamos hacerlo no significa que debamos hacerlo. Aunque sin duda, quedó claro que la identidad acabará en la nube.
La segunda jornada de IdentiSIC fue inaugurada por Rafael Ortega, experto en Ciberseguridad, quien profundizó en un tema tan complejo como el valor y el precio de la información y/o atributos que conforman una identidad.
Rafael Ortega
Ortega comenzó afirmando que el valor y el tráfico de datos siempre ha existido, haciendo referencia al libro 'Data and Goliath' –reseñado en Revista SIC en su número 122– en el cual, para este profesional trata el uso de los datos de forma ejemplar. Según Ortega, “estamos canjeando nuestra privacidad a cambio de un servicio en una sociedad que va por un lado y los reguladores por otro”. “La tecnología nos puede dar una vida mejor pero nos hace menos seguros y menos libres”, añadía Ortega para quien el gran problema es que el dato se ha convertido en una commodity.
En este marco, y para tratar de averiguar qué es lo que tiene valor dentro de la identidad digital, Ortega se acogió a la definición que separa el valor de uso y el valor de cambio, trasladando esta acepción a internet y los datos de los que se nutre. Así pues, para Ortega, “los datos en sí valen ‘cero’ porque si no introducimos datos en internet no existimos; no obstante, su proceso proporciona una información que es realmente lo que vale, dando valor, por ejemplo, al trabajo de los llamados data brokers”. Por tanto, en el mundo comercial, la identidad es lo que va a marcar el éxito, afectando a la seguridad.
Dentro de este marco, el onboarding digital con el que se acredite la identidad digital de una persona marca la gran diferencia entre el consumidor y el cliente, y para el que “es la clave de que toda la cadena de valor de la gestión de identidad y accesos funcione ya que es el estado entre algo identificado y algo autenticado”. Así pues, la seguridad de los datos almacenados es muy importante porque si te roban algo que tienes lo sustituyes pero, ¿qué pasan y si te roban la identidad?, se preguntaba Ortega.
Llegados a este punto, surgió una vez más el término blockchain que, según Ortega, “desde la perspectiva de la seguridad va a ser suponer un cambio tarde o temprano ya que esta tecnología se está postulando para realizar onboarding y almacenamiento seguro habiéndose desarrollado ya iniciativas en este sentido”, explicaba. Asimismo, para este profesional, en la seguridad de las transacciones jugarán un rol los conceptos de LoA o niveles de garantía e identity assurance que continuarán desarrollándose para evaluar el grado de certeza y la confianza mutua entre dos partes, en un mundo digital.
Con todo, Ortega se cuestiona qué modelo van a tener los proveedores de identidad para monetizar la provisión de identidades ya que, “el coste de la identidad es más caro que el coste de la transacción, pero este último es un factor crítico de éxito”, además de llamar a la reflexión sobre qué responsabilidades deberán asumir estos proveedores en caso de fraude o robo de datos y cómo se mide su valor si ocurre algo; “es algo de lo que no se habla y es un camino en el que queda mucho por recorrer”, manifestaba.
Para finalizar su disertación, Ortega hizo referencia a la evolución que ha llevado a cabo la IaM hacia el CIAM –Customer Identity and Access Management–, donde la experiencia del cliente es crítica. De esta forma, “un proyecto de gestión de identidades debe ser holístico desde el punto de vista de la ciberseguridad, ampliando su ámbito de actuación a los distintos usuarios, cosas o personas, y los datos que generan independientemente del canal o dispositivo que utilicen. En este momento, Ortega concluyó con una pregunta al aire, ¿big data de seguridad o integración con el big data de la compañía? “Un conflicto de discusión en las organizaciones pero en el que, sin duda, tiene que estar incluida la gestión de identidades”.
Como colofón, y siguiendo la línea de la jornada anterior, en la recta final del encuentro subieron a la palestra todos los ponentes de la sesión matutina para tratar de dar respuesta a las cuestiones que planteaba la audiencia. En primer lugar, y dada la expectación que está generando esta tecnología, una de las preguntas hacía referencia a la medida en la que llegada de blockchain viene a ayudar al mundo de la identidad digital. Para Ortega, como bien hizo saber en su intervención, blockchain es un disruptor especialmente en el ámbito del CIAM: “creo que a va a cambiar las reglas del juego de la tecnología e incluso de la legislación”, se atrevía a afirmar. Para Pere Barba, Responsable de Negocio para nebulaSUITE/vinCAsign de Víntegris, “puede generar vacíos y nichos de seguridad y surgirá la necesidad de regularlo, ahora la única garantía recae en terceros que le otorguen valor”.
