La XI edición del gran evento español dedicado a ella, con más de 300 asistentes, también analizó el impacto y retos de la IA aplicada a este ámbito
IdentiSIC 2025: La identidad segura, corazón del negocio y el perímetro de la ciberprotección ante una creciente presión regulatoria
La edición de 2025 de IdentiSIC -y van once- volvió a reunir, a mediados de noviembre pasado, a grandes referentes en gestión y protección de la identidad, sin duda el tema más efervescente de los escenarios cibernéticos planetarios. Durante una jornada se pudo conocer en detalle qué supone la explosión de la IA aplicada a la identidad, tanto en la defensa como en el ataque, con notables muestras de lo que ya se está haciendo con éxito por parte de entidades, como Banco Sabadell en el sector financiero, así como por consultoras como KPMG y PwC, y de compañías como CyberArk, Indra Group y Saviynt. No faltó una interesante aportación al protagonismo que ocupa la identidad y la ciberaccesibilidad para reducir riesgos, a cargo de la Fundación Goodjob, ni las continuas referencias a la cartera digital europea que, poco antes de IdentiSIC 2026, debería ser una realidad.
La identidad y su protección en los ciberescenarios ha evolucionado imbricándose como pilar crucial del negocio. Así lo destacó en la inauguración de la XI edición del congreso español de referencia en este ámbito, IdentiSIC, el editor de Revista SIC, Luis Fernández, quien también recordó que la llegada de las e-wallets en la UE, ya en el horizonte -a finales de 2026-, hará que “la identidad juegue un papel nunca antes tan determinante y decisivo”, a lo que hay que sumar “la relación de identidades humanas y de máquina”, que está cambiando el mundo como hoy lo conocemos. Una exposición que precedió a una muy ilustrativa ponencia de dos profesionales de PwC con amplia experiencia en la identidad como Julio Castilla, Director de Business Security Solutions/Data & IA y Adrián Olmeda, Manager Cloud Technology Consulting & Hyperscalers Alliance Driver de la consultora. Ambos, mostraron con una aproximación de alto nivel los retos y desafíos reales que están transformando la gestión de identidades en “tiempos de incertidumbre”, y en los que se ha convertido en corazón del negocio.
Julio Castilla
Dos enfoques, una prioridad
En su intervención, Castilla mostró cómo la IA está permeando todas las áreas de la ciberseguridad y la identidad, además de recordar que “la identidad, su gestión y protección será para 2026 una gran prioridad” en todas las corporaciones. En este sentido, habló de dos enfoques como son “el IAM4IA y el IA4IAM”, en un momento en el que cada vez hay un mayor uso de agentes de IA, que suponen “contar con un nuevo tipo de identidad digital”, que obliga a repensar la pregunta de “si se están gestionando de la forma adecuada”. No faltaron en su exposición los riesgos que también suponen los deepfakes y la suplantación a través de la IA, así como su uso para ataques masivos y “cada vez más sofisticados”. “Estamos en un momento en el que cada vez es más complicado diferenciar lo que hacen la IA y las personas, poniendo en riesgo sistemas como el MFA, cuando es débil”. También adelantó que, según datos del mercado, para finales de 2026, “el 40% de las aplicaciones harán uso de agentes de IA”, obligando a incrementar las medidas de gestión y control, destacando la necesidad de apostar por mejor “gobierno y observabilidad”, para detectar rápido “comportamientos anómalos”. No faltó en su exposición la importancia de la autenticación robusta, dinámica, granular, en base a contexto, con monitorización continua, y pidiendo lo que consideró esencial como es el “human in the loop”, que supone tener siempre el control, además de la necesidad “de aprobación humana en acciones sensibles”. Por eso, destacó el enfoque de PwC, con el “gobierno y la rendición de cuentas como clave para gestionar los riesgos asociados a los agentes IA”, lógicamente con la “propiedad y responsabilidad humana clara sobre los agentes”.
