Crónica 2023

Con más de 250 asistentes, en su novena edición se evidenciaron los grandes desafíos, novedades e innovaciones en este frente digital

IdentiSIC 2023: La protección de la identidad digital y el marco específico europeo deben blindarse frente a la delincuencia y el mal uso de los sistemas de IA

IdentiSIC, el congreso de referencia sobre la protección de la identidad, puso en valor en su IX edición la madurez de la industria en sus enfoques, la innovación a través de conceptos como ITDR, de detección y respuesta a incidentes en este ámbito, así como el debate aún muy abierto sobre cómo se aplicará el nuevo marco europeo de identidad y las carteras digitales. Además, en su marco se profundizó en la evolución de la IA, las tecnologías passwordless de FIDO y la especialización en la seguridad de la identidad en entornos OT e IoT. Tampoco faltaron debates sobre los grandes retos en este ámbito de la mano de referentes de la prescripción y consultoría, como PwC y Telefonica, y del desarrollo de tecnologías con foco expreso, como Delinea, ForgeRock, Okta, Omada, SailPoint y WatchGuard.

IdentiSIC es uno de los congresos más esperados por el creciente ramo de la protección de la identidad. Y es que, ya hay en el mundo más de 2.000 empresas que trabajan en esta área. Se calcula -según publicó SIC 157- que este año se invertirá en protección de la identidad tanto como en nube, por considerarla un pilar estratégico de cualquier plan de seguridad digital, una situación que propició que esta edición del congreso reuniera a grandes referentes y más de 250 asistentes, en presencial y en remoto.

La primera jornada, que comenzó conduciendo el director de Revista SIC, José de la Peña, contó con la ‘puesta al día’ del nuevo marco europeo de identidad digital, eIDAS2, y las carteras digitales que se esperan desplegar, a cargo de la reconocida abogada, Paloma Llaneza, CEO de Razona Legaltech y directora técnica del Esquema eIDAS&eIDE en CerteIDAS. En su conferencia ‘eIDAS2, carteras de identidad digital y PSC cualificados ante la encrucijada de su certificación y supervisión en la UE’, destacó el reto de las certificaciones nacionales de las carteras digitales, entre las iniciativas más notables, así como la evolución de la estandarización eID (electronic IDentification), apoyada por la Comisión Europea.

Además, puso en valor el acuerdo que alcanzaron en noviembre en este ámbito tanto el Consejo, como la Comisión y el Parlamento, que permitirá que, a finales del primer trimestre de 2024, el texto final del eIDAS2 sea publicado en el Diario Oficial de la UE, con “más de 20 actos de implantación, además del Reglamento”, entre ellos, los de estandarización.

Paloma Llaneza

No faltó en su intervención la denuncia en torno a cómo algunas multinacionales tecnológicas, como Google o Mozilla, están planteando una campaña amparada en la privacidad de los usuarios para no perder peso. “La realidad es que es estamos ante una disputa” que es “cuestión de poder”. Pero también resaltó que es “radicalmente falso que haya una ‘persona interpuesta’ en todas las operaciones, porque esto no funciona así”. Terminó su intervención recordando que España es uno de los referentes en identidad digital con 47 prestadores cualificados, siendo el mercado más grande de Europa, frente a países como el Reino Unido donde sólo hay uno. Además, alertó de que “el periodo del salvaje oeste de las corporaciones, en este entorno, está acabando para entrar en el camino de las regulaciones”. Eso sí, también auguró que las carteras digitales darán pie a un “mercado negro de atributos”, contra el que habrá que luchar.

Mundo sin contraseñas

A continuación, el CISO de BBVA Next Technologies, Jorge Arrufat, destacó “los logros y el futuro de la estandarización de tecnologías para la autenticación de usuarios en un mercado global”, a través de iniciativas como FIDO (Fast Identity Online), que nació para reforzar los “mecanismos de seguridad tradicionales, como password, 2FA, etc.” y puso en valor el foco que se ha puesto “en la experiencia del usuario (UX) para garantizar que las credenciales criptográficas no abandonen su dispositivo”, además de incrementarse los mecanismos de identificación biométrica, que ya se usa más “que el segundo factor”. Eso sí, también planteó que “queda mucho por hacer, ya que es un camino muy largo, porque sólo el 30% usa el 2FA para acceder a servicios financieros”.

