Con cerca de 350 inscritos, la octava edición de IdentiSIC volvió a mostrar el estado y las tendencias más destacadas de su protección

La identidad digital, impulsada por Europa con su futuro ID Wallet y eIDAS2, pilar de la ciberseguridad y un multiplicador del negocio

La reciente edición de IdentiSIC, el congreso de referencia en español sobre la gestión y protección de la identidad digital, mostró lo crucial de su rol en la sociedad cibernética, mostrando además el estado del arte de las tecnologías que permiten su protección, tras cobrar un nuevo protagonismo con los entornos multinube, el trabajo híbrido y la ‘explosión’ de identidades humanas y no humanas. Como foco de la edición de 2022, causaron enorme impacto las ilustrativas ponencias sobre la normativa europea eIDAS2, el ‘monedero’ que permitirá relacionarnos cpn privacidad y con control de los atributos; y grandes referentes, como el BBVA, que se sirven de las sofisticadas capacidades de la protección de la identidad como multiplicador del negocio.

Con cerca de 350 inscritos y el aforo completo en su formato presencial, la octava edición de IdentiSIC, celebrada el 16 y 17 de noviembre, volvió a poner en valor las tecnologías, estrategias y capacidades que se están desarrollando en este ámbito con el copatrocinio de prestigiosas compañías especializadas, como CyberArk, CyberRes (de Micro Focus), Delinea, Entrust, IBM, Microsoft, SailPoint y WatchGuard, y referentes de la prescripción y consultoría, como PwC.

Bajo el título ‘Ser o no ser… digital’, las dos jornadas mostraron los grandes retos a los que tendrá que hacer frente la identidad digital y su gestión en 2023. La conferencia inaugural, presentada por José de la Peña, director de Revista SIC, corrió a cargo de la abogada y experta europea Paloma Llaneza, CEO de Razona Legaltech y directora técnica del Esquema eIDAS&eIDE en CerteIDAS. “A pesar de los avances realizados, lo cierto es que tenemos aún problemas por definir la identidad con precisión, pero Europa quiere tener una identidad que funcione”, comenzó recordando las diferentes iniciativas que se han acometido hasta ahora en este aspecto, como la directiva europea de firma electrónica o el Reglamento eIDAS -que el 19 de octubre fue aprobada en su segunda versión-, además de otras propuestas del sector privado. También, puso en valor el impulso que está dando al ámbito de la ciberseguridad en lo que atañe a la identidad digital la presidenta de la Comisión Europea, Úrsula von der Leyen.

Llaneza también adelantó que los dos grandes retos del monedero digital estriban “en qué armadura jurídica y técnica se va a basar”, y si va a ser aceptado y usado mayoritariamente por el sector privado, detonantes a fin de cuentas de la universalización de este tipo de servicios. La abogada recordó que, entre otros aspectos destacables, el wallet previsto dará el control al usuario sobre los datos y documentos. “La identidad es para quien la trabaja, depende del control que hago yo de mis atributos, no del estado que me los da”. También, dijo que el monedero digital “vincula la identidad con las credenciales -como el permiso de conducir, el título educativo universitario o acreditaciones profesionales, que la normativa eIDAS denomina como ‘atestaciones de atributos’-. En este sentido, resaltó la necesidad de que sea fácil de usar para que realmente se popularice. Algo que, explicó, puede tener fricción con la seguridad e, incluso, si se pide un nivel alto de protección, suponer su fracaso ante la falta de usabilidad.

De cualquier forma, sí avanzó que la propuesta de arquitectura del wallet, conocida como Toolbox, ya va por su versión 2.0 y se tiene la referencia de implantación del wallet, a la espera de que también se aprueben programas pilotos que permitan validar lo aprobado. Sí lamentó que, entre otros obstáculos, haya que “superar que existen en Europa diferentes enfoques políticos sobre cómo proteger la privacidad, un aspecto muy importante en el wallet, ya que cada europeo tendrá una numeración que lo identifica y, aunque aquí nos parece normal con el DNI, en otros países no existe este tipo de documentos”. Por eso, consideró que para que el ID Wallet llegue a buen término y sea adoptado de forma generalización habrá que “aplicar mucho el sentido común y tener una perspectiva global, ya que sin ello no se va a ninguna parte”.

