Su X edición, con más de 200 asistentes, consagra su protagonismo acompañando a la IA y la digitalización ante retos tecnológicos nada triviales

IdentiSIC 2024: La identidad protegida y amparada por eIDAS2, NIS2 y DORA, catalizadora de la transformación digital viable

Una vez más IdentiSIC, el congreso de referencia sobre la gestión y protección de la identidad, ha mostrado cómo ésta es, aún más si cabe, determinante para la transformación digital factible, y evidenciando asimismo los nada triviales retos para propiciar tecnológicamente su exitosa viabilidad. A ello se suma el delicado panorama geopolítico, donde sus principales actores se aprestan a librar una batalla, sin duda colosal, por dominar esta faceta de la protección cuyas derivadas se antojan golosas para todos los actores en pos de la soberanía tecnológica en este litigio cibernético planetario. Así pues, el evento convocó a destacados referentes en este ámbito, como Julián Inza y Paloma Llaneza, quienes mostraron el estado del arte y los retos que supondrá poner en marcha, de forma segura, la cartera digital europea en 2026. Además, se ofreció una interesante propuesta, por parte de PwC, sobre la importancia de contar con métricas y automatización, a la que se sumaron exposiciones de los distintos enfoques tecnológicos de última generación por parte de grandes referentes como Cisco, Okta, Omada, Opentext y SIA, también copatrocinadores del congreso.

Para el próximo año, el 99% de las empresas planea invertir más en seguridad, aunque aún queda mucho por hacer: solo el 52% ha implementado la autenticación multifactor (MFA) y un 41% tiene el principio del mínimo privilegio en la gestión del acceso, según datos de un estudio de la IDSA. De hecho, analistas como Gartner destacan que la identidad y su protección se han convertido en “la piedra angular de la habilitación y la agilidad empresarial”.

En este marco, en formato híbrido, más de 200 profesionales pudieron conocer, en la décima edición de IdentiSIC, el 20 de noviembre, las principales novedades, enfoques y retos en este ámbito con animados momentos de debate en cuanto a las iniciativas, como el eIDAS2, NIS2 o DORA que también obligarán a las empresas a reforzar su apuesta por la protección y gestión de la identidad.

Abrió el encuentro, José de la Peña, director de Revista SIC, que presentó al primer ponente, Julian Inza, presidente de EADTrust (Grupo Garrigues) y uno de los grandes expertos europeos en servicios de confianza cualificados. En su intervención, ‘Identidad digital europea: el camino empieza a despejarse’, comenzó poniendo en valor todo lo hecho en este ámbito en Europa.

Así, repasó las principales novedades que supone el eIDAS2 respecto a su normativa predecesora, con importantes aspectos como la atestación electrónica de atributos o la “gestión de dispositivo de creación remota de firma cualificada” y “de dispositivo remoto de creación de sello cualificado”. Asimismo, recordó que "las carteras de identidad digital europea darán acceso a servicios online de entidades públicas y privadas y facilitarán la realización de firmas electrónicas", además de permitir "contratar con un clic y servir de método de autenticación para acceder a los servicios ofrecidos por las entidades a sus clientes o usuarios por web" y solicitar “declaraciones de atributos a las entidades que custodian datos de las personas (Fuentes auténticas y Prestadores de declaraciones electrónicas de atributos), como titulaciones, colegiaciones, permisos de conducir o datos médicos y presentarlas a las Partes Usuarias cuando se precisen en ciertos trámites”. Puso en valor que las carteras permitirán "tener el control de todas las cesiones de datos y retirar los permisos de acceso a datos personales para ejercer los derechos ARCO o SOPLAR con un clic”, así como su obligatoria implementación para “empresas de transporte, energía, banca, servicios financieros, seguridad social, sanidad, agua potable, servicios postales, infraestructura digital, educación o telecomunicaciones, 36 meses después de la entrada en vigor de los actos de ejecución”.

