El evento reunió a más de 170 profesionales para reflexionar sobre este frente de la ciberseguridad

La identidad digital como parte de la ‘seguridad por diseño’ de las estrategias de transformación

IdentiSIC se ha convertido un año más en el principal escenario de reflexión y debate sobre el estado del arte de la gestión y la seguridad de la identidad digital aplicada al negocio. En un contexto donde la digitalización se erige en punto de inflexión para las empresas, la protección de las identidades y los accesos se eleva en la actualidad a elemento crítico para llevar a cabo actividades y negocios de confianza. Para reflexionar sobre este reto, el evento, organizado por SIC los pasados 16 y 17 de octubre, contó con la presencia de destacados expertos, así como el copatrocinio de CyberArk, EY, Micro Focus, One Identity, PwC, RSA, SailPoint, Thycotic, Transmit Security y víntegrisTECH.

La identidad digital se ha convertido en la nueva barrera de seguridad de los negocios. La protección de información tan valiosa como las credenciales de usuarios, colaboradores, clientes, servicios y dispositivos conectados, está obligando a reconsiderar la gestión de identidades y accesos –IaM, por sus siglas en inglés– como un elemento intrínseco de los procesos de transformación digital. En este contexto, la complejidad con la que en la actualidad opera cualquier organización hace que las soluciones tecnológicas tradicionales no logren dar respuesta a un control y una protección adecuados.

Esto requiere la búsqueda de nuevos enfoques de ciberseguridad en áreas tan críticas como el valor de la identidad digital y sus atributos, la experiencia de usuario, la autenticación avanzada y basada en el riesgo, la gestión de privilegios, la identidad de los clientes y del IoT, y el cumplimiento normativo, entre las más importantes.

Para abordar este gran reto, IdentiSIC congregó en Madrid a expertos de primer nivel, que analizaron la realidad de un ámbito que cada vez exige más atención. En la primera jornada, el encuentro contó para su inauguración con Franz Hassmann, Global Head of Security Squad de BBVA Next Technologies. Este reputado experto en la materia explicó a los más de 170 profesionales que se dieron cita, cómo se conjuga el proceso de autenticación y autorización dentro del proyecto de transformación digital de este gran grupo bancario que, en la actualidad, “se ha convertido en una enorme fábrica de software, que dista del modelo tradicional del Grupo”, comenzaba explicando el directivo.

La transformación de BBVA –desde hace muchos años altamente digitalizado– se enmarca en un mercado muy regulado y competitivo, especialmente desde la aparición de las fintech y de otros jugadores como Google, Amazon e, incluso, Facebook, que ya ha mostrado su interés en entrar en el negocio bancario, dada la gran cantidad de información que maneja. “Este contexto llevó a la entidad a operar bajo la filosofía ‘construir para diferenciarse y comprar para competir’”, afirmó Hassmann. Como resultado, ahora, BBVA cuenta con más de 11.000 desarrolladores que crean 400 millones de líneas de código a efectos, entre otros, de procesar, almacenar y asegurar la información de sus clientes, según explicó el directivo.

Bajo dicha filosofía y alineado con el proceso de transformación del Grupo nació su Plataforma Global Cloud de Desarrollo, “bajo un modelo híbrido, de bajo coste, de arquitectura abierta –open source-, con un alto componente de automatización y con foco en la puesta en valor de los datos. Sin olvidar que operamos en el contexto de un banco, es decir, que siguen existiendo sistemas legacy o heredados; no hay margen de error, el entorno está altamente regulado y las amenazas cibernéticas crecen en volumen y sofisticación”, detalló.

En este marco, según Hassmann, los enfoques clásicos para la gestión de identidades y accesos eran insuficientes. “La solución pasó por considerar la seguridad como una disciplina más y aplicarla desde el inicio –security by design– en la definición de nuevas arquitecturas y desarrollos”, reveló el experto.

BBVA se embarcó así en el desarrollo de un stack de seguridad compuesto por cuatro elementos clave: gestión de identidades para clientes, empleados y terceros –con capacidades de biometría avanzada, permitiendo el onboarding digital remoto–; protección de datos de extremo a extremo; SecDevOps; y, monitorización y trazabilidad de la información de seguridad para una prevención más efectiva y una respuesta proactiva.