Gestión de la identidad en nube

A continuación, Daniel Álvarez, Manager en Business Security Solutions y Adrián Olmeda, Manager Cloud Technology Consulting, ambos de PwC, ofrecieron la visión de una consultora sobre el desafío de la gestión de identidades en la nube. En su exposición, ambos destacaron la necesidad de comenzar siempre el reto por plantearse por qué realmente queremos ir a la nube -por abaratar costes, por ser más colaborativos, por la escalabilidad, etc.”. Y apostar, como se hace desde la firma, por “aplicar un enfoque holístico, analizando la infraestructura, generando una matriz de aplicaciones y decidiendo cómo migrarlas. Un proceso que también debe conllevar mucho análisis de la ciberseguridad, con competencias compartidas entre la protección en la nube y en local, del cliente y del proveedor”, añadieron recordando la importancia de hacer todo basándose en cuatro pilares: “cumplimiento, gobierno, seguridad y análisis, garantizando siempre un correcto alineamiento entre el diseño y la ejecución”.

En su exposición no faltaron tampoco las referencias a las diferentes problemáticas que se encuentran para lograr que ‘el viaje’ a la nube sea seguro. Entre otras, que “la infraestructura, a diferencia del enfoque on premise, se tiene en un entorno compartido con otros clientes. Y en este aspecto es vital tener claro cómo se va a gestionar y controlar la identidad, que es muy complejo, por cuanto este concepto es más difuso en la nube que en el enfoque tradicional”. Por eso, destacaron la necesidad de tener claro “qué es la identidad para ti, qué papel juega y cómo se va a abordar en los diferentes modelos de negocio (B2B, B2C, etc.) y cómo hacer frente las diferentes tipologías de identidades (de usuarios humanos, de no humanos, etc.)”. Por, eso, entre otros aspectos, es fundamental, dijeron, analizar, planificar y establecer una hoja de ruta de implementación para saber gestionar el crecimiento exponencial de roles y políticas de recursos, el ciclo de vida de la identidad y teniendo claro que ir a la nube “te obliga a decidir sobre enfocarte en un “mundo común” o “dos en paralelo que convivan de forma segura” y todo ello “adaptándose a los cambios dinámicos que se producen en este entorno, con nuevos vectores de ataque”.

La exposición vino seguida de una amplia y exhaustiva muestra de las actuales tecnologías de gestión y protección de la identidad -en todas o en alguna de sus facetas-para hacer frente a los nuevos retos digitales, a cargo de expertos de CyberArk, CyberRes -unidad de Micro Focus-, Delinea y Entrust -ver recuadro-.

Retos de la identidad digital europea

Presentó la segunda jornada, Luis Fernández, editor de Revista SIC, quien dio paso a un reconocido experto continental, Ignacio Alamillo, Asesor de Logalty y habitual en IdentiSIC, quien mostró “los retos tecnológicos para los negocios que conlleva el modelo europeo de identidad digital”. En su exposición, analizó la situación del eIDAS2, la iniciativa europea para crear una identidad común a todos los estados “que da un paso más sobre su predecesora eIDAS, que no tuvo el éxito esperado”. Así, destacó que, en los últimos años, se ha pasado de “sistemas federados, que se utilizan en países como España con sistemas como Clave, a un paradigma nuevo como es la identidad autosoberana… aunque me gusta más hablar de identidad digital descentralizada (SSI)”, un concepto que “vino de EE.UU. pero que ha sido bien acogido en Europa, porque encaja mucho con nuestros valores”.