Para enseñar el funcionamiento y cómo se pondrá en marcha, Inza mostró al detalle el ecosistema de la cartera (ARF -Architecture and Reference Framework), los servicios que tendrá (como los criptográficos de la firma-e), además de resaltar que para “para el funcionamiento del ecosistema se tiene que desplegar un mecanismo que permita distinguir qué proveedores de información son fiables y también qué entidades están autorizadas para solicitar información a las carteras”.

Su exposición concluyó repasando algunos de los grandes proyectos piloto que permitirá desplegar la cartera digital europea, así como con la 'hoja de ruta' planteada para conseguir que esta cartera sea una realidad en 2026.

A continuación, Paloma Llaneza, CEO de Razona Legaltech y directora técnica de eIDAS-TI de Certicar, presentó una intervención que levantó gran expectación sobre ‘El uso de los proveedores de certificación electrónica (EAA) del EUDIW como token de autenticación’, poniendo en valor el gran trabajo de los diferentes expertos que “estamos colaborando para poner en marcha la cartera digital en todo tipo de casos de uso”, en algunos de los cuales está participando.

En su ponencia comenzó recordando que, entre otras capacidades, “hay un gran interés por la cartera digital europea y su uso como atestificación como token de mayoría de edad”, aunque no es fácil por cuanto “muchos países no tienen buenos datos para generarlo” ni siquiera usando biometría.

Retos y casos de uso

Además, mostró cómo su empresa, Certicar, está siendo parte del proyecto denominado 'We built' (acrónimo de 'Wallet Ecosystem for Business and payments, Use cases on Identification, Legal representation and Data sharing’), profundizando en los diferentes casos de uso que permitirá la cartera en entornos como el bancario, por ejemplo, para autenticar pagos, la apertura de cuentas fuera de tu país, entre otros casos de uso.

En el ámbito de la empresa, comentó que “la cartera también permitirá EAAs de registros mercantiles, la atestación VAT, contar con compañías certificadas por la UE y, por ejemplo, tener un proceso de registro transfronterizo de forma automatizada."

No faltaron en su exposición otros casos de uso adicionales como la verificación de habilidades o usarla para presentarse a posibles empleadores, verificando también nuestra cualificación. En definitiva, recordó a modo de conclusión, que la cartera digital permitirá, entre otros aspectos, "una verificación automatizada, contará con niveles de autorización granulares, validación en tiempo real e interoperabilidad europea, permitiendo cumplir las exigencias regulatorias de la UE y reduciendo costes administrativos”.

Asimismo, recordó la preocupación que existe entre todos los participantes en la cartera digital en que sea segura para evitar que se puedan “vender atributos en el mercado negro”. En su ponencia señaló que, actualmente, hay “dos grupos de la denominada Implemeting Act que será “nuestra referencia y estándar de trabajo” en este ámbito. Eso sí, también recordó que la creación de la wallet cambiará muchas cosas. “Por ejemplo, actualmente hay un mercado muy grande de prestadores de servicios de confianza que tendrán que encontrar nuevas áreas de negocio y, posiblemente, pasarán por los atributos de identidad”. Y es que la cartera permitirá “firmar en remoto”, por lo que muchos procesos actuales ya no serán necesarios. Además, recordó que podrán ser titulares de la cartera digital tanto personas físicas como jurídicas y tendrán que poner en marcha mecanismos que permitan manejar ambas por la misma persona, cuando trabaje para una empresa y tenga que usar su cartera mercantil sin colisionar con la suya personal.

Trabajo colosal

De cualquier forma, sí alertó de que poner en marcha esta digital wallet es un “trabajo monumental” y queda “mucho por hacer”, por lo que se están realizando todo tipo de debates sobre sus cuestiones más importantes entre “técnicos, abogados, ingenieros y lograr un consenso que tendrá que venir de la mano de la Comisión”. También puso en valor que se está trabajando en “estandarizar la semántica de las atestaciones de atributos, que pueden ser miles, para admitir cualquier formato”. Y planteó el reto que supondrá su aceptación. También llamó la atención que están mostrando grandes empresas como Google o Apple por esta cartera europea, ya que, aunque tienen que ponerla en marcha los propios países, pueden reconocer a entidades privadas que la ofrezcan.