“Lo que conseguimos, al final, es un conjunto de productos completos pero muy integrados –entre los que destacan los denominados Nauthilus, Armadillo, LUX, Chameleon y Chimera–, para proteger y simplificar los accesos de empleados y clientes”, apuntó Hassmann. En este proceso, puntualizó que BBVA separa la autenticación de los clientes y la de los empleados, “especialmente porque la autenticación de éstos últimos es global”, establecía el directivo. La de los clientes, por su parte, se sujeta a las características de cada una de las regiones donde opera la entidad, que registra más de 114 millones de autenticaciones al mes y supera los 28 millones de visitas únicas.

Hassmann concluyó su intervención con una última anotación, no por ello menos importante, y es que “cuando hablamos de transformación digital y de seguridad el problema no es la tecnología, sino las personas”, advertía. El cambio cultural se presentaba así como un aspecto a tener en cuenta para el éxito de este tipo de proyectos. Además, Hassmann alertó de la necesidad de desarrollar más talento, sobre todo profesionales que aúnen conocimientos tanto de desarrollo, como de ciberseguridad.

Debate

Al final de esta primera jornada y tras conocer los detalles de los últimos servicios y soluciones tecnológicas de diferentes fabricantes y proveedores, tuvo lugar un interesante debate que reunió en el estrado a os ponentes para dar respuesta a todas aquellas cuestiones que, durante el encuentro, surgieron entre la audiencia.

Entre ellas, se pedía a los participantes su visión sobre la demanda real de los proyectos de gestión y protección de identidades existentes en la actualidad. El primero en contestar fue Nelson Sánchez, Responsable de los servicios de IaM para la región del Mediterráneo de EY, quien hizo referencia a la banca como precursor de este tipo de proyectos aunque, “también comenzamos a observar cómo el sector hotelero cada vez más tiene la necesidad de conocer a su cliente y darle un acceso seguro, a lo que se le unen los clubes de fútbol, que tienen millones de seguidores”, abundó. Jean-Paul García, Security Advisor-Customer Success de CyberArk, apuntó que, aunque la compañía no trabaja directamente con el usuario o cliente final, “vemos que la incertidumbre que genera cómo gestionar los nuevos riesgos asociados a la identidad digital está provocando un crecimiento de la demanda de soluciones de ciberseguridad”. Para Jorge Sendra, Security Account Executive de Micro Focus, “existe una demanda real, que no es masiva, pero sí que se va incrementando”. De la misma forma, Raul D'Opazo, Solution Architect-Ingeniero Preventa para España y Portugal de One Identity, y Pablo Estevan, Ingeniero de Sistemas de RSA, observaban una mayor demanda de proyectos de gestión de identidades y control de accesos, especialmente, en el sector bancario.

Los asistentes aportaron también su percepción sobre la cualificación y el espacio de mejora de los grandes integradores y los proveedores de la identidad como servicio. En este sentido, consideraron la necesidad de aprender a ser ágiles y que el riesgo en la integración no afecte a los clientes finales. Asimismo, el conocimiento que un socio tiene que tener del negocio del cliente, del sector en el que opera, así como de la realidad normativa se han convertido en un valor añadido clave junto a las capacidades tecnológicas que puedan tener.

La gestión de las identidades de las cosas fue otro de los asuntos más recurrentes durante la jornada, y los ponentes mostraron varios puntos de vista sobre el particular. Para unos, la identidad de los objetos es un atributo que se sumará a la identidad de una persona, puesto que dejar a una máquina sin un responsable de una identidad puede ser un riesgo. Y, para otros, hay casos en los que se debería de tratar como una identidad genérica bien gestionada, sin tener una persona por detrás, como en los casos de pseudonimización.

A modo de colofón al debate, se pidió a los asistentes una última reflexión sobre la gestión y protección de las identidades digitales. En este sentido, García Morán consideraba importante “crear contraseñas largas pero fáciles de recordar, porque es más seguro que crearlas cortas y complejas”. Sánchez apuntaba que los proyectos de gestión de identidades “van a convertirse en un elemento estratégico del negocio que van a estar vivos durante mucho tiempo”. Sendra, por su parte, consideraba que “no existen píldoras mágicas”, por ello, “es fundamental tener una estrategia holística donde se intenten cubrir todas las necesidades y tratar la gestión de identidades como un conjunto”. D'Opazo animaba a las empresas a “modernizarse para poder estar preparados para el futuro”. Y, para finalizar, Estevan recomendaba “analizar todo el caso de uso del proyecto, ya que se han implementado tecnologías o soluciones que luego no han sido útiles en el ciclo de madurez de la compañía”.

