En su séptima edición, en formato mixto, contó con cerca de 400 profesionales

IdentiSIC 2021 muestra cómo la sociedad digital y el ecosistema corporativo deben poner a la identidad como centro de su viabilidad y confianza

Bajo el lema ‘Cara a cara con la identidad”, IdentiSIC volvió a ofrecer una muestra representativa de los enfoques más significativos en la gestión y protección de la identidad digital, así como proyectos de gran calado que destacan, más que otros años, la necesidad de ponerla “en el centro” y “como pilar” para acometer con éxito enfoques de Confianza Cero y, en general, de transformación digital. Durante dos jornadas, profesionales con una dilatada experiencia, como Paloma Llaneza, de Razona LegalTech, el profesor de la UPM Jorge Dávila, y empresas de referencia, como PwC y Acciona, expusieron los cruciales retos en el contexto europeo para avanzar con decisión en la viabilidad de una identidad digital segura y para llevar a buen puerto la transformación digital corporativa. El congreso contó, además, con expertos de Aiuken, CyberArk, CyberRes de Micro Focus, Entrust, Microsoft, Okta, SailPoint, Thycotic y Transmit Security, copatrocinadores de esta edición, que aportaron su visión, experiencia y puesta al día tecnológicas de un reto clave para el afianzamiento de la sociedad digital.

De cara al inminente 2022 se espera que definitivamente tenga lugar la consolidación del trabajo híbrido y, también, la gran revolución digital en España, sobre todo, en el sector público, fruto de la inversión que se realizará gracias a los fondos europeos de recuperación. Un panorama en el que la gestión de la identidad y de las cuentas privilegiadas jugarán un papel crítico.

Así se destacó en la séptima edición de IdentiSIC, el congreso de la identidad digital segura de referencia en español que, bajo el lema ‘Cara a cara con la identidad, en entornos de confianza cero’, concitó el interés de alrededor de 400 profesionales de grandes organizaciones y de la industria de la ciberseguridad y la confianza, los pasados 16 y 17 de noviembre.

Identidad europea autosoberana

En un auditorio que rozó el lleno absoluto y con amplia participación en su formato virtual, José de la Peña, Director de SIC, presentó esta edición recordando la importancia que está cobrando este concepto en los nuevos entornos de nube e híbridos, dando paso a la primera ponente, Paloma Llaneza, CEO de Razona Legal Tech, una de las máximas especialistas españolas en la materia y, también, Directora Técnica de EIDAS-TI de Certicar. En su ponencia, titulada ‘La billetera digital personal interoperable: el punto clave de la futura identidad europea’, destacó el esfuerzo que está llevando a cabo la Comisión Europea “por hacer una identidad digital común para toda Europa”. Actualmente, en el mundo digital se funciona “con una identidad presunta”, “no hay, en realidad un proceso de verificación, aceptamos las manifestaciones de las partes”, comenzó explicando a la vez que recordó que el gran reto para crear una identidad digital europea pasa por contar con “un entorno seguro e identidades que no puedan ser suplantadas, además de confiar en sus emisores”.

En este sentido, afirmó que “existe un binomio ‘Zero Trust y fricción’, además de recordar que la Presidenta de la Comisión, Ursula von der Leyen, está apostando por la identidad autosoberana, como la planteó Christopher Allen, de forma que “las identidades sean autogobernadas frente a las identidades federadas”. A colación, destacó la labor de “un grupo de 29 países que están colaborando en blockchain e identidad en el marco europeo de identidad autónoma (ESSIF) para sistemas de identidad autosoberana”. Entre otros trabajos, “se está apostando por una desarrollar una normativa sobre credenciales verificables. Se trata de que se puedan ‘cargar’ en la billetera europea los atributos necesarios”.

En este sentido, Llaneza explicó cómo funciona dicho sistema en el que se cargan atestaciones de atributos. Un reto complicado por cuanto normativas como eIDAS2 “han aumentado la complejidad”. De cualquier forma, puso en valor que “hay un consenso en que la billetera es una buena idea, así como testar atributos a través de servicios cualificados”, entre otros aspectos.