Adrián Olmeda
En sus conclusiones, Castilla recordó que "IAM se ha vuelto más crítica que nunca como pilar de confianza” y que “la rápida expansión de agentes IA, muchos de ellos sin identidad u origen reconocido, requiere una rápida actuación”, ya que “hay que asumir que los métodos estáticos (contraseña, roles fijos) no bastan ante un entorno demasiado dinámico. Necesitamos un IAM con medidas dinámicas y contextuales, adaptable, basadas en análisis de comportamiento, privilegios mínimos, just-in-time, impulsado por analítica en tiempo real". Destacó que el "IAM hay que verlo en este ámbito como oportunidad y como amenaza", y reclamó un mayor gobierno IAM de la IA, de formar y generar conciencia entre los equipos y de adoptar y diseñar IA con controles de identidad, así como evolucionar IAM considerando la IA presente y futura.
Nube soberana
A continuación, Olmeda profundizó en el papel de la identidad en el concepto tan en boga en Europa como es el de ‘nube soberana’, recordando que “hay que buscar los beneficios de la nube, pero sin perder la soberanía de los datos y la gestión”. "La globalización de los servicios cloud implica que los accesos, la infraestructura y los datos puedan almacenarse o gestionarse en múltiples países, sujetos a diferentes legislaciones y jurisdicciones extranjeras", comentó, además de destacar que en este contexto "gobiernos y empresas europeas se enfrentan al dilema de cómo aprovechar los beneficios del cloud sin perder control ni soberanía sobre sus datos críticos".
Así mostró como principales desafíos establecer una postura integral de seguridad, prevenir la exfiltración y el abuso, detectar y responder con eficacia y mantener la conformidad en el tiempo.
Frente a ello, planteó el enfoque de PwC que pasa, entre otros aspectos, por “certificaciones verificables, un control absoluto de los datos, acceso y claves por parte del cliente, una operación y gestión bajo el marco legal local, asegurando el cumplimiento normativo". En definitiva, "convertir los requisitos regulatorios en políticas concretas y arquitecturas prácticas, asegurando el cumplimiento desde el diseño", así como diseñar una "sovereign landing zone", con modelo de gobernanza, procesos y responsabilidades claros para operar servicios críticos, además de "establecer marcos de gobierno robustos" y "supervisar la cadena de proveedores, reforzando contratos y gestionando riesgos asociados a terceros, con acompañamiento experto en auditorías y certificaciones". Asimismo, mostró buenas prácticas que la consultora recomienda.
Automatización sin pérdida de control
También, fue muy seguida la ponencia bajo el título ‘Automatización sin pérdida de control: la protección de las identidades no humanas en la era de los Agentes IA’, de Juan Manuel Zarzuelo, Socio y Responsable Global de Identidad Digital de KPMG España, que también puso en valor cómo la consultora trabaja con “dos catálogos que incluyen, en un caso la parte de IAM y su eficiencia tecnológica, incluida la ciberseguridad”. Y, por el otro, uno que se centra en “eIDAS1 y 2, cartera digital, deepfakes, etc… y todo el impacto que generan” para, en definitiva, proteger a las organizaciones, tanto en el ámbito interno como externo. Así, destacó el valor que aporta la “automatización sin pérdida de control”, en lo que atañe a la protección de las identidades no humanas en “la era de los agentes IA”.
Juan Manuel Zarzuelo
En su intervención, estableció interesantes comparativas y diferencias entre las identidades humanas y no humanas, así como las que hay entre los tipos de estas últimas -desde las utilizadas en las cuentas de servicio, hasta los bots y las usadas para API keys y OAuth tokens-. “Actualmente, ya hay 144 identidades de máquina (NHI) por cada una de empleado, pero es sólo un número, están creciendo exponencialmente", sobre todo, en entornos de nube, y ello supone que "el 69% de las organizaciones ya han sido impactadas por las NHI como vector de ataque". Lo más preocupante es que “sólo una de cada cuatro invierte en seguridad de las identidades de máquina", mostrando también los principales incidentes sufridos por el uso de ellas. Así, analizó también algunos de los ciberataques más importantes sufridos por grandes corporaciones en los últimos meses, incluyendo el que usó una IA de Anthropic, Claude, para automatizar todo el ciclo de ataque.