Interés de las multinacionales

Terminó este bloque con un animado coloquio, con Inza y Llaneza, que a preguntas de los asistentes, el primero reconoció que, a día de hoy, a pesar de lo marcado por eIDAS2 es “casi imposible que la cartera esté en marcha en 2026, ya que falta mucho por hacer, aunque se está trabajando muy bien y seguro que llega antes de lo que pensamos”. “Sin olvidar que tendrá que ser segura sí o sí, para evitar la suplantación, y ello pasa por tener en cuenta que ‘el diablo está en los detalles’”, añadió Llaneza, que puso como horizonte temporal para su adopción “unos cinco años, ya que si se hace en más, como ha pasado otras veces, no tendrá el éxito esperado”.

SERVICIOS

El reto del role mining para impulsar la IAM con automatización y métricas fiables

Presentado por el editor de Revista SIC, Luis Fernández, Julio Castilla, director en Business Security Solutions-Identity and Data Governance de PwC España, mostró, acompañado de Miguel Palomares, fundador de la herramienta Ormis, el reto que supone ‘Evolucionar el role mining para robustecer los cimientos de IAM’. En su intervención, Castilla repasó el concepto de role mining como “conjunto de permisos que se asocian a una función en la organización”. Un aspecto que “parece muy básico pero, al final, es el centro de los cimientos de lo que vayas a hacer en los procesos de vida de la identidad, segregación de funciones, políticas de seguridad, uso de normas, recertificación de accesos, accesos privilegiados, sistemas críticos y su protección”. Así, mostró, fruto de su experiencia en este ámbito, los retos de este proceso, que “junta dos mundos: el de los usuarios y los permisos” y que exige “definir roles teniendo claro los genéricos y los específicos”, adaptados a la “casuística de cada empresa”.


En este sentido, también recomendó contar con una ‘densidad de roles’ que se puedan gestionar y usar este trabajo para robustecer gestión de identidades y accesos (IAM). Asimismo, subrayó la importancia de la anticipación “que exige reconocer los datos que necesito, hacerlo de forma centralizada y registrar los roles en sistemas IAM”, destacando que “todos los procesos de role mining se deben poder automatizar para optimizar los resultados, hacerlo de forma más rápida y eficiente”.

Para mostrar su enfoque, Castilla dio paso a Palomares, con cuya empresa trabaja PwC y que ha creado la solución Ormis, para “automatizar y optimizar” este tipo de procesos. Así, expuso dos casos de éxito con clientes que han permitido tener métricas claras “con visibilidad y capacidades específicas para la gestión de roles, “reduciendo también errores humanos al definir roles y ganando tiempo y eficiencia con un proceso como el que ofrece “normalizado, seguro y potente, revisando roles de forma continua”.


SOLUCIONES Y TECNOLOGÍAS: VISIÓN Y PROPUESTA DE LOS FABRICANTES

CISCO

“Es fundamental, frente a ataques, tener contexto de lo que ocurre y responder de forma sencilla, con capacidades en múltiples entornos y de forma automatizada”

Hormigos presentó su propuesta 'Cisco Identity Intelligence: Empowering Duo and XDR', basada en la tecnología de ORT, la empresa que adquirió Cisco por su “solución en postura de IAM”. “Nuestra preocupación es parar y proteger de ciberataques y es un reto teniendo en cuenta que en el 74% de los casos se utiliza la identidad es el origen de ciberataques por encima de otros aspectos como las vulnerabilidades”.