Por eso, consideró que “sería un error no abrir el ecosistema a atributos más allá de lo que plantea el reglamento”, pudiendo incorporar a él elementos de otros emisores como, por ejemplo, bancos o la mayoría de edad, “que se pide en muchos servicios para acceder a ellos”. Pero no es una decisión fácil: “a pesar de que la idea de Van der Leyen es ésta, hay una tensión en la UE entre las posturas de cada país”. Por eso, “debe preocupar que se apueste por una estandarización que, por ser muy segura, no funcione”. En definitiva, comentó, esta nueva identidad digital europea tiene que estar alineada con la “soberanía de datos en Europa y la protección de la identidad, que sea aceptada por las plataformas mundiales”.

Identidad táctica vs estratégica

A continuación, Andrés Diego, Socio Responsable de Identity and Data Governance, de Business Security Solutions, en PwC y, Jon Gabilondo, Gerente de Arquitectura TIC de Acciona, mostraron el proyecto que están acometiendo juntos en la multinacional española en una ponencia bajo el título ‘La identidad, pieza clave en la transformación digital corporativa’. “Hemos comenzado un proyecto que es muy importante en la estrategia de la compañía”, la cual cuenta con más de 35.000 empleados y está presente en 40 países, explicó Gabilondo. Así, adelantó que entre los grandes retos de la organización está “hacer un mundo mejor en 2025” y, para ello, se ha apostado por poner “a las personas en el centro con los desafíos de la IAM derivados de la transformación”, a la vez que se aplica un modelo de Zero Trust.

Para ello, destacó que “se está implementando una adecuada gestión de identidades y un robusto mecanismo de autenticación como pilares, para dar respuesta a todos los negocios y casuísticas, de forma escalable y flexible para adaptarse a los continuos cambios del negocio y ser capaces de integrar nuevos sistemas y aplicaciones”.

Por su parte, Diego explicó que el proyecto comenzó por “entender las necesidades y el contexto de los negocios de Acciona, que son muy heterogéneos y con niveles de madurez distintos”. Con esa información, se diseñó un “framework de control IAM con las mejores prácticas, apoyándonos también en estándares industriales”. Además, ambos se marcaron un modelo estratégico “con las necesidades que se tenían que cubrir en el corto plazo”. También, destacó la importancia en este proyecto de contar con “una parte de gobierno IAM, pegada al negocio, desde el punto de vista funcional y, otra parte técnica, una de riesgos, con análisis y scoring, con responsables de certificación y con transversales en el modelo”. No faltó en su exposición la necesidad de estandarizar “lo máximo posible, pero respondiendo a las necesidades de la compañía” y con una “respuesta tecnológica adaptada”.

En definitiva, este tipo de proyectos, añadió el experto de PwC, “requieren mucha federación de identidades y facilitar la vida de los usuarios, además de orquestar todo de forma adecuada”. Gabilondo recordó que para ser eficientes “se ha sido ambicioso con la estrategia” pero “siendo cautos en la implementación”, teniendo claro cuáles son los casos de uso. De hecho, para reforzar los trabajos, se ha creado en Acciona una “oficina IAM’, con ayuda de la firma. Eso sí, destacó que “enfoques como el Zero Trust no se pueden concebir sin Identidad”, poniendo la ciberseguridad “desde la creación de las aplicaciones y con ésta como centro del modelo de Confianza Cero”.

El futuro de la identidad

Comenzó la segunda jornada de IdentiSIC con una conferencia magistral, ‘Identidad, Anonimato y “Pseudonimato”: ¿Con qué nos quedamos?’, del siempre disruptivo Jorge Dávila, Director del Laboratorio de Criptografía de la Universidad Politécnica de Madrid. En ella, destacó el gran reto que aún supone la identidad por cuanto, a pesar de su veteranía, su definición “aún no está muy clara”. “La identidad es importante porque es nuestro token o etiqueta y permite relacionarnos con un individuo para construir una confianza social sobre el individuo. Nos singulariza respecto a la sociedad”, comenzó explicando.