Frente a este "nuevo paradigma" mostró la propuesta y enfoque de KPMG. "En la transición del entorno actual, donde la mayoría de las credenciales de identidad no humanas permanecen estáticas, a un futuro dinámico y efímero, es esencial respaldar las iniciativas de Gobernanza y Administración de Identidad (IGA) y Gestión de Acceso Privilegiado (PAM). Estas soluciones permiten una gestión de acceso más eficiente y controlada, garantizando la protección y la adaptabilidad necesarias en un panorama tecnológico en constante evolución", explicó.
Ciclo de vida de la identidad
Asimismo, mostró la importancia de la gestión del ciclo de vida de las identidades no humanas, a través de, entre otros aspectos, contar con “una sólida postura de la gestión de las identidades, con capacidades de descubrimiento e inventario, controles preventivos, así como implementar un sólido proceso de desmantelamiento y recertificación para retirar los NHI no utilizados y garantizar que se aplique el principio de privilegio mínimo".
Concluyó poniendo en valor que un enfoque de ciberseguridad frente a las identidades no humanas permite una mejor gestión y “reduce la superficie de ataque que generan, reduciendo la posibilidad de infracciones y amenazas".
Además, destacó la necesidad de contar con una "supervisión centralizada y en tiempo real de todas las identidades de máquina para tener una respuesta rápida ante incidentes, una mejor gobernanza", para poder tomar "decisiones de acceso más informadas". También, subrayó la necesidad de automatizar el ciclo de vida de la identidad para optimizar las operaciones, tener un escrutinio cada vez mayor en torno a la "protección de datos y la gobernanza de la identidad con una gestión clara de las NHI y apostar por la automatización de los procesos de gestión de la identidad para reducir los costes operativas y de mediación".
Tras estas dos exposiciones, los ponentes participaron en una animada mesa redonda, moderada por el editor de SIC, en donde se profundizó en cuestiones como los retos de los CISO en la aplicación de la IA a la identidad, la necesidad de crear -o no- un nuevo rol expresamente centrado en ello, el del Identity Chief Officer (ICO), como se dio a conocer en la última edición de Securmática, en octubre, así como la alineación entre los departamentos de ciberseguridad y fraude con la identidad como bisagra para reducir riesgos, o qué impacto tendrá la llegada de la cartera de identidad digital europea, entre otros aspectos.
Experiencia en sector financiero
A continuación, el director de la revista anfitriona, José de la Peña, presentó la intervención, muy valorada, del Director de Operaciones de Seguridad de Banco Sabadell y al tiempo CISO en Sabadell Digital, Adolfo Hernández, quien mostró su visión sobre la "operación de la ciberseguridad en el proceso de IAM ante la irrupción de la IA". En su intervención destacó la identidad como el nuevo perímetro de seguridad en los entornos bancarios, donde "IAM/CIAM ha dejado de ser un tema puramente técnico y pasa a ser un activo de negocio y de riesgo corporativo". Además, analizó los diferentes 'dolores' operativos clásicos de IAM, como los silos de identidad, las 'manualidades', la lentitud de los sistemas heredados y los errores humanos, así como la complejidad de gestionar roles y privilegios y de integrar la telemetría IAM entre SOC y el departamento de fraude, con una visión unificada, entre otros aspectos. "El objetivo es reducir esta fricción sin bajar el nivel de control, automatizando tareas que antes eran lentas y poco adaptativas", destacó.
Adolfo Hernández
En su exposición analizó la complejidad real de gestionar la identidad en una gran entidad bancaria donde 'conviven' identidades humanas, no humanas y, todo ello, con la presión de un cada vez mayor ecosistema regulatorio europeo, con normativas como NIS2, DORA, PSD2 y la futura PSD3/PSR, además del eIDAS2 y el EUDI Wallet. Un entorno donde "el reto operativo es orquestar y monitorizar todos estos dominios como si fueron un único sistema". No faltó el análisis del incremento de riesgo y complejidad del hecho de integrar agentes de IA, que suponen "una identidad que debe estar plenamente embebida dentro del modelo IAM, PAM y del SOC", resaltó.
