Los pasados 25 y 26 de junio tuvo lugar en Barcelona y Madrid la vigésima quinta edición de Respuestas SIC, que reunió a unos 300 profesionales para debatir acerca del gobierno inteligente de la IaM (gestión de la identidad) y la autenticación selectiva, así como sobre el cambio de paradigma que se está produciendo en la actualidad. El evento estuvo copatrocinado por Dell, IBM, NetIQ, RSA División de Seguridad de EMC y Safelayer.
La identificación, la verificación de credenciales y la gestión de las identidades y de los accesos suponen, en la actualidad, un apasionante campo en el que fabricantes y empresas están inmersos para evitar la pérdida de oportunidades, el incumplimiento de normas o una exposición a riesgos no controlada. De esta situación se desprende la necesidad de contar con sistemas de gestión de identidades (IaM) bien construidos, flexibles y adaptables, de cara a lograr un gobierno inteligente de los mismos.
Durante la 25ª edición de Respuestas SIC se arrojó luz sobre lo que está deparando este ámbito de capital importancia para los negocios y actividades con base TIC, entrando de lleno en las tecnologías que están cambiando el paradigma existente. Retos, oportunidades de negocio, la evolución hacia una autenticación selectiva y adaptativa, problemáticas… De todo ello departieron algunos de los más reputados especialistas del sector durante las jornadas que tuvieron lugar en Madrid y Barcelona. Con un toque eminentemente trekkie en la imaginería de su presentación, Juan Jesús León y Roberto López, Director de Productos y Nuevos Desarrollos y Jefe de División de Servicios Gestionados de GMV, respectivamente, hicieron un exhaustivo repaso por todo lo referente al citado gobierno inteligente de la IaM.
Juan Jesús León
Juan Jesús León comenzó analizando el mundo de los estándares que abordan los modelos de gestión de identidades. Y se centró en el del NIST “porque es fácil de entender -cosa que no puedo decir de la mayoría- y su paradigma es simple”. León desglosó diferentes aspectos de lo que expone el NIST, centrándose en temas interesantes para la audiencia, como el concepto de token (secreto), la identificación por biometría, la autenticación basada en conocimiento, o los diferentes niveles de confianza como medida para el verificador.
También se centró en la opción de utilizar los teléfonos inteligentes como token y en las interesantes perspectivas que esta práctica desprende. “Un smartphone no es cualquier tipo de token”, aseguró antes de explicar que “el malware en estos dispositivos esta muy verde, hay soluciones que hacen imposible que se recupere la clave privada en caso de pérdida, y su uso aporta ventajas, como el hecho de que no hagan falta certificados. La seguridad es muy superior cuando uno almacena claves privadas en un smartphone”.
Roberto López
Por su parte, Roberto López se centró en el concepto de “autorización”, repasó los diferentes modelos que han existido y cuál es el camino que se está siguiendo en la actualidad. De este modo, confirmó que el modelo basado en roles (RBAC) “no es capaz de crecer” y mencionó el modelo basado en atributos (ABAC) como la vía para afrontar la tremenda granularidad existente en las políticas de gestión de accesos hoy en día. “Hablamos de reglas que quiere definir Negocio y que son difíciles de gestionar. Se están dividiendo los roles, creando más de los que es posible gestionar”. Eso sí, para López eso no significa que ABAC sustituya a RBAC “porque los roles están tan metidos en el día a día que se tendrán que ir migrando. Pero será un entorno mixto en el que no podemos obviar al atributo”.
A continuación, volvió a retomar la palabra Juan Jesús León haciéndose eco de un nuevo cuadrante de Gartner: Identity and Access Management as a Service (IDaaS), es decir Gestión de Accesos e Identidad como Servicio. Compuesto casi en totalidad por pequeñas empresas americanas, IDaaS suscitó a lo largo de la jornada ciertas reticencias.
Como conclusiones de su acertada intervención, los dos ponentes de GMV llegaron a las siguientes: “En primer lugar, la gestión de atributos está provocando una gran cúmulo de información de identidad asociada, lo que conlleva la necesidad del Big Data. La segunda conclusión pasa por que, al igual que ocurre en otros segmentos, en IaM será muy complicado no ir a la nube. En tercer lugar, será difícil resistirse a que los usuarios se autentiquen utilizado sus identidades en redes sociales. Otro aspecto que deberemos tener en cuenta es que hay docenas de estándares y la duda es si somos capaces o no de entenderlos, de usarlos y de hacer que coexistan; y finalmente, hemos de ser conscientes de que si hablamos lenguajes distintos no nos entendemos, con lo que sería recomendable tener un modelo que nos sirviera para enmarcar todos estos conceptos”.