Gestión de identidades corporativas

La segunda jornada de IdentiSIC fue inaugurada por Alejandro Becerra, Director de Seguridad de la Información de Telefónica, quien ofreció a los presentes una interesante y clarificadora explicación sobre cómo aborda esta compañía la gestión de identidades y accesos.

El directivo afirmó de forma rotunda que “la gestión de identidades es mucho más que credenciales”. Por este motivo, explicaba que “no existe una solución definitiva que resuelva el problema, dada su complejidad tanto a nivel tecnológico, como operativo”.

Entre las dificultades en la implementación de este tipo de proyectos, Becerra enumeró la heterogeneidad de identidades, los sistemas heredados, la indefinición de roles, el shadow IT, las limitaciones técnicas, la existencia de cuentas privilegiadas no controladas, dinámicas de altas/bajas y sus diferentes modificaciones, así como la falta de entendimiento de su importancia en áreas como Dirección y/o Recursos Humanos. Además, un proyecto de IaM “en ningún caso es lineal” explicó el directivo, “más bien, es multidimensional”.

Toda esta complejidad se traduce, según Becerra, en una serie de componentes que son clave: fuentes autoritativas, repositorios donde se almacena la información relacionada a las identidades y la gestión del acceso a los sistemas.

No obstante, para tener éxito, el experto directivo de Telefónica compartió con la audiencia una serie de recomendaciones, entre las que destacó la necesidad de “tratar la gestión de identidades como un componente más de las iniciativas bandera que la organización lleva a cabo como parte de su transformación digital”. Asimismo, es importante tener quick wins, es decir, acciones que puedan ser más básicas y requieran ‘poco’ esfuerzo pero que den un resultado relativamente grande, como la gestión de contraseñas o el gobierno de identidades. “Es fundamental también, involucrar de forma activa al negocio, tratar de simplificar los procesos y, en última instancia, llevar a cabo técnicas de análisis cognitivo y aprendizaje de máquina aprovechando la riqueza de información proveniente de la IaM”, añadió.

Tras esta introducción, el experto pasó a explicar cómo está abordando Telefónica este tipo de proyectos, destacando una aproximación local y global de la gestión de identidades.

“Disponemos de un modelo local clásico, que incluye desde fuentes autoritativas hasta control de accesos”. En concreto, “hemos pasado a tener una fuente autoritativa –HSM de SAP en la nube– global única para todo el Grupo con la que gestionamos el cien por cien de nuestra plantilla. Esa fuente alimenta sistemas de gestión de identidad locales en cada uno de los países donde operamos y sobre los cuales aplicamos soluciones IaM, en este caso, de IBM y Oracle”. Becerra recordó que avanzar en la consolidación de repositorios es también muy importante si se quiere hacer una gestión de identidad robusta. En la parte de clientes la estrategia también es global y local. “En nuestra estrategia de 4ª Plataforma hay un proceso que se está desplegando de forma homogénea en todos los países, aunque la gestión de identidades se está llevando a cabo, como en el caso corporativo, de forma local”.

Para concluir, Becerra indicó que “es preferible tratar de ir con una ambición reducida, medida, gestionando muy bien las expectativas con proyectos quick wins, por ejemplo, e ir con un pensamiento a medio plazo que ya sea más ambicioso”. Asimismo, apuntó que “hay que tratar de sumar estos proyectos a las diferentes iniciativas de transformación de la organización para evitar que pierdan relevancia y puedan tener continuidad en el futuro”.

Debate

Como colofón, el encuentro celebró un nuevo debate que reunió en el estrado a todos los ponentes que formaron parte de la segunda y última jornada de IdentiSIC para tratar los diferentes temas que la audiencia trasladaba.