Arrufat mostró cómo ha evolucionado el estándar FIDO, adoptado por grandes tecnológicas como Microsoft, Google o Amazon, desde su primera especificación en 2013, con notables “bondades” y “claros beneficios, como el uso de medios que sólo tiene el usuario, como la biometría o la clave criptográfica, que refuerza la seguridad ante ataques de phishing, replay… que son los más habituales”.

Jorge Arrufat

Finalizó poniendo en valor grandes retos, como reducir el uso de contraseñas, el fortalecimiento de 2FA y MFA, y recordó que, seguramente, las “passkey serán el futuro, aunque su implementación es compleja, sobre todo, para las medianas empresas”.

En definitiva, para mejorar es clave “remar todos en la misma dirección, sector privado y público”, señaló, “contando más que nunca con marcos y estándares comunes”.

En detalle

Acto seguido, el editor de Revista SIC, Luis Fernández, presentó a Julio Castilla, director de Identity & Data Governance en Business Security Solutions (BSS) en PwC España, junto con Daniel Álvarez, senior manager de la consultora, que mostraron uno de los enfoques más novedosos en protección de la identidad conocido por sus siglas ITDR (Identity Threat Detection and Response).

Comenzó después el módulo dedicado a una muestra amplia y exhaustiva de las propuestas más interesantes del mercado a cargo de destacados referentes de Delinea, ForgeRock y Okta, tras las que se celebró un animado debate, conducio por José Manuel Vera, redactor de SIC, sobre los grandes retos en este ámbito que puso fin a la primera jornada.

Jorge Dávila

La protección de la identidad digital, bajo lupa

Comenzó la segunda jornada con una ponencia del profesor de la Universidad Politécnica de Madrid (UPM), Jorge Dávila, quien abordó ‘La Identidad digital ante el requisito de la ciberseguridad y la privacidad por diseño y los sistemas de IA’. En ella, el habitual colaborador de Revista SIC y experto en criptografía, planteó que la identidad digital puede existir como tal, “pero no bajo las condiciones del mercado, sino basada en un secreto único e intransferible”, con el reto de interrelacionarla con otras identidades (biométricas, legales, etc.)”. Y el gran problema, según destacó, es que “el ser humano y el ser analógico no pueden entrar en el mundo digital si no lo hacen a través de un representante”. Además, profundizó en el concepto de anonimato como “ausencia de identidad” y, del pseudoanonimato para proteger la privacidad a través del uso de alias, como se hace habitualmente, aunque recordó que “si se usa siempre el mismo pseudónimo te vas definiendo, aunque también se puede usar una identidad falsa con información falsa”. Además, alertó de lo que puede suponer dos colapsos digitales -el denominado ‘gran apagón’ y la corrupción de los registros públicos digitales- que supondría un caos global, recordando que frente al riesgo está “la ciberseguridad que trabaja en reducirlo y generar confianza”. Lamentó, en este sentido, que algunos agentes del mercado trabajen en que las cosas “sean más productivas que seguras”.

Finalizó destacando, entre otros aspectos de interés, que la IA es “algo mal definido, ya que es inmanejable, porque evoluciona”, por lo que explicó que “la identidad digital es incompatible con la naturaleza de la IA porque si no sé quién eres en cada momento no te puedo asignar una identidad en cada momento”. Como conclusión, resaltó “que las identidades digitales se le están resistiendo a la tecnología y a la sociedad conectada” ya que, en determinados casos, “la prevalencia del negocio y del coste dificultan que la digitalización sea resiliente y cibersegura”, aunque sí consideró que “lo mejor está por venir”.