A continuación fue el turno de los representantes de las compañías copatrocinadoras, quienes hicieron un revelador repaso a la visión que tienen de este mercado, así como de las soluciones y tendencias que lo pueblan en pos de afrontar los retos de la gestión y el gobierno de identidades y los accesos.
El primero en salir a la palestra fue Ramsés Gallego, Estratega y Evangelista de Seguridad de Dell Software, que se centró en el concepto de “autenticación adaptativa” en la gestión de identidad y el gobierno de los accesos, es decir, en la capacidad de adaptarse como camino para superar los desafíos que existen.
Gallego remarcó que el foco de Dell se encuentra en la mitigación del riesgo corporativo y que por esta razón el portafolio de la compañía está unificado y simplificado de cara a otorgar a las empresas control y visibilidad, así como la posibilidad de utilizar los recursos de una manera responsable. “El momento es ahora y la respuesta, la autenticación adaptativa. Teresa de Calcuta decía ‘el ayer se ha ido, el mañana todavía no ha llegado, sólo nos queda hoy’, ¿empezamos?”, sugirió a la audiencia.
A continuación, Gonzalo de la Hoz, Director de Soluciones de Gestión de Identidades y Accesos en IBM Europa, aportó la visión de un profesional con una larga trayectoria en este campo y reconoció que se había producido una “transformación brutal” a lo largo de los años, hasta “ser relevantes para el negocio y proponerle hacer nuevas cosas”.
Además, tildó a la “identidad” como clave en un mundo que se ha convertido en multiperimetral y apuntó un cambio de paradigma en el que hay un elemento que obtiene una mayor importancia: el contexto. “¿Cuánto me creo que alguien es quien dice ser? Poder contestarlo requiere un contexto y necesitamos todo tipo de tecnología –no sólo la habitual-, es decir, hace falta integración de diferentes elementos en el portafolio de la gestión de identidades”. En el caso de IBM, De la Hoz se refirió a las compras que ha efectuado la firma para potenciarlo, como Trusteer y Q-Radar.
Finalmente, además de apostar por la estandarización y de comentar que nos encontramos en la fase tres de la gestión de identidad –la de la analítica y el control basado en el riesgo-, dio algunas pinceladas de cuáles serán los nuevos retos: la nube, el acceso móvil, BYOI (bring your own identity), APIs para conectar servicios...
Posteriormente, Jacinto Grijalba, Director de Canal para España de NetIQ, aunque se centró en el terreno del producto, comenzó diferenciando la IaM (gestión de identidades) de la IaG (gobierno de identidades y accesos). “La primera conforma un conjunto de soluciones que nos va a permitir gestionar identidades, accesos y eventos, mientras que a la segunda le suma el gobierno de los accesos, mapeando las soluciones de IaM con el negocio y la propia organización, de manera que nos permita darle un sistema sencillo que no sea técnico, con el que podamos medir el riesgo y cumplir con las regulaciones existentes”.
Grijalba habló entonces sobre diferentes soluciones de la compañía que representa, como fue el caso de: NetIQ Identity Manager, para la gestión de identidades; NetIQ Access Manager / Mobile Access para la gestión de accesos.
Tras un pequeño descanso, entró en escena James Grehan, especialista IaM para el Sur de Europa de RSA, División de Seguridad de EMC, quien incidió en la idea de que la gestión y el gobierno de identidades deben estar validados y coordinados con el negocio, de modo que se puedan llevar a cabo proyectos avanzados que realmente se centren en ver dónde está cada cliente y hasta dónde quiere llegar.
Durante su ponencia, el especialista de RSA, compañía con un amplio bagaje en este ámbito, se refirió a la importancia de tener visibilidad constante y certificación, puesto que de ese modo las compañías pasarán a una segunda fase en la que se gestionen políticas y roles, de cara a que se obtenga una visión completa.
