En su quinta edición, congregó a más de 200 asistentes en las dos jornadas con las que contó el encuentro
IdentiSIC muestra las claves para adoptar una estrategia de IaM segura en el camino hacia la hiperconectividad y la IoT
La gestión de identidades, la protección de cuentas privilegiadas y los sistemas de autenticación se han convertido en la piedra angular para la prevención de ciberataques pero también, para mejorar la experiencia de usuario en su interacción con los servicios en línea, tanto de empresas como de organizaciones públicas. Pero el advenimiento de la robotización y del IoT, y los requisitos de seguridad y de cumplimiento normativo, están incrementando más que nunca la presión sobre las organizaciones en esta área. Para conocer las últimas soluciones en este campo, Revista SIC organizó el 29 y 30 de octubre la quinta edición de su espacio IdentiSIC. Contó con la presencia de reputados expertos y con el copatrocinio de las firmas EY y PwC y de las compañías proveedoras de tecnología BeyondTrust, CyberArk, Micro Focus, Okta, SailPoint, Thycotic, Transmit Security y Víntegris.Más de 200 asistentes, entre expertos en ciberseguridad y gestión de la identidad de empresas y organismos públicos se reunieron en la nueva edición de IdentiSIC 2019. Este año, bajo el lema ‘Un desafío global ante la transformación: La identidad digital segura en la sociedad conectada inteligente’, se debatió sobre las amenazas, problemas y los grandes retos que plantea gestionar de forma segura y eficiente todo tipo de identidades y cuentas privilegiadas en un mundo digitalizado e hiperconectado, que vivirá una gran revolución de la mano del Internet de las Cosas, las redes 5G y la Inteligencia Artificial. En el mercado existen ya buen número de soluciones y plataformas que cada vez más facilitan la labor de los responsables de la seguridad de la IaM orientada al negocio.
Buen ejemplo fue la ponencia de Juan Francisco Losa, Global TISO (Technology Information Security Officer) de BBVA, encargado de iniciar el turno de intervenciones del encuentro, mostrando cómo la evolución de la identidad afecta a los pilares estratégicos de esta gran entidad que lleva muchos años altamente digitalizada. Más de la mitad de sus operaciones (el 58%) ya se realizan a través de canales digitales, frente a tan solo un 16% hace tres años, además de aumentar significativamente la preferencia del uso de dispositivos móviles para relacionarse con el banco. Precisamente, en su proceso de transformación, uno de los proyectos más innovadores que está acometiendo, ligado el área de Gestión de la Identidad y el Acceso (IAM), es el denominado 'Do it Yourself', cuyo objetivo es “permitir que nuestros clientes interaccionen con nosotros a través de cualquier canal”, explicó Losa.
Para la creación de este proyecto han sido decisivos algunos factores claves. En primer lugar, el de la seguridad, con la que se intenta garantizar la identidad de quien está interactuando con el banco, evitando el fraude, un aspecto crítico y “el más relevante cuando falla la seguridad”. “Los otros factores que no podemos dejar de lado, son la usabilidad y la regulación que tenemos que cumplir, como la PSD2, que también adoptamos como un valor añadido para que los clientes puedan relacionarse con el banco con seguridad”.
Gestión de las distintas identidades digitales
El tratamiento de la identidad digital también ha llevado al BBVA a trabajar alrededor de tres procesos. El primero es el denominado Agile IAM, que dentro del proyecto 'Do it Yourself', “persigue tener una identidad global y única de los usuarios de nuestros sistemas”. Esto implica conocer quién tiene acceso a qué, en el momento correcto y por la razón adecuada. Por ejemplo, “estamos empezando a 'staffear' empleados, es decir, a dotarles de los permisos que les corresponden cuando cambian de un proyecto a otro. Esto proceso era antes estático y ahora ha cobrado mucho dinamismo”.
La segunda área en la que la entidad bancaria está trabajando se relaciona con el Identity Relationship Management, un concepto que durante el encuentro fue muy destacado como tendencia en IAM. Se trata de la capacidad de gestionar las distintas identidades de una persona dependiendo de la relación que quiere establecer, en este caso, con el banco.
La tercera área se enlaza con los atributos y datos de la identidad. “Siempre se han dado permisos en función del rol que una persona desempeña en la organización. En BBVA estamos evolucionando este concepto y, ahora, dicho rol pasa a ser un atributo más de una identidad sumándose a muchos otros, como el dispositivo móvil, la ubicación desde la que estás accediendo, etc”. “Toda esta información nos permite tomar decisiones de forma mucho más granular en el proceso de autenticación y de autorización de una persona en los sistemas del banco”.