Ignacio Alamillo

Carteras digitales federadas

A continuación, Ignacio Alamillo, advisor de Logalty y referente español en los foros continentales sobre identidad y temas concernidos, disertó sobre las “consideraciones ante una eventual futura ley española de identificación digital”, planteando los retos y lo que supondrá el nuevo marco de identidad europeo. Precisamente, puso en valor el gran paso que supone el eIDAS2, “una normativa que no tiene que ver con la ciberseguridad sino con el mercado interior y eso explica muchas decisiones que se están adoptando” y que terminará con la entrada en vigor del nuevo Reglamento de identidad digital europea en torno al “tercer trimestre de 2026, con un plazo razonable para que la Comisión elabore los condicionantes técnicos”, Recordó que, en definitiva “la UE busca que haya una entidad digital fiable y controlada por el usuario, para 2030”.

En este sentido, apostó por la identidad digital descentralizada sobre la que trabaja en un grupo que apuesta por este enfoque “porque es la persona la que tiene siempre el control de su información”. Puntualizó que, por ejemplo, las carteras tienen que tener “unos niveles de seguridad, aunque no se va a poder impedir que le dejes tu wallet a un tercero, como no se puede hacer en el mundo físico. Pero la alternativa es peor, así que se están dando pasos correctos”, consideró añadiendo que el wallet europeo es más “un medio de identificación electrónica, no un contenedor”. “Sí, hay cierta oposición a algunas medidas, pero hay que darle una oportunidad y pelear a nivel técnico para que el resultado sea muy bueno”.

Durante su presentación, en la que se mostró a favor de una ley de identificación digital en España -como la tienen Bélgica, Francia, Italia o Alemania, entre otros- destacó diferentes aspectos del marco de identidad digital y cómo se aterrizará con las carteras, dando a conocer algunos de los textos filtrados del documento final. Incluso, planteó la posibilidad de que, por ejemplo, en España pudiera haber “un sistema federativo de wallets, porque hay hueco para ello constitucionalmente”.

La ‘IoTización’

Le siguió una interesante conferencia de Vicente Segura, gerente de Producto de Ciberseguridad OT&IoT, en Telefónica Tech, sobre la ‘Gestión segura de identidades y accesos de cosas en entornos OT/IoT’, ironizando con lo que supone ‘IoTizar’ estos ámbitos. Repasó los problemas de ciberseguridad planteados en las arquitecturas de referencia en servicios o sistemas IoT, también en lo que a su identidad se refiere, y cómo acometerlas para evitar las principales ciberamenazas como, por ejemplo, creando un “certificado digital único para cada dispositivo y almacenarlo en un lugar seguro”, destacando el valor que suponen las garantías de seguridad para cada tipo de Base de Computación Confiable (TCB).

Así mostró cuatro casos concretos recordando, entre otras conclusiones, que la TCB es clave en lo que debe ser “computación confiable” y contar con un 'ancla de confianza' como elemento fundamental para la seguridad del dispositivo, que almacena y procesa los secretos criptográficos. En definitiva, apostó por soluciones “basadas en claves públicas personalizas por dispositivos”, y aunque en la “práctica no se pueda hacer siempre -lo que obliga a entender cada caso-, sí hay que ver qué mecanismo de identidad usa y cómo se complementa con una seguridad de extremo a extremo”.

Vicente Segura

Finalizó la segunda jornada con el módulo dedicado a la innovación y las propuestas de la industria para la protección y gestión de la identidad a cargo de especialistas de Omada, SailPoint y WatchGuard. No faltó en IdentiSIC el recuerdo a uno de los grandes especialistas mundiales en identidad, recientemente fallecido, Vittorio Luigi Bertocci, Arquitecto Principal de Auth0, de Okta, a quien se rindió un cálido aplauso de homenaje.