La siguiente pregunta versó sobre las tareas deben de hacer los suministradores de tecnologías en cuanto a la gestión de identidades del IoT. De acuerdo con Javier Checa, Senior Cybersecurity Manager de Capgemini, hay que ser realistas, afrontar los problemas existentes y saber que lo que hay a día de hoy no sirve para la futura gestión del IDoT, por lo que es necesario buscar otras aproximaciones. En este sentido, Raúl D'Opazo, Solution Architect Presales para España y Portugal de One Identity, opinaba que, aunque difícil conocer la cantidad de dispositivos que van a surgir, como base, hay que intentar que el framework de desarrollo sea lo más rico y flexible posible”. David Boixo, Technical Manager de Radiant Logic, añadía la necesidad de blindarse de capacidades de autorización y certificación, y de inteligencia.
Acto seguido volvió a plantearse la existencia de diferentes silos departamentales de seguridad existentes en las compañías. Entre las diferentes opiniones vertidas, Alejandro Fernández, Ingeniero Preventa de SailPoint, sugirió “tener un departamento de seguridad exclusivamente focalizado que ayude a Desarrollo a trabajar en base a unos parámetros de seguridad y a partir de ahí ascender hacia otros niveles”.
Para finalizar, se pidió a los ponentes que dieran un consejo sobre la forma de proyectar los proyectos de gestión de identidades. Boixo optaba por “federar las identidades y tener todos los atributos configurados en un único punto porque si no, no podremos crear políticas de seguridad ricas”. Barba apuntó que lo fundamental es que sea fácil de utilizar. Por su parte, para Fernández, es clave confiar en tu socio tecnológico a nivel de compañía, el cual, también conoce muy bien al cliente. De igual manera opinaba O'Pazo para quien “es fundamental tener un buen partner, además de una buena tecnología y un buen sponsor que mueva esos proyectos de forma interna, ya que seguramente, surgirán ‘stoppers’ que habrá que sortear”. Finalmente, Checa consideraba crítico “dejar de tratar a los usuarios como un problema y tratarlos como parte de la solución”.
ACCENTURE SECURITY. Rodrigo Blanco, Senior Manager Arquitecto de Seguridad.
Para este profesional, a día de hoy, la gestión de identidades está viviendo una segunda juventud puesto que ya no está ligada únicamente a los empleados internos, sino también a los clientes e, incluso, a las cosas (IoT). Para hacer frente a ello, la propuesta de Accenture gira en torno a su framework Velocity Identity Platform (VIP), una solución desarrollada a partir de toda una serie de stacks tecnológicos pre-configurados que ofrece a las compañías lo necesario para crear su estrategia IaM.
CAPGEMINI. Javier Checa, Senior Cybersecurity Manager.
Se refirió a la problemática de la gestión del IDoT con sus consecuentes retos –propiedad intelectual de las relaciones, identificadores, autenticación y autorización, gobierno del dato y privacidad–, que hay que ligar con las demandas de las empresas de un acceso simplificado y mayor control de la identidad así como la reducción de costes en los proyectos relacionados. Dentro la propuesta de la firma, Checa resaltó sus servicios FastTrack de consultoría e IDaaS a través de los cuales proporciona un stack IaM en la modalidad de servicio.
Beta Systems. Jerome Venturelli, Responsable de Ventas para España.
Reflexionó sobre el IaM como elemento para la consolidación de identidades y la mitigación de ataques internos y externos. De acuerdo con este profesional, una solución de IaM debe ofrecer aprovisionamiento y gestión de identidades y accesos, pero también debe ser capaz de integrarse con los sistemas heredados de las empresas y los nuevos modos de colaboración, apoyar el gobierno de los procesos internos, optimizar la gestión de la ciberseguridad y ayudar en el cumplimiento normativo.
CA Technologies. Jacinto Grijalba, Estratega de Soluciones de Seguridad Platinium Top Account.
Introdujo la importancia del análisis del comportamiento del usuario aplicada a la seguridad de identidades para mitigar riesgos, así como ofrecer un modelo tecnológico que se integre tanto con los nuevos sistemas de las compañías, como los sistemas tradicionales. El enfoque de CA dentro del ámbito de IaM pasa por la oferta de una gran gama de soluciones entre las que Grijalba señaló especialmente, CA Identity Suite, CA Identity and Access Management, CA PAM, CA Identity Service y CA Advance Autentication.
CyberArk. Albert Barnwell, Director de Ventas para España y Portugal.