Alamillo ofreció un pormenorizado repaso sobre cómo han ido evolucionando los enfoques sobre las tecnologías que permiten la identificación electrónica hasta llegar al momento actual, con una clara apuesta por la descentralización, en “la que también hay un claro debate sobre el papel que jugará el blockchain europeo”, y una de las grandes novedades que es la “identidad basada en ‘pruebas de conocimiento cero’ que permite compartir datos sin enseñarlos, algo que se debería regular y que está ya implementado en diferentes casos de uso de la SSI”. Así, destacó el buen momento que vive la identidad “evolucionando de un enfoque centrado en la aplicación a estar focalizada en el usuario, según plantea la normativa eIDAS2”. Recordó que en Europa hemos apostado por “la idea de los monederos de datos, con propiedades adicionales de seguridad, con ‘declaraciones electrónicas de atributos’ donde el usuario está en el centro y es el transportista de los datos”, con “aplicaciones muy positivas” y, dado que las credenciales “no están almacenadas en un proveedor de identidad, también supone reducir el riesgo de robo masivo de datos de este tipo”. “Vivimos un cambio de paradigma, apostando en la UE por un modelo descentralizado, donde también jugará su papel el estado, porque el modelo de identificación es público” y poniendo el valor la apuesta por el ID Wallet con una “autenticación remota” pero, también, “presencial”, con un formato de credenciales verificables. Y todo ello, “construyendo un sistema resiliente y descentralizado”.

De momento, la UE ya ha puesto en marcha un piloto y “la idea es que en pocos años tengamos ese wallet”, aunque aún “es pronto para ver cómo será realmente” y recordó que, en este proceso, para alcanzar el éxito hay que tener claro que: “lo mejor es enemigo de lo bueno”, concluyó.

Ciberseguridad, facilitadora del negocio

La identidad segura, como facilitador del negocio, fue también uno de los aspectos más destacados de esta octava edición de IdentiSIC. El congreso contó con uno de los grandes referentes españoles en este ámbito como es Juan Francisco Losa, TISO y Security Architecture de BBVA, que ofreció su visión y experiencia en “el tratamiento de la identidad como factor clave en el negocio bancario digital”. Así, comenzó destacando que “si el wallet europeo hubiera funcionado antes, nos hubiéramos ahorrado mucho trabajo en entidades como la mía en muchos aspectos”, recordando que, ya en 2019, en este mismo congreso, destacó que la “identidad digital es una palanca de la transformación digital de BBVA”, poniendo el valor que supone que “desde el área de ciberseguridad seamos capaces de habilitar el negocio y facilitar muchas cosas”, en un entorno donde se ha pasado, “en solo tres años, a un 70% de clientes que se relacionan con la entidad de forma digital e, incluso, un 66% exclusivamente a través del móvil”. Ello ha supuesto una revolución en la entidad que ha pasado de 22.000 a 2,5 millones de clientes digitales desde 2019, con un proceso de onboarding totalmente en remoto usando, entre otros aspectos, la biometría de forma intensiva, junto con la compañía Veridas, y que “nos ha permitido desde el área de ciberprotección, no solo acompañar al negocio, sino, además, ayudarla a captar nuevos clientes”.

Un aspecto en el que es determinante la identidad, que permite desplegar nuevas capacidades de negocio, ofrecer más seguridad, cumplimiento y una mejor integración con el ecosistema del banco. “Es un win-win: damos tecnologías e implementamos procesos que mejoran tanto la ciberseguridad, como la experiencia del usuario”. Porque, resaltó, el enfoque de confianza cero que tanto se usa “va de identidad” y esta “es crítica en muchas áreas como el cumplimiento de la GDPR o de normativas como PSD2”. En este sentido, mostró la apuesta de BBVA por contar con su actual ‘Plataforma global de identidad’, en la que no solo es importante “el momento del login” y que, actualmente, cuenta con más de 12 millones de clientes digitales de los 87 millones que tiene la entidad. Una iniciativa que basa su éxito en tres ejes: “el dispositivo, la biometría y lo que se denomina ‘plataforma de orquestación de los flujos de autenticación de la identidad”. Además, resaltó que la transformación de la identidad, en ciberprotección, pasa por “hacer nuestros los objetivos del negocio, acompañándole y ofreciéndole respuesta a aspectos como la prevención del fraude, la experiencia del usuario…”, concluyó.