PwC apuesta por ITDR, cómo evolución lógica en protección de la identidad

Julio Castilla y Daniel Álvarez, de PwC, mostraron en IdentiSIC el estado, evolución y retos de ‘ITDR: evolucionado la gestión de amenazas IAM’, una ponencia en la que recordaron que esta sofisticada porpuesta de ciberprotección no “sustituye al mundo IAM, PAM, etc., sino que viene a complementarlo, porque permite proteger la infraestructura de IAM y optimizar la detección y respuesta de ataques basados en compromisos de identidad”, explicó Castilla, quien resumió este concepto como un buen ejemplo de un enfoque de confianza cero y capacidades proactivas. “Que haya sido necesario desarrollar ITDR da una idea de la complejidad y sofisticación de las amenazas”, añadió Álvarez. Así, entre otros aspectos de interés, destacaron las “seis etapas en la que actual ITDR: prevención, monitorización, detección, análisis de amenazas, probabilidad e impacto, con una capacidad de respuesta en base a unas reglas de actuación preestablecidas, además de contar con mejora continua del sistema ITDR con revisiones de las políticas y tecnologías”.

Julio Castilla

Daniel Álvarez

Asimismo, ambos resaltaron que las tecnologías y procesos que forman parte de ITDR están “adaptándose a las nuevas amenazas”, con especial foco en el “robo de cuentas, para detectar actividades sospechosas, amenazas internas, además de parar ataques de phishing e ingeniería social”, comentó Álvarez a la vez que Castilla destacó que la necesidad de contar con un ITDR que se centre, de forma especial, en la protección del Active Directory (AD). Finalizaron aconsejando por apostar por una “solución ITDR que dé respuesta a las necesidades de cada empresa”.

DEBATE DIA 15: Los peligros y complejidades de la IA en la seguridad de las identidades y los espacios de mejora, a examen

La primera jornada concluyó con un debate, moderado por José Manuel Vera, redactor de Revista SIC, en el que se reflexionó sobre diferentes cuestiones, a través de las preguntas de los presentes. Entre ellas, hubo un especial interés por profundizar en los retos para evitar las falsas alarmas de ataques, sobre todo, cuando la IA cobre más protagonismo creando identidades fake. Julio Castilla (PwC) empezó opinando que, desde el área de la consultoría, “somos conscientes del contexto retador de los incidentes sofisticados, pero las organizaciones más maduras y más grandes están avanzando para mitigarlos. Sí que es verdad que falta camino por recorrer, por ejemplo, en el espectro de las pymes, pero en este contexto también vemos avances y dedicación”.

“La cuestión también es qué tipo de identidades se están robando y cómo se utilizan”, añadía Roger Gallego (Delinea) destacando que “estamos en el negocio de la seguridad para aumentar la resiliencia de las compañías, por lo que si la alarma existe hay que trabajar en analizarla”. Nuno Silveiro (Okta) matizó que, de momento, “las falsas alarmas son una ínfima minoría de los ataques”, una opinión que compartía Guillermo Arias (country manager de ForgeRock) quien indicó que “el impacto económico de un falso positivo está muy por debajo de un impacto real. Y la verdad es que la innovación en la que está sumergida esta industria es gigante”, apuntó.

Entonces, ¿qué hacemos mal?, se preguntaba la audiencia. Arias señaló que “lo que más falla es la parte humana, la toma de decisiones, ya que se sigue asumiendo que el riesgo no tiene un coste hasta que sucede algo”. Para Silveiro es que “el negocio sigue estando por encima de la seguridad”. A lo que Castilla agregó que, en su caso, “el problema que nos encontramos es que las bases y el gobierno se dan como superado, pero a veces no es así”. Gallego, optimista, destacó que “las capacidades tecnológicas de las compañías han mejorado muchísimo”, aunque “los cibercriminales también hacen todo lo que pueden”. Así que, “estamos en una carrera de competencias apasionante”, afirmó.

Otras de las cuestiones que generaron más interés fue cómo van a afectar las normativas que se están aprobando, como el eIDAS2, y si en España existen compañías que lleven la protección y gestión de las identidades, a último término, con tecnologías sofisticadas. Para todos, la respuesta fue afirmativa, aunque se mostraron algunos matices, ya que explicaron que es difícil mantenerse al día con la innovación, las tecnologías y otros requisitos que se demandan, como las certificaciones, lo que requiere un gran esfuerzo por parte de las compañías.