Centró su exposición en la autenticación de sistemas a través de credenciales y secretos. Y es que, para este directivo, la gestión de contraseñas ha quedado obsoleta a favor de la gestión de secretos –cuentas privilegiadas, claves SSH, contraseñas y certificados, entre otros–. Dentro de este marco, CyberArk se ha focalizado en introducir la seguridad en todo el proceso de desarrollo DevOps abanderada por la solución CyberArk Conjur.
HID Global. Jordi Medina, Responsable de Ventas IaM para el Sur de Europa.
Analizó la dificultad de la gestión de accesos desde el punto de vista del usuario, el cual, tiene que recordar numerosas contraseñas que al final terminará apuntando en un cuaderno o las creará con una combinación débil pero fácil de recordar. Según Medina, una de las mejores soluciones ante ese problema es el uso de la identificación multi-factor. La firma dispone de un amplio rango de tokens, tarjetas y lectores a medida, además de las soluciones de gestión IaM como HID Approve, Credential Management System 5.0 (CMS), IdenTrust y Quantum Secure SAFE, entre otras.
Micro Focus. Enrique Ramos, Responsable para España de Identidad, Accesos y Seguridad.
Desde Micro Focus se propone gestionar de forma integral todo el ciclo de la identidad digital. Para ello, su propuesta se erige sobre dos pilares clave: por un lado, la seguridad del entorno –aplicaciones, usuarios, datos y las interacciones entre ellos- y, por otro, la seguridad del contenido –búsqueda, archivado y recuperación-. Con este objetivo, la compañía tiene toda una serie de soluciones que pivotan sobre la protección de la identidad digital como ArcSight, Fortify, NetIQ, Voltag, Atalla y Retain, entre otras.
One Identity. Raúl D'Opazo, Solution Architect Presales para España y Portugal.
Para D'Opazo la IaM representa un elemento fundamental para que las compañías puedan ofrecer servicios a sus usuarios y clientes, que hay que controlar y gobernar de forma sencilla, ágil y unificada. Algo que la compañía consigue con One Identity Connect for Cloud (SCIM). Asimismo, está invirtiendo en IDaaS con su proyecto One Identity Starling, una plataforma que alberga un conjunto de micro servicios modulares IaM, como el de doble factor de autenticación, gestión de riesgos y seguridad PAM, entre otros.
Radiant Logic. David Boixo, Technical Manager.
Su aproximación se focaliza en el servicio de federación de identidades como pieza clave dentro de los ecosistemas de identidad de confianza. Servicio que da solución a los diferentes problemas de la gestión de identidades que el World Economic Forum alude en su informe en cuanto a prestación de servicios, autorización, intercambio de atributos, autenticación, estándares y colección de atributos. Para este profesional, la federación de identidad ofrece una vista racionalizada de todo el sistema con la flexibilidad necesaria para responder a nuevas necesidades.
SailPoint. Alejandro Fernández, Ingeniero Preventa.
Dentro de la visión de la compañía de concebir la identidad como núcleo –de los datos, infraestructuras, aplicaciones, dispositivos, etc. –, Fernández destacó las tres soluciones que han desarrollado en este ámbito: IdentityIQ, SecurityIQ e IdentityNow. Asimismo, resaltó la tecnología IdentityAI, basada en machine learning e inteligencia artificial y el programa de partners Identity+ para todas aquellas compañías que quieren desarrollar, probar, certificar e integrar productos con la tecnología de SailPoint.
Symantec. Agustín Solís, Especialista en Protección de la Información.
Explicó a la audiencia la manera en la que la compañía está centrada en proteger los datos y la identidad de las personas a través de su estrategia Information Centric Security. En ella, destacó su servicio Single Sign-On y de autenticación fuerte Symantec Validation and Identity Protection (VIP) para la generación cloud, que cubre el ciclo de vida de la autenticación desde los passwords estáticos a la validación dinámica de la identidad.
Víntegris. Pere Barba, Responsable de Negocio para nebulaSUITE/vinCAsign.
Profundizó en el concepto de Prestadores de Servicios Electrónicos de Confianza que introduce el Reglamento eIDAS. En este sentido, explicó cómo la firma se constituyó como prestador de servicios de confianza dentro de cuya oferta destaca su tecnología nebulaCERT -con certificación vinCAsign-, así como su solución de firma digital nebulaSIGN y el gestor de acceso nebulaACCESS. Estas soluciones se encuentran además en forma de micro servicios dentro de la plataforma nebulaSUITE.