MESA REDONDA DIA 16: Los cambios organizativos ponen a prueba la gestión de las identidades, a la que aún le falta camino por recorrer para su provisión en la nube

Tras las interesantes intervenciones y propuestas tecnológicas, la primera jornada concluyó con un animado debate, moderado por José Manuel Vera, redactor de Revista SIC, que reunió a todos los ponentes para profundizar en una serie de temas clave como, por ejemplo, el reto de abordar los cambios organizativos que se producen tras las grandes operaciones de compras y fusiones -o con la reducción de personal en Twitter, Facebook y Amazon-, que conllevan la baja de los accesos de miles de trabajadores. En este caso, “hay que tratar el problema desde el principio, durante la implementación, y tener en cuenta aspectos críticos como se tienen con conceptos como el de privacidad por diseño, por ejemplo”, afirmó Oussama Lafar (CyberArk). Además, es importante “saber a qué está accediendo toda esa gente, qué cuentas existen por fuera de la empresa, cuentas huérfanas, cuentas genéricas… ese es el gran desafío”, añadió Daniel Álvarez (PwC).

Entre la audiencia, también surgieron preocupaciones como la protección de la identidad de las máquinas o el estado del arte de la gestión de las identidades en la nube, especialmente en cuanto al nivel de preparación de los proveedores. En este último sentido, prácticamente, todos coincidieron en que, como destacó Roger Gallego (Delinea), “es muy difícil, pero no imposible”. “¿Estamos preparados? Hoy, no, pero cada vez tenemos mayor madurez para estarlo en muy corto plazo”, agregó. Adrián Olmeda (PwC), indicó que “los proveedores hemos evolucionado a nivel global a una velocidad sorprendente y, por nuestro lado, tenemos las capacidades para definir este tipo de operativas”. Jacinto Grijalba (CyberRes) opinó que, en los clientes, “no se está preparado; y en lo que toca a los fabricantes, tampoco porque es complicado si no somos nativos de la nube. Lo que sí ha cambiado es que se está dispuesto a ir a la nube”. Por su parte, Rafael Cuenca (Entrust), indicó, que el reto actual radica en la inmediatez. “Ahora prima la inmediatez y todas las organizaciones están aún en un área en el que la identidad queda a años luz”.

También suscitó gran interés la iniciativa del wallet europeo que previamente había dado a conocer en profundidad, Paloma Llaneza (Razona Legaltech). Ante la pregunta de si la industria está preparada para ello, la experta lamentó que “el mercado está funcionando ajeno a todo el desarrollo del eIDAS2. Todo va a tener que girar en torno a la arquitectura de ese wallet y, el sector, o no confía en el modelo o cuando venga el tsunami ya verá cómo gestionarlo. Y esto hace que el apoyo del sector privado también sea un motor de fricción”.

MESA REDONDA DIA 17: La apuesta del sector público por la identidad digital y las capacidades que vendrán por parte de las empresas para aumentar su seguridad

Como colofón, los participantes subieron a la palestra para participar, como en la jornada anterior, en un espacio de reflexión sobre las cuestiones tratadas durante el día y las inquietudes de la audiencia presente. En él se preguntó por su visión sobre la importancia y la madurez del sector público en gestión y protección de la identidad. Todos coincidieron en que, efectivamente, las administraciones están preocupadas por la identidad digital. Por ejemplo, David Núñez (IBM) destacó que “sí, hay inversión y preocupación, y lo están poniendo sobre la mesa a través de iniciativas como el eIDAS”. Carlos Castro (Watchguard) coincidía con Nuñez, aunque añadió que “llegamos muy tarde y vamos muy lentos”.