Para concluir se pidió a los ponentes que resumieran en pocas palabras de qué va a depender el éxito o fracaso de la protección de la identidad en 2024. Para Castilla recae en “la gestión integral del riesgo”. Gallego abogó por “incrementar la resiliencia”. Silveiro indicó la necesidad de “agarrar los riesgos como un toro y pensar dónde hay que actuar”. Y Arias cerró la ronda destacando la importancia de “cuantificar el riesgo”.

DEBATE DIA 16: Visibilidad, confianza cero y tener sentido común para mitigar riesgos, claves para disponer de una identidad robusta frente a amenazas

El evento terminó con un debate en el que, al igual que en la jornada anterior, se mostraron los interesantes puntos de vista de los especialistas que habían intervenido. Una de las primeras preguntas de los presentes en la sala giró en torno a los errores que se están cometiendo a la hora de aplicar la IA a la protección y gestión de identidades. El primero en responder fue Jorge Dávila, que de manera categórica destacó que “el primer error técnico es confiar en ella. Las IA son mediocres, cuesta mucho producirlas, son poco flexibles, nada auditables, y lo peor es cargarles de una responsabilidad que no pueden tener, no están capacitadas”. Alejandro Fernández (SailPoint) estuvo de acuerdo, añadiendo que “su regulación también va a ser un gran reto”.

De igual forma, Elena García (WatchGuard) indicó que “el principal error es entender que la IA solo va a ser usada para un bien común”. “Son herramientas que, efectivamente, pueden ser muy potentes en ambos sentidos, pero aún tienen sesgos y son inmaduras, así que tenemos que intentar que el marco regulatorio y ético permitan ser usadas para el bien”. “Nosotros preferimos hablar más que de IA, de algoritmos de análisis y, obviamente, dejar el modelado de los roles a la IA es peligroso”, dijo Jorge Sendra (Omada).

Ante este escenario, se preguntó cuál sería la ‘piedra filosofal’ para la protección de las identidades digitales. “Pues es tener visibilidad y control”, comentó Sendra. García señaló “la confianza cero, aunque prefiero utilizar más el término sentido común y el hecho de ser conscientes de nuestra identidad, los derechos y obligaciones que conlleva, y sus consecuencias”. Fernández, por su parte, subrayó el “poder conocer en todo momento qué es lo que necesita cualquier tipo de identidad en la organización”.

La audiencia también se interesó por si es suficiente o no la cantidad de integradores especializados que hay en España en identidad, a lo que los representantes de las empresas participantes contestaron que existe un ecosistema “aceptable” y “saludable”, aunque se están focalizando en este sentido para que haya más y trabajar juntos. Al respecto, se preguntó por la relación con los llamados ‘hiperescalares’ (como son Amazon, Microsoft y Google), una cuestión que García resumió afirmando que “convivimos y coexistimos en un entorno de competitividad”. Así que, “lo que hacemos es como ‘el yin y el yang’, lo que no ofrece el hiperescalar lo aportamos las empresas que colaboramos y competimos con ellos proporcionando soluciones complementarias”.

Para concluir, se pidió a los participantes un consejo para los CISO, para afrontar 2024 de la mejor manera posible el gran reto de la protección de la identidad. Fernández apostó por “acercarte a los mejores fabricantes y partners”. García destacó “tener sentido común e identificar personas, procesos y tecnologías para mitigar el riesgo”. Sendra destacó una frase: “no te preocupes, ocúpate”. Y Dávila finalizó con un mensaje más mordaz “búscate a otro y que corra con el mono”.

Visión y propuestas de la industria

DELINEA

“Apostar por un PAM Extended para contar con visibilidad punto a punto y una gestión fácil y ágil del acceso privilegiado, de forma intuitiva y de forma proactiva”

Destacó en su ponencia el valor de su propuesta “Extended PAM” como “viaje a la gestión de los privilegios”. “Todo tiene una identidad y las humanas y máquinas siguen multiplicándose y precisan de estar protegidas”. El problema es que “el PAM tradicional solo cubre algunos de los sistemas y cuentas privilegiadas”. “La superficie de ataque es cada vez más grande, lo que ha obligado a pasar de ‘Traditional PAM a Extended PAM que permite defender on premise, nube, identidad humanas y máquinas”, comentó detallando en profundidad la propuesta de la compañía, apostando por “prevenir el robo de identidades y credenciales a través de la visibilidad y el descubrimiento”.