Por ello, destacó que el enfoque de Cisco pasa por ofrecer el “contexto de la identidad”, con herramientas que recogen telemetría de diferentes aplicaciones (como Auth0, Workday, Okta, GitHub, Microsoft, Amazon, etc.), porque “a la hora de que alguien se autentique es fundamental contar con inteligencia sobre las identidades”. Así, mostró de forma detallada las capacidades y herramientas de la multinacional en lo que es la protección, la detección de amenazas y la respuesta que tengan que ver con la identidad poniendo en valor soluciones como DUO, “que es más que un doble factor de autenticación (MFA)" y su XDR, “que tiene como ADN la red, con la que nacimos” y siempre aplicando la apuesta de ‘seguridad continua de la identidad’ para alcanzar una postura de ciberprotección madura tanto respecto al usuario como al dispositivo, de forma fácil, con visibilidad, y con capacidades para responder a ataques de manera proactiva, por ejemplo, a través del denominado finger printing, que permite conocer el contexto de desde donde se conecta un usuario e implementando políticas basadas en el riesgo.

OKTA

“Proponemos un enfoque unificado de la identidad, con seguridad por diseño, apostando por la gestión de accesos, gobierno y acceso privilegiado para reducir el tiempo de detección y respuesta”

En su intervención, bajo el título ‘Guía del CISO para una seguridad en la identidad unificada', Felipe San Román, de Okta, comenzó destacando que “la identidad debe ser considerada infraestructura crítica de seguridad” por ser “punto de entrada para todas las aplicaciones laborales y de consumo”, suponiendo una superficie de ataque crítica.

Así, repasó los problemas de la protección de la identidad, en un entorno en el que "se trabaja en silos" y frente a la "proliferación de recursos y cuentas que hace difícil adoptar el paradigma de Confianza Cero”, exigiendo "garantizar que las personas correctas, tienen acceso a los recursos correctos, durante el tiempo necesario, con los mínimos privilegios, el contexto correcto y verificado continuamente, de forma sencilla y eficiente". Unos retos para los que Okta propone una "estrategia de seguridad que priorice la identidad con un enfoque unificado, dando valor a la gestión de accesos, gobierno y accesos privilegiados" con propuestas como su ‘Workforce Identity Cloud’.

Asimismo, recordó que la compañía apuesta por “las 3Cs de la seguridad, priorizando la identidad: consistente, consciente del contexto y de forma continua”. Para ello, su solución unificada permite "generar resultados de protección reales" descubriendo "roles críticos, recursos mal implementados, configuraciones inseguras, etc. y permitiendo determinar controles de acceso con los mínimos privilegios, fuertes políticas de acceso y de respuesta basada en riesgos", así como “buenas prácticas de ciberseguridad para contar con resistencia al phishing (con herramientas como Fastpass), también con biometría y con capacidades de detección, para evaluar cada amenaza y su impacto y de respuesta, de forma automatizada, evitando riesgos en usuarios y aplicaciones".

Terminó su intervención poniendo en valor el grupo de trabajo denominado IPSIE (Interoperability Profile for Secure Identity in the Enterprise), impulsado por Okta, dentro de la Fundación OpenID, para “luchar contra los ataques de la identidad”.

OMADA

"Hay que apostar por el gobierno en enfoques Zero Trust, con IGA que permita usar MFA, SIEM, UEBA, PAM y SASE, entre otras soluciones"

Sendra centró su ponencia en el ‘Modern Identity Governance’. Tras presentar los orígenes de la compañía, explicó cómo, desde 2023, se está focalizando en un gobierno moderno de la identidad (IGA), avalado por numerosos reconocimientos de analistas y clientes que han apostado por sus dos modelos de entrega de IGA -on premise y SaaS-, pero destacando este último por su “una arquitectura elástica basada en microservicios y fácil de gestionar”. Ello les permite “hacer despliegues rápidos en menos de 12 semanas”, dando no sólo seguridad sino permitiendo hacer frente a un “panorama de cumplimiento normativo en rápida evolución y frente a vectores de amenaza emergentes”.