La audiencia también se interesó por las capacidades que las empresas participantes pondrán en marcha para proteger la identidad en el próximo año. En este sentido, Jorge Sendra (SailPoint) adelantó que su compañía se dirige “hacia una visión más holística de la identidad digital y de su protección, que sea sencilla y desde un único punto de vista”. Marcelo di Iorio (Microsoft) señaló que “se está apostando muy fuerte en la identidad descentralizada, que puede no aplicarse necesariamente a todas las compañías, pero estamos empezando en términos de madurez en este sentido”. En cuanto a las nuevas capacidades de detección y respuesta, en ataques a través de la identidad, Nuñez, destacó que compañías como IBM trabajan en este aspecto y, de hecho, va a ofrecer, como novedad, en los próximos meses, “un módulo de detección de incidencias de identidad para los equipos de respuesta”.

Asimismo, hubo interés en los proyectos que está abordando cada empresa en España. Castro resaltó que “en nuestro caso, dedicamos mucho esfuerzo al I+D en encontrar cosas nuevas para lidiar con los problemas con los que vivimos, por ejemplo, a través del threat hunting que cada vez nos piden más”. Por parte de SailPoint, Sendra afirmó que “lo que nos demanda el mercado son proyectos de cumplimiento y esto conlleva una modernización. Los clientes, en este sentido, están dando ya un paso más y lo que nos piden es valor añadido”. De igual forma, Di Iorio manifestó que están inmersos en “proyectos de modernización que abarcan diferentes áreas. Y, en este caso, da igual la industria”.

Como conclusión, se pidió a los ponentes sugerencias para avanzar en la gestión y protección de la identidad en 2023. Comenzó Castro quién recomendó “poner una solución de MFA”; Sendra resaltó tener en cuenta a “la base del Zero Trust: confía, pero verifica”, Nuñez abogó por ser proactivo, “hacer uso de herramientas proactivas porque existen” y, por último, Di Iorio apostó por “ser proactivo y no esperar a invertir de manera reactiva”.

Visión y propuestas de la industria

CyberArk

“Enfoque holístico para proteger la identidad centrado en el privilegio, frente a amenazas cibernéticas avanzadas”.

Destacó en su ponencia el valor de la identidad y la necesidad de apostar por su protección más que nunca, a raíz de los diferentes ciberataques que se están produciendo con éxito gracias a la identidad. Para ello, presentó la plataforma de la que dispone la compañía -su ‘Identity Security Platform’- y de servicios para protegerla en entornos cloud. También, destacó el reto de hacer frente, bajo el concepto just in time (JIT), a todo tipo de identidades y, sobre todo, frente a las de máquina que ya suponen hasta 45 veces las que hay por cada empleado. Por ello, la empresa propone apostar por una gestión centralizada, con un enfoque holístico. “No podemos tener el mismo nivel de seguridad, ni las mismas políticas para roles diferentes”, resaltó recordando que la protección de la identidad debe basarse en implementar las medidas técnicas adecuadas, para hacerla segura para personas y no humanos. Una apuesta que, según destacó, se basa en tres pilares: el acceso y la autenticación, la implementación de controles de los privilegios -por ejemplo, grabando la sesión- y sabiendo gestionar el ciclo de vida de las identidades, máxime en el caso de las no humanas “algo fundamental por su crecimiento exponencial”.

CyberRes, de Micro Focus

“Apuesta por la confianza cero con herramientas que simplifiquen los procesos, para reducir el riesgo en el control y gestión de la identidad”.

En su intervención mostró la apuesta de la empresa por un portafolio con cuatro líneas de negocio: Voltage, Fortify, Arcsight y NetIQ, esta última dedicada a la gestión de las identidades. Así, avanzó que, según uno de sus informes, la gran apuesta de las empresas para su ciberprotección pasa por implementar zero trust en identidad para ser más proactivos frente a ataques más sofisticados. En este sentido, recomendó apostar por tecnologías que permitan la automatización de la gestión de la identidad, con un enfoque de mínimo privilegio y basando el control de accesos en los propósitos. Además, puso en valor iniciativas, como las norteamericanas NIST 800-207 y las recomendaciones de la CISA -que propone un modelo de madurez para implementar la confianza cero- y recomendó “contar con herramientas que permitan una estrategia dinámica, con MPA, SSO, capaz de medir el riesgo de cada sesión y auditarla, certificar los accesos… de forma fácil y ágil”. Algo que cumple su propuesta a través de NetIQ Identity and Access Management, que puede integrarse con otras tecnologías y aplicaciones para disponer de Zero Trust.