En este sentido, puso en valor el artículo de 1970 ‘The Possibility of Secure non secret digital encryption’, de James Ellis, que trabajaba para el GQHC y que es tomado por muchos como uno de los puntos de referencia en la creación de una identidad digital. También, repasó la importancia que tiene el anonimato digital “que no es fácil de conseguir”, ya que supone el desconocimiento “de la propia existencia por no tener elementos únicos y que es equivalente a la insignificancia por cuanto supone no figurar en ningún registro”. Algo que consideró cada vez más complicado de alcanzar por la vigencia de las redes sociales y porque las iniciativas que “tienen que ver con el anonimato también molestan a los estados”, aunque sí es necesario “para el voto electrónico o el derecho de la intimidad”.

De cualquier forma, reconoció que “la demanda económica es que exista una identidad sólida”, analizando las diferentes ‘modas’ que han dado pie en los últimos años a diferentes conceptos de identidad, como la autosoberana, “que permite que el que titular sea el único que genera su identidad con un pseudónimo”. Un concepto que es “muy bonito y se asocia con la intimidad como mecanismo para combatir la monitorización de los usuarios… pero que no es cierto: si usas un navegador lo saben todo de ti, incluso, con programas como Spotify se puede saber el estado de ánimo de una persona”.

Por eso, fue crítico con este tipo de iniciativas que “huelen a humo”. “La UE está creando un marco europeo de identidad soberana compatible con el eIDAS, sí, pero algunos dudamos de qué realmente esto sea posible”, enfatizó recordando que, a pesar de que hay datos en poder del usuario, cuando alguien los verifica dejan de estar bajo el control del titular. Igual de preocupado se mostró con la aplicación del “blockchain a la identidad: no tiene ni pies ni cabeza. Hay mucha palabrería, pero a la hora de la verdad no sirve para nada”, lamentó. ¿Su conclusión? “No está claro que esta vez la identificación digital vaya a ir mejor que en ocasiones anteriores, pero seguirá enterrando en la inoperancia el mismo dinero y recursos que siempre ha dilapidado…”, vaticinó finalmente en su ponencia.

Identidad como servicio

A continuación, el Director General Ejecutivo para Latinoamérica de Aiuken, Carlos Álvarez, habló sobre los ‘Ganadores y Perdedores del yo Digital’, en una conferencia en la que destacó cómo estamos “convirtiéndonos en seres digitalizados”. “Y todos esos elementos nos facilitan la vida, pero nos complican la seguridad, por lo que nos obligan a abordar la identidad digital mirándola a los ojos con soluciones pragmáticas”.

En este sentido, explicó que “el ciclo de vida de usuarios de la gestión digital tiene excesivos elementos que están fuera del control de las personas”, por lo que la autenticación y los repositorios centrales de información personal no están claramente alineados, ni bien estructurados y desplegados”. Prueba de ello, “es que, según algunos estudios hasta el “90% de los usuarios no recuerdan sus claves de solo cuatro dígitos… y se va ahora a las de 16”.

Un problema al que se suma, dijo, que los modelos gubernamentales de identidad no están “alineados con los que aplican los grandes gigantes digitales como Microsoft, Amazon o Google”. En este sentido, destacó el valor de una compañía como Aiuken, proveedora multinube y con SOCs en cuatro continentes, que apuesta por el agnosticismo tecnológico y es defensora de la capacidad de “aportar inteligencia sobre fabricantes y proveedores”. “Pretendemos automatizar la operación de ciberseguridad de forma autónoma y escalable”, siendo capaces de “hablar con todos los proveedores cloud, incluidos los que gestionan la identidad en la nube”, por lo que destacó la “importancia de la provisión de los servicios de identidad”.

MESA REDONDA DIA 16 DE NOVIEMBRE: El reto de los proveedores para implementar una gestión de identidades sin importar el nivel de madurez de la organización cliente

Como colofón a la primera jornada, los ponentes participaron en una animada mesa redonda, moderada por el Director de SIC, José de la Peña, en la que respondieron a las inquietudes de los asistentes. Así, se debatió sobre la necesidad, como industria de la gestión de identidades, de dar “respuestas a las necesidades de la UE” y como proveedores de servicios, “buscar una convergencia”.