En este sentido, destacó el valor en su enfoque de dos conceptos: el Least Privilege y el Just in Time Access, que permiten tener la capacidad de hacer lo que necesitas hacer cuando lo necesitas y solo durante el tiempo necesario. Así, el primero pretende que los usuarios e identidades puedan acceder solo a los recursos y aplicaciones que requieren y, el segundo, eliminar los privilegios existentes definiendo cuándo el acceso debe ser autorizado y durante cuánto tiempo”, dando lugar al ‘Zero Standing Privilege’ (ZSP), ejemplificado en el ‘PAM Maturity Model’ de la compañía.

Roger Gallego
Iberia Sales Manager

FORGEROCK

“La facilidad de tomar la decisión adecuada en cada momento, con IA y enfoque heurístico, para reducir el fraude a través del ‘ciclo de la identidad”

El experto de la multinacional estadounidense explicó que ITDR (Identity Threat Detection and Response) ya va “por una segunda ola, con mayor digitalización y mayor adopción de la nube” y puso en valor la fusión de Ping Identity y ForgeRock, a principios de enero, dando lugar a la nueva Ping Identity “que busca el acceso de forma conectada y segura”, apostando por la ”prevención del fraude con la identidad digital”, un objetivo que centra gran parte de los esfuerzos de la empresa recordando que, actualmente, está enfocada en los principales vectores de fraude, apostando también por “la necesidad de analizar el comportamiento de los usuarios para combinar, como propone ForgeRock, tres diferentes modelos de ciberprotección basados en el contexto, en tiempo real, durante la autenticación, con fuentes externas de credenciales comprometidas, con detección de bots e, incluso, validando el dispositivo, de forma criptográfica para evitar su suplantación, entre otros aspectos.

En este sentido, mostró cuál es su aproximación implementando todos los controles que se precisan para contar con una gestión y protección de la identidad adecuada, también con el uso de IA y un enfoque heurístico, para “tomar la acción indicada según el riesgo”, bajo lo que la compañía denomina ‘Intelligent Journey’.

Carlos Scott
Consultor de Riesgo Digital

OKTA

“IA aplicada a capacidades de ciberseguridad ante ataques a la identidad, con información estructurada y fácil de usar”

Nuno Silveiro
Large Enterprise Account Executive

“Hace tiempo que se decía que si no estabas en Internet no existías como empresa. Y eso va a ocurrir en IA. Si no cuentas con ella, no vas a existir”, comenzó destacando el reconocido experto en la materia, que recordó que “la identidad digital de cada uno es el nuevo perímetro porque es lo único que nos hace diferentes de los demás, con las oportunidades de negocio que supone, en cuanto a soluciones que estén bien implementadas para protegerla”.

Por ello, repasó el panorama de amenazas avanzadas, por ejemplo, con IA. “Estamos abrumados por la información de todo tipo de sistemas de ciberseguridad (firewalls, SIEMs, IAM, EDR, etc.) y sus datos desagregados pueden generar huecos y puntos grises”. Frente a ello, mostró las capacidades de la denominada ‘Workfoce Identity con Okta IA’, ,además de Okta Customer Identity Cloud, que “permite contar con información sobre amenazas” y capacidades, también, ante ataques con IA. “En cierto modo es una especie de Alexa o Siri aplicado a los logs, al que puedes preguntar por un usuario o fallos de identidad y es capaz de ofrecerte información estructurada”. Finalizó mostrando su apuesta por una “solución moderna para las necesidades de cada empresa, con una buena experiencia de usuario e innovación”.