La biometría como factor diferencial
Además de la identidad, la autenticación es, sin duda, otro factor crítico. En este proceso, BBVA está desarrollando dos proyectos. Por un lado, una plataforma de autenticación y autorización global para todos los journeys de los usuarios de los sistemas del BBVA, centrada en el dispositivo móvil. Y, por otro lado, un sistema para aquellas personas que decidan hacer clientes del banco de manera remota, es decir, a través del onboarding digital, con el que ya han hecho cliente a 22.000
personas en el mundo. Para ello, Losa destacó la creación de Veridas, una empresa formada junto con la startup Das-Nano, para realizar ese onboarding online, a través de la verificación y autenticación digitales mediante el uso de biometría.
El viaje de transformación de la seguridad
En todo este proceso de evolución digital del BBVA ha sido esencial que la seguridad se transformara al ritmo al que lo hacía el negocio relacionándose con él de manera directa y en todo momento. Un ‘viaje’ que resumió en cinco fases: “empezamos centrándonos en temas de política y cumplimiento, seguimos hacia una seguridad técnica y un SOC. Luego, dimos un paso más para empezar a acompañar a los que estaban liderando la transformación tecnológica del banco
Mesa redonda: Retos de la Identidad en 2020
Tras la exposición de los expertos en servicios y de los desarrolladores de soluciones y tecnologías, se celebró una mesa redonda con los ponentes, para responder a las inquietudes de los asistentes. Así, los expertos destacaron lo prioritario que cualquier empresa debería emprender para contar con una adecuada estrategia de IAM. Anastasia Sotelsek, Principal Sales Engineer de CyberArk, indicó que “es necesario empezar por proteger las cuentas más básicas, por ejemplo, usando un modelo de cuentas compartidas para empezar a reducir los vectores de ataque”. Además afirmó que “es necesario confiar en la tecnología para obtener esa 'accountability' entre la persona y la credencial que se utiliza”.
Juan Per Muñoz, Channel Sales Manager de Okta para España e Italia, resaltó los beneficios de la doble autenticación “porque ofrece mayor protección a las empresas y una mejor experiencia de usuario”. Nelson Sánchez, Spain & MED Identity and Access Management Leader de EY resaltó la necesidad de “contar con el presupuesto adecuado y, sobre todo, que las distintas áreas de negocio (auditoría interna, seguridad, DPOs, tecnología...) se pongan de acuerdo y que el proyecto no solo se queden en una solución IAM básica, sino que permita habilitar más mecanismos que realmente funcionen para que la organización sea más segura”. Para Jacinto Grijalba, Cybersecurity Sales Manager de Micro Focus, “depende de la necesidad de cada organización”, poniendo sobre la mesa la diferencia entre “eficiencia y seguridad” para indicar que “hay que tener esos dos conceptos cubiertos”. Y, al igual que Sánchez, recalcó la necesaria implicación de toda la organización para poner un proyecto así en marcha. Una reflexión que también compartió Jorge López Ranz, Territory Sales Manager de BeyondTrust.
Además durante el coloquio, cada uno de los ponentes brindó la audiencia una sugerencia para contar con una buena estrategia de IAM. Todos coincidieron en comenzar por “pequeñas batallas” que impacten en la organización y que sean el punto de partida para continuar ampliando el desarrollo de este tipo de proyectos. Además, consideraron vital “la colaboración entre las distintas áreas de negocio” y “apoyarse en un integrador que sea capaz de conectar las distintas tecnologías implicadas”.
Las identidades de una misma persona
La segunda jornada comenzó con una ponencia que no dejó indiferente a la audiencia. Jorge Dávila, Director del Laboratorio de Criptografía de la Universidad Politécnica de Madrid y colaborador de SIC, analizó el problema de identidad y la pérdida del anonimato en un mundo cada vez más digitalizado. Por eso destacó que, desde la propia concepción del ser humanose empieza a formar la identidad, definida “como un conjunto de múltiples bifurcaciones (biológicas, históricas y personales), que hacen que seamos lo que somos y que los individuos se diferencien entre sí”. Con una característica particular: “como no podemos retroceder en el tiempo, no se puede borrar”, dictaminó. Inherente a las personas también está la identidad social, que viene marcada por nuestro entorno; la legal, que se confiere a través de documentos como elDNI, así como la que considera “más preocupante”; y la identidad subjetiva del individuo, “que es lo que uno cree que es”, fruto del ego, la ética, la moral, etc.