En respuesta a una pregunta sobre la percepción de los participantes del “estado del arte de la identidad como servicio”, Fernando Rubio (Microsoft) consideró que “está maduro” y Andrés Diego (PwC), por su parte, destacó la mayor demanda de los servicios gestionados de la identidad en todo tipo de entornos, habiendo mucho margen de mejora apalancándose en soluciones de diferentes fabricantes”. Ramsés Gallego (CyberRes de Microfocus), también lo consideró “magnífico, aunque queda mucho por hacer”.

Finalmente, los panelistas referenciaron proyectos de gestión de identidades y accesos señalados en el que han estado inmersos recientemente. Rubio destacó uno que acometió Microsoft en una compañía en la que fue como “ir 40 años al pasado, ya que tenían hasta contraseñas ‘en plano’ y convertir todo en una gestión de segura de la identidad te supone ver que haces algo realmente de valor”. Gallego recordó que muchos de sus clientes “tienen la preocupación de autenticar qué alguien es quien dice ser, y permitir hacerlo de forma escalable, que es parte de nuestro éxito y por lo que apuestan por nuestra tecnología”. Por su parte, Rafael Cuenca (Entrust) explicó que “quizá, el proyecto más destacado lo hemos realizado en el sector financiero, donde tenemos una trayectoria de décadas, porque somos capaces de generar todo el ciclo de vida de la identidad, aunque también hemos tenido casos señalados en el sector sanitario, con la tecnología de passwordless y la integración de la identidad”. Carlos Luaces (CyberArk) añadió que en su compañía se sienten especialmente orgullosos de los proyectos que han partido de una “madurez casi ridícula y se han ido generando capas, objetivos pequeños y casos de usuarios y de negocio, que han permitido a las organizaciones una gran evolución”. Diego, por su lado, recordó la importancia de aportar valor a través de la identidad a grandes empresas como sucede con Acciona, destacando que “los proyectos que más me gustan son los que conllevan servicios de identidad gestionada, con una gran aproximación al negocio y la convergencia de soluciones tecnológicas”.

MESA REDONDA DIA 17 DE NOVIEMBRE: El auge de los ataques a la identidad ponen de manifiesto la IAM como pilar de la ciberprotección actual y la Confianza Cero como estrategia

La segunda mesa redonda de IdentiSIC, que fue moderada por el Editor de SIC, Luis Fernández, comenzó con los participantes mostrando su preocupación por el número de delitos producidos en España, a través de la identidad, según evidencias el último informe de la Fiscalía General del Estado. “El problema no es ya sólo el robo de identidad, sino que se busca comprometerla para escalar y elevar privilegios con movimientos laterales”, destacó Sergio Marín (Thycotic). Samir Zerizar (Okta) añadió que para hacer frente a este tipo de incidentes es importante que las empresas “redefinan su estrategia basada en la identidad, ya que los ataques son cada vez más sofisticados”. En cuanto a la traslación del concepto de Confianza Cero a la identidad, Jorge Sendra (SailPoint) recordó que es imposible implementar Zero Trust si no se tiene controlada la identidad, e igualmente señaló que “en ciberseguridad la madurez es ser capaces de evaluar de forma continua e invertir ‘con sentido’”. Jorge Dávila (UPM) explicó que, en definitiva, la identidad es uno de los pilares de la ciberseguridad actual y, si falta, los sistemas dejan de ser confiables”. Ángel Nogueras (Transmit Security) también comentó la importancia de apostar por “soluciones que no sean fáciles de suplantar”.

Los participantes en la mesa, además, pusieron en valor los proyectos más relevantes en los que están trabajando sus compañías en España. Marín, destacó que, en su caso, les demandan capacidad de “control: saber qué se está haciendo, por parte de quién y cómo, por ejemplo, para cumplir con el ENS”. Sendra resaltó dos tipos de clientes: los que buscan reemplazar sistemas de gestión de identidad, de hace ya varios años, para poder ir “más allá” y las empresas que buscan también el cumplimiento normativo.