IA de identidad como vector de ataque
Además, alertó de que, con el uso de la IA como vector de ataque sobre la identidad, "ya no competimos contra un actor humano sino contra 'fabricas' de ataques que aprenden de nuestros propios patrones de defensa". Frente a ello, destacó que la clave para superar este reto es "no ‘meter’ la IA en cualquier área, sino usarla donde realmente permite reducir el ruido, priorizar alertas y dar contexto de identidad al analista", pasando de "gestionar accesos a operar un ecosistema de identidades y atributos, donde IAM, fraude y cumplimiento trabajan sobre el mismo mapa de identidad".
Finalizó su ponencia recordando, a modo de conclusión, que “en el ámbito de la identidad, sin monitorización continua no hay ciberseguridad real, que la IA está actuando como un multiplicador que acelera y da escala al atacante, pero que también permite, si se usa como defensa, integrarla de forma eficiente y con éxito en procesos y operaciones de identidad". Y frente a los retos y exigencias que plantean normativas como eIDAS 2.0 y el EUDI también hay que ver estas iniciativas como una "oportunidad para pasar de 'gestionar accesos' a operar un ecosistema de confianza digital europeo".
#aliadaSEC: la FUNDACIÓN GOODJOB apuesta por la ciberdiversidad como camino a la ciberseguridad, reduciendo la brecha digital
IdentiSIC 2025 también se sumó a la apuesta por la 'ciberaccesibilidad' que impulsa la Fundación Goodjob, a través de su programa #aliadaSEC. Para ello, el Director de Operaciones de #factory de la iniciativa, Luis Muñoz, y el Responsable del Área de UX y Accesibilidad de MTP, Javier de la Plaza, impartieron una ponencia muy ilustrativa sobre "la accesibilidad digital como pilar estratégico de la gestión segura de la identidad", en la que comenzaron mostraron los problemas que sufren miles de personas por falta de visión (por ejemplo, para resolver captcha) pidiendo implementar cambios y mejoras a través de lo que denominaron la ciberaccesibilidad, que permite "analizar cómo el incumplimiento de criterios de accesibilidad puede comprometer la seguridad de los sistemas digitales", también en el ámbito de la identidad.
Luis Muñoz
Así mostraron su propuesta para empresas que permite ver el grado de cumplimiento con este concepto, "analizando si se implementan en aplicaciones, web y servicios criterios de accesibilidad puede comprometer la seguridad de los sistemas digitales", para "reducir riesgos y generar conciencia sobre cómo la accesibilidad impacta directamente en la seguridad de los sistemas", además de recordar numerosas normativas que también reclaman disponer de criterios de accesibilidad en el ámbito digital.
Buenas prácticas y lecciones aprendidas
No faltó en su exposición interesantes ejemplos y errores cometidos por grandes empresas y su impacto en la ciberseguridad. Terminaron con una breve guía de buenas prácticas a través de un documento que "sirve como camino para auditar aquellos criterios de accesibilidad que impactan en la ciberseguridad, proponiendo acciones de mejora que supongan un beneficio convergente a ambas áreas".
Javier de la Plaza
Una iniciativa en la que la Fundación cuenta con sus colaboradores (RootedCON y MTP-Ciberso), con el respaldo del CCN-CERT y el apoyo de la Revista SIC, y que busca, en definitiva, promover a través de #aliadaSEC "una oferta completa de servicios y contenidos para hacer frente a esta problemática: tanto contar con su propuesta #factory como centro proveedor de servicios como apostar por incorporar a personas con discapacidad, que son las más adecuadas para evidenciar la no accesibilidad", concluyeron.