Antagonismo entre identidad y anonimato
Dávila explicó que la identidad, por tanto, es un conjunto de datos asociados entre sí y a un mismo identificador. Para este experto, esto ha propiciado la llegada de la “monitorización permanente” donde se capturan los cuatro tipos de identidad enumerados. Para evitarlo, Dávila centra la solución en los pseudónimos, que sustituyen a una identidad conocida por otra sin datos asociados. El pseudónimo tiene sus ventajas y sus inconvenientes pero, no obstante, los sistemas digitales van a seguir necesitando identidades.
En ese sentido, destacó uno de los últimos planteamientos que mayor interés está suscitando en la actualidad, como es el de la Identidad Auto-Soberana (SSI), que pretende entregar el control total de los datos a su titular. En estos sistemas existen tres elementos clave: el identificador descentralizado o DID, que es “el identificador único que no requiere autoridad central de registro porque se incluye en un directorio distribuido y descentralizado”; el DID Document, un documento con los datos que describe el DID, como datos biométricos, méritos, etc.; y el titular de la identidad, un individuo, organización o cosa. Pero, según Dávila, uno de los mayores problemas es la falta de un mecanismo de control que demuestre que ese DID pertenece al que lo está presentando. Aunque para este experto lo que más preocupa es que “los nuevos sistemas propuestos sucumban a las modas y carezcan de madurez, claridad y auditoría”.
IdentiCAT
A continuación, Nacho Alamillo, Director de Astrea, y Pablo Gómez, Gestor Técnico de la Secretaría de Políticas Digitales y Administración Pública de la Generalitat de Cataluña, presentaron un proyecto de identidad digital autosoberana que Cataluña está desarrollando con el nombre de IdentiCAT.
“El proyecto pretende poner una primera piedra en el camino para que el ciudadano pueda tener la identidad bajo su control”, indicó Gómez. El objetivo final es “desarrollar una tecnología que permita llegar a tener una única identidad que se maneje de manera universal”, puntualizó. Además, “se pretende que sea segura, que se ajuste a la legalidad pero que permita al usuario controlar qué dato da a quién, en qué momento, y para qué. Y que lo pueda hacer con facilidad, incluso, desde el móvil”. Para ello, propusieron un modelo de identidad digital,basado en blockchain “y trasladar la Autoridad de Certificación a un validador que tenga reputación y que sea visto como alguien fiable, como, por ejemplo, la Generalitat de Cataluña”.
El proyecto, que se pondrá en marcha mediante concurso público, contará con una “aplicación, un wallet, que el usuario podrá instalarse en su móvil y en la que se generará y guardará su identidad, así como un módulo de validación y otro de autenticación”. Según explicaron, estos datos deben de validarse a través de un validador/certificador que los revisa en base a unos protocolos y, si está de acuerdo, trasmitirá credenciales verificables que se guardan en su dispositivo móvil y pasará a una red pública DLT, no ‘permisionada’, con un hash, “porque no queremos publicar datos, pero sí que se pueda comprobar”. Ello permitirá que “el ciudadano solo transmita aquellos atributos que él esté dispuesto a trasmitir, bajo su control”. Por ejemplo, para darse de alta en una red social, la edad.
Con este proyecto, según destacaron, el ciudadano opera en un entorno con total validez jurídica y digitalmente seguro, emancipado 'identitariamente' de empresas privadas y administraciones públicas, capacitado con herramientas de gestión y control de los datos, y sea apoderado, propietario y tenga única custodia de sus datos. El papel de la Administración será validar los datos del ciudadano, certificar la tecnología homologada y aporta valor, al nuevo sistema, promocionando activamente su uso. “Lo que no hará la Administración será generar identidades, tampoco custodiará los datos del ciudadano, ni controlará sus actuaciones”, remarcó Gómez.
La gestión del IDoT
A continuación, Javier Hidalgo, Arquitecto de Soluciones del Sector Industrial de GMV eSecure Solutions, abordó otro de los temas protagonistas de esta edición, la ‘identidad de las cosas’. Y es que, la evolución de los dispositivos conectados (el IoT), genera muchas oportunidades pero también amenazas muy críticas si no se identifican, autentican y controlan de forma adecuada. Por eso, ofreció las claves esenciales del IDoT para facilitar la gestión de las relaciones entre dispositivos, personas, servicios y aplicaciones, a través de la definición de la identidad de cada uno de estos elementos.