Así destacó que, actualmente, en el mercado se ven "a organizaciones que se esfuerzan por hacer frente a un panorama de cumplimiento normativo en rápida evolución y a los vectores de amenaza emergentes” recordando que las "soluciones de Gobierno de Identidades tradicionales son difíciles de implantar, actualizar y evolucionar sin una gran inversión de tiempo y recursos". Frente a ello mostró la propuesta de Omada en aspectos como la gestión del ciclo de vida de la identidad, del acceso, su alineación con el negocio y la exigencia de contar con capacidades para hacer frente, en tiempo real, a incidentes de seguridad".

Además, indicó el mayor auge de contar con el enfoque de Confianza Cero y destacó la propuesta de su compañía que permite “cubrir las inquietudes de muchas empresas que con soluciones tradicionales han visto, tras seis o siete años, que no les permiten ir más allá de la gestión de los sistemas finales y no han logrado obtener un valor real”. Finalizó enfatizando el valor de su 'Omada Identity Cloud', "para tener una mayor autonomía en los procesos de IGA, una configuración escalable, las mejores prácticas, a través del marco Identity PROCESS+, conectividad máxima gracias a un framework basado en estándares reconocidos, para permitir una rápida conectividad de los sistemas, así como una disponibilidad del 99,9% en su propuesta SaaS".

OPENTEXT

"Es fundamental el gobierno de la identidad, frente a normativas como NIS2 y DORA, y apostar, entre otros aspectos, por el control de acceso basado en propósitos (PBAC) para disponer de la máxima seguridad, a través del contexto”

Grijalba centró su aportación en el enfoque de su compañía en el gobierno de identidades y accesos con una ilustrativa ponencia en la que puso en valor el portafolio de OpenText, con soluciones como Voltage, Fortify, ArcSight y NetIQ, para cumplir con normativas como NIS2 y DORA.

Además, remarcó la importancia que tiene la identidad en estadísticas como las facilitadas por Verizon en el análisis de las últimas brechas de seguridad y frente a las que destacó soluciones como su NetIQ, su plataforma de identidades y accesos, con capacidades como la autenticación con más de 30 métodos de MFA, datos UEBA (de comportamiento del usuario), capacidad para contar con un riesgo calculado sobre cada usuario y sesión, además de gestión y orquestación del ciclo de vida de la identidad.

Entre otros aspectos de interés, desgranó la apuesta de la compañía por un enfoque como el 'Purpose PBAC', el control de acceso basado en propósitos que proporciona una forma más granular y dinámica en el control de acceso a datos”, fruto de lo cual “las empresas con grandes volúmenes de datos sensibles o regulados pueden utilizarlo para garantizar que el acceso se conceda solo para fines autorizados al dato clasificado". No faltó en su conferencia la necesidad de gobernar los accesos de forma centralizada, su propuesta de integrar su NetIQ Identity Governance con los denominados 'Gestores de Contenidos muy extendido’ (xECM).

Finalizó mostrando su propuesta en capacidades de detección y respuesta ante ciberincidentes basadas en el comportamiento, a través de su ‘ITDR con Ueba 2.0’.

SIA, an Indra company

“En identidad digital hay un mundo más allá de Europa con proyectos, por ejemplo, en entornos sanitarios donde se pueden usar los wallet digitales para reducir el fraude de cara a las aseguradoras”

Finalizó el bloque, el especialista de SIA, an Indra Company, que recordó que la empresa es fabricante, pero también prestador de servicios, con una exposición sobre si ‘¿Estamos listos para la nueva Identidad Digital Europea?’. En ella repasó lo que supuso en 2016 la entrada en vigor del reglamento eIDAS, frente al eIDAS2, de 2024, con la llegada del ID Wallet, que supondrá un reto en el control de la seguridad y privacidad de los datos personales, la apuesta por la identificación y autenticación remota y segura (ID Proofing) y los servicios de atestación como garantía en la emisión y verificación de atributos. Además, explicó que con esta normativa llegarán nuevos servicios cualificados, como los Qualified Electronic Attestation of Attributes (QEAA), los Qualified Electronic Ledgers, y los Qualified Trust Service for the management of Remote Electronic Signature and Seal creation devices, que se regulan explícitamente, entre otros, con todo lo que supondrá para los auditores, los emisores de identidad y atributos, los usuarios, como titular de ellos, así como el uso controlado que tendrá que hacerse de ellos. También destacó la colaboración entre organizaciones como Enisa y la ETSI, además de analizar la hoja de ruta de la EUDI Wallet.