El turno de los patrocinadores lo cerró Helena Pujol, Product Manager de Safelayer, asegurando que han abrazado el cambio y están trabajando en nuevas soluciones. Y es que esta compañía española está fuertemente centrada en la autenticación.
Pujol se sumergió en las tecnologías que están suponiendo un desafío en la actualidad. “El móvil, por ejemplo, es tanto un reto como una oportunidad para fabricantes de seguridad, ya que es una herramienta utilizable y nos da la posibilidad de utilizar credenciales fuertes y seguras”, aseguró antes de mencionar el cloud computing, los accesos a través de identidades sociales, la visión del usuario como centro de todo, el trabajo en un entorno totalmente web, la federación de identidades o los flujos de autenticación adaptativa.
El coloquio posterior con todos los ponentes comenzó con una cuestión de capital importancia: ¿qué papel tienen los integradores? Ramsés Gallego rompió el fuego categóricamente: “Su papel es fundamental, crítico. Ellos tienen el conocimiento, la flexibilidad y el tacto con el cliente final. Si una buena tecnología no está en buenas manos, no triunfaremos”.
“Estoy de acuerdo, estamos hablando de proyectos laboriosos con una nueva generación de soluciones. El partner es clave, pero no se puede centrar sólo en la tecnología, pues en ese caso estará cojo”, añadió James Grehan. De igual modo se manifestaron tanto Gonzalo de la Hoz, que reconoció que “sin integradores no hay integración” y que “lo más importante es tener un conocimiento muy exhaustivo de cómo funciona un cliente”, como Helena Pujol, que señaló que delegan casi todos sus proyectos en ellos, incidieron en la necesidad de este canal.
Jacinto Grijalba fue un poco más allá al sentenciar que “mis partners son mi vida, trabajamos por canal y confiamos en él. Es fundamental tener un buen integrador y realizar un estudio de proyecto adecuado”.
A continuación, cada uno hizo un repaso de los últimos proyectos que han acometido, todos ellos muy variados tanto en tamaño como en sectores de actividad, para terminar opinando sobre la conveniencia de optar por un sistema único o por dos diferentes en la gestión de los clientes y de los usuarios internos. En este sentido, la respuesta generalizada fue la de que a pesar de que la tecnología permite la unificación y de que depende de cada cliente, no es algo que suela darse en el mercado porque no es necesario.
Para finalizar, y como viene siendo habitual en “Respuestas SIC”, fue el turno para que dos organizaciones, una pública y otra privada, dieran su particular visión sobre el tema tratado. En el caso público, fue Josep Mangas de Arriba, Director del Área de Relación con el Cliente del Centro de Seguridad de la Información de Cataluña (CESICAT), quien se congratuló de cómo su rol había cambiado: “Hemos pasado de administradores a tener el rol del gobierno de la identidad digital. Lo escuchado hoy nos ayudará a definir este gobierno para los 220.000 trabajadores que hay alrededor de la Generalitat. Ya nadie duda de la necesidad de una gestión de identidades”.
Y por la parte privada, el testimonio fue de Andreu Bravo, CISO en Gas Natural Fenosa, quien expuso que la compañía que representa lleva más de diez años desplegando gestión de identidades y asimilando las nuevas tendencias. “Tenemos control, pero no el suficiente; tenemos gestión, pero no la suficiente; y confianza, pero no la suficiente”, comentó para demostrar que la gestión de identidades, además de clave para cualquier compañía, es un elemento en constante evolución.
Asimismo, durante el debate posterior, además de explicar cuáles son los errores que se han de evitar en los proyectos de IaM, apareció un punto tan candente como polémico: la necesidad de gestionar las identidades de los entes constitutivos de la Internet de las cosas, de lo que son un vivo ejemplo las smartgrids. “Hemos pasado de dispositivos (contadores), que se limitaban a leer, a otros que son controlados, lo que implica muchos riesgos. Estamos trabajando a nivel europeo para que los fabricantes implanten medidas de seguridad que mitiguen esos riesgos, ya que aún no lo hacen porque la legislación no ha aclarado nada todavía. Así que estamos desplegando contadores con carencias de seguridad. Y hemos empezado a asumir que es un dinero tirado. Habrá que cambiarlos cuando todos los fabricantes se apliquen”, concluyó Bravo.