En este sentido, recomendó tener en cuenta el registro de la identidad del dispositivo, el enlace dispositivo-identidad, la autenticación, cómo se comparten estos datos y las relaciones multifaceta. Además, destacó la importancia de revocar sus permisos una vez terminada su vida útil.
Destacó, asimismo, la importancia de la planificación, teniendo en cuenta aspecto como la implementación de la IoT en el sistema IAM, gestión de riesgos y cumplimiento, y desarrollar un plan bien documentado sobre cómo responder a fallos y brechas de seguridad en los activos IoT, entre otros. Además, planteo la necesidad de llevar a cabo una correcta implementación y operación del proyecto, por ejemplo, evolucionando los controles de seguridad para incluir protocolos IoT estandarizados, extendiendo el sistema de gestión de activos para inventariar y documentar los dispositivos IoT e implementando un sistema de gestión de usuarios privilegiados para asegurar el acceso de los administradores a la plataforma de monitorización y control de estos dispositivos.
Hidalgo concluyó explicando que“el gobierno del IoT tiene que basarse en la identificación de las mismas, es decir, en la gestión de sus identidades”. Pero no solo eso: “hay que tener en cuenta la gestión de las relaciones para ver cómo interactúan las diferentes piezas entre sí y con el resto de infraestructuras y protegerlas de manera adecuada”. En este sentido, planteó si se debería ir hacia el Identity Relationship Management para incrementar la seguridad en estos entornos.
Mesa redonda: prioridad de los CISOs
IdentiSIC finalizó con una mesa redonda con los conferenciantes de la segunda jornada, que debatieron sobre las prioridades en la gestión de IaM. Alejandro Fernández, Presales Manager Iberia de Sailpoint, destacó la importancia de “contar con un gestor de identidades, como punto de partida para ir ganando en madurez con más capacidades”. Sergio Marín, Enterprise Sales South Europe de Thycotic, indicó que priorizaría las cuentas privilegiadas. Javier Jarava, Principal Solution Engineer de Transmit Security, afirmó que es el responsable de negocio, más que el CISO, quien tiene que impulsar una estrategia alrededor de la identidad y evitar los grandes proyectos y empezar con algo que se pueda desarrollar con flexibilidad y a la velocidad del negocio”. Javier Hidalgo, lo expresó de forma directa: “mi único deseo es ser capaz de involucrar a la alta dirección”.
A continuación se pidió la opinión de los ponentes sobre la promesa de la nueva Presidenta de la Comisión Europea, la alemana Ursula Von der Leyen, quien dijo recientemente que, dentro de sus primeros 100 días en el cargo, quiere proponer una legislación sobre las implicaciones humanas y éticas de la inteligencia artificial (IA).
Visión y propuesta de los proveedores de servicios
EY
Para Sánchez existe ya un nivel de madurez suficiente en este campo como para que las empresas empiecen a establecer procesos avanzados de monitorización y gestión de riesgos, ofreciendo más protección al negocio. Por ejemplo, “si se conecta a un SIEM no solo tenemos que saber qué y quién accede sino, también, cómo está accediendo y desde dónde”, explicó. Resaltó también, la necesidad de involucrar a todas las áreas de negocio en un proyecto IaM (financiera, cumplimiento, DPO, tecnología, seguridad...), e invitó a la audiencia a reflexionar sobre cómo se va a abordar IaM en el IoT y los robots, que son dispositivos que tienen identidades per sé, pueden ser atributos de una persona o ambas cosas.
PwC
Visión y propuesta de los fabricantes
BeyondTrust
Ranz destacó que “el usuario y la contraseña son el nuevo perímetro”. Así explicó cómo están evolucionando las plataformas de gestión de accesos privilegiados (PAM) mostrando los beneficios de este tipo de soluciones y resaltó que “un buen sistema PAM tiene que tener la 'granularidad' suficiente para saber quién está detrás de una identidad, y abarcar más allá de los entornos AD de Microsoft, incluyendo Linux, Mac y DevOps”. También explicó que las soluciones PAM “no solo se centran en controlar las cuentas privilegiadas sino también en la protección del acceso remoto, la gestión de vulnerabilidades, la auditoría, etc”.