En primer lugar, los participantes se pronunciaron acerca del rol del área de Seguridad dentro de la toma de decisiones sobre un proyecto de gestión de identidades. De acuerdo con Javier Jarava, Principal Solution Engineer de Transmit Security, “el Departamento de Seguridad te puede abrir las puertas pero no es el decisor; es el área de Negocio el principal interesado en que las cosas se lleven a cabo”. José María Jiménez, Director Técnico en víntegrisTECH, coincidía con Jarava al afirmar que “hasta que no haya una necesidad de negocio real que implique una puesta en marcha de un proyecto, no se materializa”. Para Julio Castilla, Director de Identity y Data Governance de PwC, “el área de Negocio tiene que ir de la mano con TI y Seguridad, que son los encargados de dar solución a las necesidades de la empresa”. De igual forma, Carlos Ferro, Director Regional para el Sur de Europa, Middle East y África de Thycotic, añadía que “la seguridad, concebida como un componente independiente del negocio va a desaparecer, al igual que ya se eliminado la separación con el Departamento de TI”. Por su parte, Alejandro Fernández, Regional Presales Manager de SailPoint, explicaba que “en nuestro caso, por ejemplo, la compañía nació de la mano de Negocio porque nuestro software no iba focalizado a los expertos de TI, sino a la empresa, que es la que tenía que dar el salto”.

Otra de las cuestiones que suscitó gran interés entre los asistentes era conocer si las empresas representadas en el estrado eran objetivo de ciberataques. Sin duda, todos afirmaron que sus infraestructuras son blanco de ataques pero, conscientes de ello, todas sus compañías están preparadas para afrontar cualquier amenaza con el reconocimiento de diferentes certificaciones.

Para concluir, se pidió a los ponentes que desvelasen algunos de los proyectos más representativos para sus respectivas compañías. El primero en contestar fue Castilla, que en el caso de PwC, son “aquellos en los que hemos partido de soluciones ad-hoc y que han ido evolucionando a un servicio gestionado de la identidad”.

Fernández resaltó el trabajo realizado para una entidad financiera donde “te das cuenta de la cantidad de procesos manuales que aún se siguen haciendo y la forma en la que los empleados te involucran en el ciclo de vida de dicho proyecto”. Por su parte, Ferro destacó un ejemplo sobre la gestión de identidades de dispositivos de inteligencia artificial. “Para nosotros fue algo muy novedoso”, recordó. Como parte de Transmit Security, Jarava subrayó dos: “el uso de la biometría para procesos de pago y, otro menos visible, relacionado con la creación de una plataforma de políticas de autenticación de usuario unificado para 74 países, un proyecto que está generando impacto desde un punto de vista de sinergias y de simplicidad para el negocio”. Para finalizar, Jiménez apuntó que en víntegrisTECH “tenemos un cliente que utiliza nebulaSUITE para proveer un servicio de notificaciones electrónicas para las comunidades de propietarios”.

Visión y propuesta de los proveedores de servicios

EY

Destacaron la arquitectura NextGen IAM de EY, diseñada para orquestar la integración en todo el ecosistema y ciclo de vida de IaM, es decir, gobierno y administración de la identidad, gestión de accesos, accesos privilegiados y administración de la identidad del cliente. Los representantes de la compañía resaltaron también que el IoT es parte de una identidad, con lo que tiene que formar parte del proyecto de gestión de identidades que se realice. Además, una experiencia de usuario dinámica y adaptada a las necesidades de usuario puede ser el punto de partida para las estrategias de CIaM.

PwC

Trasladaron a la audiencia su experiencia en la evolución de una estrategia IaM como servicio gestionado. Un proyecto compuesto por varias fases: evaluación y estrategia, el diseño del catálogo de servicios y actividades y el modelo de relación, el diseño de procedimientos, herramientas, implantación y un proceso de mejora continua. Para PwC es importante que este servicio se reporte internamente, por eso ha desarrollado diferentes KPIs enfocados tanto a costes y eficiencia, auditoría, riesgo y cumplimiento, como indicadores de orientación a servicio para mejora continua.

Fabricantes. Visión y propuesta

CyberArk

Explicó el modelo de CyberArk, focalizado en la gestión y protección de los accesos privilegiados y donde la compañía se basa en tres principios clave: principio de privilegio mínimo; monitorización continua; y, credenciales y secretos almacenados y protegidos en un vault. Dentro de su propuesta destacó también la solución Privileged Threat Analytics (PTA), de analítica en tiempo real para la detección de actividades anómalas, como accesos excesivos, sospecha de robo de credenciales, acceso privilegiado no gestionado, así como acceso privilegiado al vault desde una dirección desconocida, entre otras capacidades.