Delinea

“Controlar la administración de cuentas privilegiadas permite reducir el 80% de las brechas que se aprovechan de credenciales filtradas”.

“El mercado de protección del acceso privilegiado (PAM) está creciendo y lo hará aún más porque es la mejor inversión para proteger la identidad en entornos corporativos”, comenzó, destacando que el 80% de los incidentes se producen por un mal uso de las credenciales, por lo que consideró prioritario apostar por verificar, el privilegio mínimo y enfoque de confianza cero como contramedidas básicas, recordando que su implementación tiene que ir acorde al nivel de cada empresa. n este sentido, señaló que la identidad es un ‘disparador’ de la ciberprotección, ya que también su gestión segura es una exigencia habitual para acceder a ciberpólizas. “Es fundamental dar el acceso a lo que realmente se necesita, en el tiempo necesario”, dijo poniendo en valor el concepto de Delinea de PAM extendido, aplicando confianza cero a todas las cuentas, también las de servicio, las no humanas, etc. Además, resaltó la necesidad de contextualizar las peticiones y de apostar por el Privileged Behavior Analytics, la detección de anomalías por el comportamiento, a través de la aplicación de Inteligencia Artificial, que permita levantar alertas ante determinadas situaciones.

Entrust

“El valor de una solución integrada, que acompaña al viaje del cliente en su ‘camino de la identidad’, con uno de los portafolios más completos del mercado”.

“Vivimos en un universo digital de usuarios ‘aumentados’. Así, para proteger la identidad el primer reto es entender el contexto, ya que ha desaparecido el perímetro desplazándose hacia el punto final, las identidades se han redefinido sumándose a las humanas, las no humanas, etc. Y todo ello con la presión que supone el cumplimiento regulatorio. Por eso, hay un punto de fricción importante que es la autenticación y la identidad del usuario, que precisa de capacidades como la autenticación multifactor, que debe estar acompañada de políticas de gestión adecuadas para no tener una falsa sensación de seguridad. Además, se precisa de interoperatividad, que es lo que ofrecemos en Entrust, con todo tipo de soluciones para todo tipo de entornos, incluidos los multinube, pero siempre dando el control sobre la identidad, de forma centralizada. En su repaso a la propuesta de la compañía, Cuenca destacó capacidades como su oferta en PKI a través de la adquirida Safelayer o de su Trust Identity Platform. Además, destacó su capacidad para, dependiendo del nivel de riesgo, autorizar o no la conexión a un usuario y sin contraseñas (passwordless), entre otras muchas.

IBM

“La gestión del riesgo en identidad digital requiere de conocimientos y datos profundos, con seguridad adaptativa”.

En su intervención, destacó la necesidad “de seguir aprendiendo con resiliencia, innovación y, también, paciencia”, recordando que el 83% de los ataques tiene que ver con la identidad. Así resaltó que “la identidad es la primera línea de defensa en el mundo híbrido de hoy” y mostró las capacidades de su IBM Security Verify Portfolio que ya usan miles de clientes de todo tipo de sectores, con 27 millones de identidades externas e internas gestionadas con su tecnología.