CyberArk
Abordó el ámbito de la seguridad de las cuentas privilegiadas en entornos DevOps y de desarrollo en la nube. “Es vital custodiar las identidades y gestionar las credenciales tanto de los desarrolladores, como de los servicios que programan”, aseguró. Así, consideró prioritario entender el código como “el nuevo ‘usuario privilegiado’”. CyberArk cuenta para ello con una única plataforma de gestión y control de accesos privilegiados, con soluciones de nicho como Secretless para eliminar la dependencia entre la aplicación y la credencial, y Alero, para resolver el problema del acceso remoto mediante la autenticación biométrica.
Micro Focus
Centró su intervención en la “detección de lo desconocido” a través de cuatro puntos clave: 1) Verificar qué se sale de lo 'normal' y aplicar un nivel de riesgo para trabajar sobre ello. 2) Analizar el comportamiento de cada entidad de forma individual y con los grupos asociados. 3) Detectar falsos positivos aplicando aprendizaje de máquina sobre la información que hay en los sistemas. 4) Detectar casos de uso aplicando las tácticas de MITTRE ATT&ACK para detectar que es o no anómalo. Grijalba terminó destacando la tecnología Interset de Micro Focus, una solución UEBA para la detección de comportamiento anómalo de usuarios y entidades.
Okta
Explicó cómo la estrategia de la compañía se centra en llegar a una experiencia de usuario, sin contraseñas, a través de su plataforma Okta. Aquí, el nivel adicional de seguridad se obtiene a través de la autenticación multifactor (MFA), que implica tres áreas de la identidad: algo que tienes, algo que sabes y algo que eres. Esto permite a las organizaciones elegir cuáles se ajustan mejor a sus escenarios específicos. “Una autenticación más fuerte se debe conseguir teniendo en cuenta diferentes contextos, como la red, el dispositivo y la ubicación: No basta solo con el nombre de usuario, la contraseña y la aplicación a la que se accede, sino que hay que comprender el contexto”.
SailPoint
Analizó el creciente uso de robots en las empresas que, en su mayoría, carecen de identidad. Sin duda, los robots necesitan una identidad y poder gestionarla a través de una arquitectura adaptada a ello en la empresa. “Ésta debe de estar enfocada al gobierno de las identidades, así como habilitar y proteger las identidades digitales de todos los usuarios, aplicaciones y datos”. Precisamente mostró cómo funciona la plataforma de su compañía que, a través de análisis predictivo, gestiona la solicitud de accesos y los procesos de certificación. Para ello se basa en tres pilares: gestión del riesgo, gobierno inteligente y el incremento de la eficiencia con la automatización.
Thycotic
Cada vez existe un menor control sobre las cuentas privilegiadas, destacó, “especialmente, las cuentas de servicio, aquellas cuentas y credenciales privilegiadas que se crean a medida que se van adquiriendo servicios en nube, así como las embebidas en código en los desarrollos de DevOps”. Para ofrecer seguridad en ellas, Marín desgranó el amplio catálogo de productos que posee Thycotic, construido sobre una plataforma cloud nativa para dar respuesta a esta problemática. Una oferta con soluciones comoSecret Server, Privilege Manager, Privileged Behavior Analytics, Account Lifecycle Manager, entre otras, cuya utilidad ejemplificó a través de los casos de dos grandes organizaciones, una privada y una pública.
Transmit Security
En una ponencia titulada 'Identidad: empleado, cliente y más allá', Jarava explicó los problemas más comunes en las experiencias de clientes/usuarios en su interacción con distintos canales y utilizando distintas soluciones dentro de una organización. Para resolverlo Transmit Security ha desarrollado una plataforma de automatización a través de cuatro componentes o motores: 1) para la conexión de soluciones con aplicaciones, 2) gestión de datos automática, 3) construcción de casos que corren en cualquier lugar automáticamente y 4) la ejecución de forma automática del 'identity journey'.
Vintegris
Abordó su visión para lograr un nuevo mercado monetario digital contando con una identidad digital única mundial. En su aproximación hacia este objetivo, en julio de 2018, el Departamento de Innovación del Gobierno Suizo (Innosuisse) decidió invertir en la tecnología de Euronovate (propietaria de Vintegris), para tener un KYC (de identificación de clientes en el mundo financiero) completamente digital. Así nació la solución TAP-ID, una tecnología que permite certificar con un solo onboarding en línea, con una identificación se adapta a los cambios en la vida de la persona y se asegura que la persona es quien decide cómo, cuándo y quién tiene acceso a su identidad y, con un simple paso, es posible compartir los datos para cualquier nuevo servicio.