Y es que recordó que la cartera no sólo tiene 'atributos', ya que la identidad deberá acreditarse. Junto a ello, mostró propuestas que ya ofrece SIA de herramientas de vídeo identificación, tanto en procesos asistidos (el operador interactúa con el usuario), como desasistidos (sólo consulta y analiza la información). Y mostró un proceso "unificado de identificación" desde la pasarela de SIA, con tecnología de bioidentificación "capaz de eliminar el fraude y ofrecer un proceso usable y flexible", que ya se está usando. De hecho, terminó su intervención mostrando, de forma práctica, un wallet digital que ha desarrollado SIA para un cliente del sector salud, para evitar el fraude de clientes de aseguradoras que hagan mal uso de su póliza.


DEBATE: Las implicaciones de eIDAS2 entre otras exigencias normativas y la capacidad para implementar nuevas tecnologías de protección de la identidad, grandes retos de 2025

Como colofón, los participantes en el congreso -excepto Julio Castilla que, por problemas de agenda, fue sustituido por Daniel Álvarez, Senior Manager de PwC- participaron en un animado debate como clausura de esta décima edición de IdentiSIC.

Moderado por el director de SIC, José de la Peña, en él se analizaron los grandes retos que supone el actual proyecto de identidad europea desde el punto de vista de la industria, destacando todos los expertos que “las regulaciones siempre vienen a mejorar la seguridad porque siempre suponen un empujón a mejorar”. Además, se mostraron optimistas con todo lo que aporta el eIDAS2 respecto a la primera versión, aposando por dar el poder sobre sus datos a los ciudadanos. Eso sí, también mostraron su escepticismo sobre que este tipo de tecnologías estén al alcance de todos “por la brecha general que hay en su uso”. No faltó la reflexión sobre las capacidades que ya está ofreciendo la IA para mejorar la protección de la identidad, pero también para atacarla a través de deepfakes, entre otras técnicas.

Los asistentes, asimismo, resaltaron que, quizá, a veces la tecnología, en lo que atañe a la protección de la identidad, va más rápido que las propias empresas en su adopción, aunque normativas como NIS2 y DORA facilitarán muchas mejoras.

Retos para el nuevo año

Para finalizar, como ‘carta a los Reyes Magos’, los participantes mostraron sus ‘mejores deseos en protección de la identidad’ para 2025. Así, Álvarez resaltó que será el “año en el que las empresas deberán ‘ponerse las pilas’ para tener un nivel de autenticación que cubra un mínimo, por ejemplo adoptando un MFA condicionado”. Hormigos consideró fundamental que se “potencien más “los SOCs con capacidades ITDR, dando contexto y telemetría”, para hacer frente a posibles incidentes relacionados con la identidad. Grijalba consideró, con cierta ironía, que “con que se eliminen las contraseñas ya sería un gran pasó en este ámbito”, indicando que con las actuales tecnologías “ya es posible hacerlo de forma fácil y rápida. Pero hay que ponerse manos a la obra”.

Olivar se centró en pedir “que las normas técnicas, que están por publicarse para hacer realidad el wallet europeo, estén listas lo antes posible para que podamos avanzar rápido, porque cuando no hay regulación las cosas avanzan despacio”. San Román deseó “que no haya ransomware ni nada por estilo, porque se hayan tomado las medidas adecuadas, con enfoques como ITDR que ayuden a no perder dinero por este tipo de ataques”. Por su parte, Sendra mostró su inquietud porque, de verdad, “podamos dar capacidades reales de protección a los clientes, cumplimiento las expectativas que tienen cuando apuestan por una solución. Cuantos más contentos estén con la seguridad alcanzada, mejor para que todos podamos seguir avanzando”.


Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×