Así mismo, subrayó la capacidad del departamento ‘X Force’ de la compañía para buscar fallos de seguridad con el objetivo de darlos a conocer y evitarlos, así como Trusteer, un motor de identificación y gestión del fraude bancario y Client Engineering, un grupo específico con arquitectos y desarrolladores para ayudar a desarrollar proyectos mínimos que permitan a una empresa comenzar con algo”. Recordó que su oferta cubre todas las áreas de la identidad con herramientas como Verify Trust, Security Verify (SaaS), Verify Trust o Security Verify (Access), entre otras. “Nuestro valor es, en definitiva, simplificar la forma de acceder de forma segura a los sistemas corporativos”.

Microsoft

“Del 90% de los permisos asignados los usuarios no emplean más del 5% con los riesgos que supone”.

En su exposición, destacó las capacidades de su solución Entra, multinube, con un enfoque de “confianza cero, de menor privilegio, para reducir la cantidad de permisos que usamos”. Entre otros aspectos de interés, indicó que, según datos de la compañía, “del 90% de permisos asignados que tiene un profesional solo usa poco más del 5%. La situación está fuera de control”, comentó poniendo en valor su propuesta para reducir la “diferencia entre los permisos asignados y los utilizados, basándose en la actividad del usuario profesional”. También mostró el funcionamiento de herramientas como su ‘Microsoft Entra Permissions Management’ con soporte para las nubes de AWS, Azure y Google, “que permite proteger los permisos asignados a ciertos recursos”. Además, resaltó la posibilidad de contar con alertas “de forma muy granular” para saber “si un usuario usa un permiso o no, así como la posibilidad de crear alertas para casos específicos e, incluso, nuevos roles basados en las posibilidades que, por ejemplo, ofrece Google”.

SailPoint

“Frente a ataques de ransomware es fundamental verificar, monitorizar y aplicar un enfoque de confianza cero en torno a la identidad”.

“Vivimos un entorno muy cambiante y todas las compañías son muy competitivas, sometidas al reto de balancear entre seguridad y productividad. Y en este aspecto la clave es la identidad”, comenzó destacando a la vez que recordó que su compañía nació para dar respuesta a los retos de la gestión de identidades, con automatización y visibilidad en 360º”. Así, durante su conferencia mostró las capacidades de SailPoint en este ámbito, poniendo como ejemplo la gestión que ha hecho un grupo empresarial del Ibex35, ahora cliente suyo, ante un ataque de ransomware. “Y sus consecuencias se podrían haber evitado apostando por verificar siempre, la monitorización continua, los privilegios mínimos, el cero privilegio de forma permanente. Todo lo que ofrecemos con SailPoint Identity Security”. “Cuando se comienza un ataque es fundamental tener visibilidad para detectar que las cosas están cambiando, por ejemplo, que se están creando cuentas nuevas privilegiadas sin autorización, y detenerlo lo antes posible”. Además, recordó la importancia de contar con un histórico del incidente, a través de la autoría, para restituir todo lo más rápido posible.

WatchGuard

“MFA destaca por su sencillez de uso, en todo tipo de entornos y dispositivos, con la mejor relación coste/seguridad”.

Destacó la importancia de implementar la autenticación multifactor (MFA) para reducir el riesgo de muchos de los ciberataques más mediáticos de los últimos meses. “Se trata de una de las tecnologías que más protección ofrecen a menor coste, porque muchos de los actuales incidentes comienzan por el robo de credenciales. Y lo más preocupante es que el denominado ‘insider’ supone el 20% de estos casos e impactan en el 80% de los ataques”, dijo. Además, puso en valor el peso cada vez más notable que juega esta protección, integrada en la propuesta de confianza cero de WatchGuard, dado que se ha evolucionado “desde la protección del endpoint a las aplicaciones, teniendo en cuenta el papel que juega la identidad”.

Durante su exposición mostró diferentes casos de uso para MFA y recordó que se ha convertido en algo tan esencial que “muchos ciberseguros no se pueden contratar si no lo tienes implementado”. A ello se suma “su facilidad de gestión y protección en todo tipo de dispositivos y entornos”. Finalizó apelando a ser más proactivos a través servicios de la compañía, con inteligencia de su WatchGuard Threat Labs, para detectar bases de datos de credenciales robadas.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×