Por su parte, Nogueras comentó que sus clientes cada vez piden más soluciones, en todo tipo de sectores, “sin contraseñas”, poniendo como ejemplo una aseguradora cuyos clientes realizan el 45% de las llamadas a su centro de atención telefónica para poder recuperar sus claves”. Zerizar resaltó que lo que más se les demanda en España son sus soluciones de control de acceso y automatización de gestión de la identidad, a través de una plataforma, buscando eficiencia e innovación.

Visión y propuestas de la industria

CyberArk

“Gestión de los accesos de todo tipo de identidades desde una única plataforma”.

Destacó los diferentes ciberataques que se están produciendo con éxito gracias a la identidad y cómo protegerla a través de la plataforma de la que dispone la compañía. Una propuesta que pasa por su visión de identidad segura a través de “mecanismos para controlar quién accede a qué y bajo qué contexto”. En concreto, resaltó que su enfoque para proteger la identidad pasa por cuatro pilares: autenticación, autorización, acceso de forma segura y auditoría de forma continua. También dio a conocer una novedad: su Security Works, facilitando el acceso seguro a aplicaciones gracias a la identificación del dispositivo con el que se realiza y aplicando el principio de mínimo privilegio, quedando, también, todo auditado.

Cyberres, a Micro Focus Line of Business.

“El machine learning no supervisado al servicio de la identidad”

Ofreció una ilustrativa presentación, “Autonomous IAM: Inteligencia y orquestación al servicio de la identidad”, comparando la tecnología de su compañía, que permite proteger la gestión de accesos de forma automatizada, sin intervención humana, con los diferentes sistemas de ayuda a la conducción que nos permiten circular de forma segura, corrigiendo fallos humanos.“CyberRes es lo que creemos que tiene que ser una respuesta resiliente, para perdurar y resistir”, definió a su línea de negocio, basada en “la inteligencia, la orquestación y el machine learning no supervisado al servicio de la identidad”. También, puso en valor las capacidades de su NetIQ, para la gestión de la identidad, y de Interset. De hecho, explicó que esta esta última es la “solución nuclear que alimenta al resto de las plataformas, pero sobre todo la protección de la identidad”.

Entrust.

“Una plataforma para una gestión unificada con la máxima visibilidad”

Resaltó la propuesta de la compañía en el ámbito de la gestión de la identidad con una “solución completa” para hacer frente a un mundo en “constante revolución”. Así, recordó los dos grandes retos de la identidad: su visibilidad y la gestión unificada. Para superarlos, “Entrust ofrece un enfoque en IAM, con una solución bajo la filosofía Zero Trust, para tener la máxima confianza cuando un usuario accede a través varios pasos e indicadores como su hora de conexión, el dispositivo desde el que lo hace, el contexto, si se atiene a la política de acceso y con controles también durante la operación. Todo añadiendo a la visibilidad y gestión unificada un control antifraude, analizando lo que está ocurriendo. En definitiva, “a través de nuestra tecnología y con nuestra plataforma establecemos un pilar de confianza identificando al usuario, “adaptándonos a la arquitectura del cliente y con tecnologías biométricas y de passwordless para establecer un nivel de riesgo”.

Microsoft

“Experiencia transparente para los usuarios con una gestión unificada de todo el ciclo de vida”

Ante la gestión de la identidad actual precisó “que es muy compleja y hay que simplificarla porque, por donde entran los ataques, es por la falta de integración de todas las soluciones”. Por ello, destacó que su apuesta “por una solución global que incluye desde un red team, hasta más de 100 centros de datos, interoperables y con soluciones que ya funcionan”. Además, recordó que la multinacional ha optado por automatizar procesos, con un alto grado de seguridad, ya que se basan en la autenticación en el contexto, biometría del comportamiento (UEBA) y en buscar la mínima fricción en el proceso de gestión de accesos de los usuarios, integrándolo con miles de aplicaciones. También, indicó que “la implantación de la identidad descentralizada de Microsoft está basada en estándares que se aplican en todo el mundo, buscando una gestión unificada para dar una identidad común en la nube y en local”, e integrándola con “otros proveedores y aplicaciones”. En definitiva “adaptamos todos los componentes para ofrecer una experiencia transparente a los usuarios en el acceso y la identidad, con una gestión unificada de todo el ciclo de vida”.