Micro Focus

Detalló cómo abordar la gestión de las identidades digitales y accesos a través del portafolio de Micro Focus, que abarca desde el control de accesos, la gestión y el buen gobierno, hasta la monitorización global de la identidad digital. En este contexto, destacó la importancia de la gestión de las cuentas privilegiadas, porque si bien su volumen es menor, tienen un mayor riesgo inherente que el resto. La compañía también ofrece capacidades adicionales como Micro Focus Identity Tracking, un SIEM focalizado en la identidad que refuerza las capacidades de los SIEM corporativos.

One Identity

Centró su exposición en las soluciones de One Identity dirigidas a tres áreas específicas: gobierno de las identidades, gestión de accesos y gestión de cuentas privilegiadas. Todas ellas, modulares e integradas entre sí, descansan en una plataforma cloud desde la que la compañía las ofrece como servicio. Resaltó, además, que sus soluciones también aportan valor en el ámbito del CIAM, como la gestión de contraseñas, gobierno de cuentas privilegiadas, acceso a aplicaciones, métodos de autenticación, etc. Todo, basado en estándares como SAML, SCIM, Oauth 2.0 y Open ID Connect.

RSA

Describió el enfoque de la compañía destacando su aproximación basada en el riesgo, es decir, a través del assurance o nivel de confianza, a la hora de certificar la identidad de esa persona. Para ello, RSA se centra en tecnologías de múltiples factores de autenticación; en métodos modernos para dicha autenticación múltiple, como los biométricos, tokens, geolocalización, etc.; en procesos de autenticación basada en el riesgo a través de toda la información recabada del contexto en los accesos; y, a partir de esta evaluación, en la asignación de los distintos niveles de confianza.

SailPoint

Explicó cómo la compañía ofrece un enfoque basado en el gobierno de las identidades a través de una plataforma abierta que permite la integración con otras tecnologías y que se extiende a entornos híbridos. Con ello, SailPoint ayuda a las empresas a responder a tres preguntas clave: quién tiene acceso en la actualidad, cuándo y cómo lo está utilizando, y quién debería de tener acceso. A la hora de gobernar la identidad, la firma habilita y protege las identidades digitales que comprende todos los usuarios –donde de incluyen robots como identidad y dispositivos IoT–, las aplicaciones y los datos, tanto estructurados como no estructurados.

Thycotic

Thycotic se focaliza en la gestión de cuentas privilegiadas –PAM, por sus siglas en inglés– asociadas y no asociadas a personas, a través de soluciones que pasan por el descubrimiento de credenciales críticas, cuáles de ellas están activas, el control total de la credencial automatizando el proceso de gestión de contraseñas y el control de los servicios de cuentas privilegiadas. Además, ofrece un adecuado nivel de cumplimiento a través de la trazabilidad de las cuentas privilegiadas. A esta aproximación preventiva se suma su tecnología de detección a través del análisis de comportamiento.

Transmit Security

Esta compañía considera que la gestión de identidades en el mundo cliente tiene una serie de características específicas diferentes a la gestión de identidades interna. Los clientes con cada vez más exigentes en cuanto a facilidad, simplicidad y funcionalidad, y lo que pretende es re-priorizar la experiencia del usuario. Su propuesta se basa en una plataforma de gestión de la autenticación, autorización, cumplimiento normativo, prevención de fraudes y la apertura de cuentas en todos los canales y aplicaciones de una compañía. El valor más diferencial es el denominado over the air orchestration, que permite gestionar las identidades de una empresa y realizar modificaciones sin necesidad de cambiar código en la aplicación.

Vintegris TECH

Desgranó los diferentes mecanismos de la compañía para el control y la protección de la identidad digital, como los certificados digitales personales cualificados, la firma digital avanzada y cualificada, el sello electrónico, el certificado digital de un servicio y la autenticación robusta de doble factor. Todo a través de su proveedor de servicios de confianza, VinCASign, y la plataforma nebulaSUITE. A través de ésta, por ejemplo, se realiza la verificación de la identidad de un servicio con nebulaDISCOVER Y, a la hora de 'mapear' esas identidades y formalizar el acceso seguro y robusto a servicios de terceros en la nube, se utiliza nebulaACCESS.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×