OMADA

“Centrados en el gobierno de la identidad con un foco disruptivo, una solución SaaS de rápido despliegue y la garantía de muchos clientes satisfechos”

Especialista en protección de la identidad, dio a conocer la propuesta de la compañía danesa, que este año ha abierto oficinas en España -aunque cuenta con un laboratorio en Alicante desde 2021-. “Apostamos por un enfoque centrado en el gobierno de las identidades, de forma disruptiva, siendo un referente contrastado en este ámbito y con muchos clientes satisfechos”, destacó entre otros aspectos de interés, a la vez que recordó que su portafolio, a través de su Omada Identity Cloud, está pensado para casos de uso complejos porque “nuestra solución funciona muy bien en lo difícil”.

Así, puso en valor su solución SaaS “con las mismas capacidades que on premise, basada en una arquitectura nativa del cloud, ofreciendo lo que realmente necesita cada empresa y un roadmap real y preciso en cada despliegue que logra un producto mínimo viable en poco más de 12 semanas”, para disponer de la solución “llave en mano”. En definitiva, frente a los retos que supone la protección de la identidad “queremos ofrecer la tranquilidad de que nuestros clientes están en el nivel de ciberseguridad que se busca”, recordando que, por supuesto, también cuentan con capacidades de Identity Analitics e IA.

Jorge Sendra
Country manager

SAILPOINT

“Comenzar a gobernar la identidad desde el primer momento, a través de una sola plataforma para gestionar su ciclo de vida”

Alejandro Fernández
Solutions Engineer

En su conferencia ‘Redefinir cómo abordar un programa de identidad’, destacó que, actualmente, “el 84% de las empresas tiene brechas de seguridad asociadas a la identidad”. Frente a este riesgo, la empresa propone contar, a través de SailPoint Atlas, con una “plataforma flexible, que permite disponer de los ‘satélites’ que necesita el cliente para la gestión y protección de la identidad”, partiendo de contar con visibilidad, a través de los más de 120 conectores de los que se dispone, contando con las mejores prácticas, con redescubrimiento de roles y con un cuadro de mandos fácil de usar, ofreciendo indicadores (KPI) para dar respuesta a la organización en todo tipo de aspectos, incluso, respecto a la gestión de la identidad de terceros, para reducir los riesgos de la cadena de suministro.

“En definitiva nuestra apuesta pasa por gestionar, de forma eficaz, el ciclo de vida de la identidad” a través de un programa, paso a paso, automatizando, con IA y con políticas basadas en el acceso”, teniendo claro cuáles son críticos. “Todo ello permite a nuestros clientes, desde el primer momento, comenzar a gobernar la identidad, con una apuesta por la seguridad de la identidad autónoma para disponer de aceleradores en cualquier proyecto”.

WATCHGUARD

“Apostar por una estrategia basada en la simplicidad, la confianza cero, con la protección de la identidad como pilar, y capacidades de detección y respuesta (ITDR)”

El ejecutivo de la multinacional estadounidense mostró su apuesta por “habilitar Zero Trust con Identity Security, que ha venido para quedarse y que va a jugar un papel fundamental”. En su ponencia, mostró las capacidades y la apuesta de la empresa por una plataforma unificada de seguridad para controlar “la fuerza centrífuga de esta industria donde los clientes tienen una estrategia unificada”. Así mostró cómo aplicar el concepto de confianza cero a la identidad a través del WatchGuard Identity Framework, a través de soluciones como XDR, con ThreatSync XDR, AuthPoint Total Identity Security -para proteger los accesos-, además de integrar más capas de protección, automatizar y contar con ITDR -para contar con protección en el “mapa de los sectores de identidad”-, y poner en valor su ciberseguridad “centrada en el usuario”. Todo ello ilustrándolo con un ejemplo práctico de cómo protegerse frente a ataques a través de terceros o de fallos, como la reutilización de contraseñas, el uso de credenciales comprometidas, etc. Terminó recordando que la identidad debe ser “la piedra angular de la estrategia de confianza cero, acompañada de un modelo de detección y remediación de ataques que se aprovechen de ella”.

Miguel Carrero
VP Strategic Account de WatchGuard