Okta

“Ayudar a focalizarse en el negocio, con la identidad como servicio”

Recordó la importancia de la identidad para acompañar la transformación digital y la gran experiencia de la compañía en este campo “con más de 13.000 clientes en todo el mundo, en todo tipo de sectores, para gestionar la identidad”. Así, mostró cómo, desde Okta, se ayuda a las empresas a mejorar su negocio focalizándose en este componente, “que es el nuevo perímetro de seguridad”. Sin embargo, también lamentó que muchas empresas la coloquen “en silos, cubriendo casos concretos de uso, pero sin comunicación entre departamentos”. Algo que se puede suplir apostando “por la innovación” y la identidad como servicio”, ya que permite disponer de “agilidad, escalabilidad y experiencia de uso, pudiéndose integrar con todo tipo de aplicaciones”. Para ello, dio a conocer las capacidades de la plataforma de identidad unificada y centralizada de la compañía “que permite a cada empresa elegir una forma de trabajar mixta, automatizando algunos servicios”.

SailPoint

“La identidad digital es el nuevo firewall

Mostró las capacidades de la compañía a través de tres casos de éxito de relevancia. En el primero, en el ámbito bancario, tras un análisis pormenorizado de la organización, con amplia experiencia en gestión de la identidad, se encontró que “había hasta un 40% de privilegios erróneos por la ‘mochila de privilegios’, que se da cuando no se pierden los anteriores al cambiar de rol y que “nunca se quitan”. Algo que se subsanó “determinando cuáles eran realmente necesarios para cada rol”. Su segundo ejemplo fue el de una compañía que buscaba flexibilidad y costes frente a seguridad a la que se ofreció apostar por la identidad como servicio (IDaaS), para permitirla centrarse en su negocio y no tener equipos dedicados a la gestión e identidades, por lo que apostó”. Por último, destacó en un tercer caso la demanda de las empresas de contar con la “máxima visibilidad” de la identidad digital” y “maximizar la inversión en ella”.

ThycoticCentrify

“Todo pasa por contar con un enfoque holístico a través de una plataforma unificada”

Bajo el título ‘Asegurar entornos de nube: Gestión de acceso privilegiado para organizaciones híbridas’, expuso el enfoque de la compañía aplicando la Confianza Cero a la identidad. “Hay que asumir que no existen usuarios confiables”, destacó recordando que, gracias a la adquisición de Centrify, la compañía también ofrece “una solución de elevación de privilegios”. Así, la aproximación de ThycoticCentrify pasa por aplicar “un enfoque holístico, a través de una plataforma unificada”. A través de ella, se cubre “la gestión del acceso privilegiado mediante la extensibilidad, la centralización, el coste de la eficiencia, la escalabilidad y el perfomance”. “En definitiva, permite decidir cuándo, cómo y por qué, y con qué política de acceso, se usa una cuenta privilegiada”, contando con monitorización y auditoría para disponer de la visibilidad necesaria de las cuentas. Además, un “control adaptativo” permite “contextualizar los accesos conforme a un riesgo definido”.

Transmit Security

“Con BindID es posible una estrategia de seguridad passwordless”

“Desde Transmit pensamos que la contraseña es una mala idea para los negocios, usuarios y la seguridad. La buena noticia es que hay vida más allá”, destacó Nogueras presentando su solución BindID. Se trata de un servicio passwordless nativo que ofrece una autenticación “sin contraseñas, facilidad de uso, omnicanal y con seguridad por diseño en cualquier dispositivo, además de facilitar la recuperación de la cuenta”. Entre otros aspectos de interés, Nogueras destacó que la herramienta se diferencia por su registro, muy sencillo, “ya que permite autenticarse con biometría en el dispositivo, con dos factores de autenticación, siendo portable, sencillo y seguro”. “El fin de las contraseñas no es el futuro a dos o tres años”. “Gracias a BindID cualquier empresa puede contar con “una estrategia passwordless”, reduciendo la superficie de ataque ante incidentes tan frecuentes como, por ejemplo, los de phishing, concluyó.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×