SOLUCIONES Y TECNOLOGÍAS:
VISIÓN Y PROPUESTA DE LOS FABRICANTES
CYBERARK
Oussama Lafar, Solutions Engineer
“Acabamos de presentar nuestra solución para gestionar y limitar lo que pueden hacer los agentes de IA, definir su intención, así como monitorizarlos y auditarlos”
Durante la jornada también destacó la visión y propuesta de fabricantes y proveedores de referencia en este ámbito, como CyberArk, con más de 4.000 profesionales y 9.000 clientes, que actualmente está en proceso de integración en Palo Alto Networks. Su Ingeniero de Soluciones, Oussama Lafar, profundizó en las grandes capacidades de la IA para mejorar la ciberseguridad en la gestión y el gobierno de las identidades, pero teniendo en cuenta que, también, se ha convertido en un nuevo factor de riesgo. En su ponencia puso en valor el objetivo de la compañía de proteger la identidad en todas sus dimensiones, abarcando tanto a las identidades de máquina (IA, workloads, dispositivos) como a las humanas (workforce, IT, desarrolladores), con respuestas específicas para cada caso de uso, desde una plataforma centralizada y unificada, a través de su CyberArk Identity Security Platform.
Oussama Lafar
Ingeniero de Soluciones
En este sentido, Lafar explicó cómo la empresa aplica la IA a impulsar la protección, eliminar la complejidad y mejorar la experiencia de los administradores y usuarios de la plataforma. Para lograrlo, cuenta en su plataforma con CORA AI, que utiliza técnicas de IA y machine learning para mejorar la detección, las configuraciones y crear políticas de forma automatizada, entre sus aspectos destacados. Además, “tenemos un chatbot que representa el futuro de cómo vamos a hablar con la plataforma”, subrayó. Lafar también destacó que, con la adquisición de Zilla Security, en febrero de 2025, la compañía ampliará aún más sus capacidades, por ejemplo, a la hora de definir y crear perfiles dentro de una empresa, a través del análisis de los permisos.
En su intervención, presentó una notable novedad del portafolio de CyberArk, centrada en la protección de los agentes de IA, que “no son ni máquinas (como scripts), ni humanos”, especificó, “pero su número va creciendo dentro de las organizaciones”. Así pues, “las técnicas que tenemos que usar en este caso son diferentes. Por eso hemos lanzado una solución específica para gestionarlos, limitar lo que pueden hacer y definir su intención”, puntualizó. Lafar indicó que, a través de hacerse preguntas tan importantes como “qué y cuántos agentes tengo, qué permisos tienen y cómo voy a poder gestionar el ciclo de vida de esos agentes”, la compañía ha desarrollado las funcionalidades de su producto CyberArk Secure AI Agents. Se trata, en definitiva, de una solución que proporciona descubrimiento y contexto, gestión de permisos y detección de anomalías, además de auditarlos. “Nuestra idea es tener un hub de agentes de IA, ofreciendo un AI Agent Gateway, a través del cual, verifica con la plataforma todas las preguntas y las políticas configuradas para saber si tiene los permisos para hacer lo que está intentando hacer, ejecutar la acción, además de auditar y monitorizarlos, entre sus aspectos destacados”, concluyó.
INDRA GROUP
Adrián Reyes, Head of Business Development- Digital Identity
“La IA nos permite automatizar procesos, aportando eficiencia operativa y experiencia en el usuario consiguiendo sencillez y confianza digital”
Adrián Reyes
head of Business Development
Digital Identity
Bajo el título ‘Gestión inteligente de identidades: de la automatización a la autonomía’, Adrián Reyes, head of Business Development, Digital Identity, de la unidad de Ciberseguridad de Indra Group, ahondó en la importancia de proteger la identidad, que se ha convertido “en el nuevo perímetro de la ciberseguridad”.
Reyes destacó que la compañía cuenta con más de 2.000 expertos trabajando en esta área, con España como uno de los principales hubs con 300 personas. Además, explicó que también dispone de departamentos específicos de PAM, MFA/SSO, CIAM e IAM/IGA, entre otros, con un modelo de ejecución de proyectos end to end, desde la consultoría y en el despliegue de la tecnología, hasta la realización con éxito. Y, una vez acometido, “también lo mantenemos con un servicio de operación y administración”.
Durante su intervención analizó cuatro ámbitos clave de la identidad, empezando por la gestión y gobierno (IAM/IGA), con sus soluciones potenciadas con IA y machine learning, permitiendo análisis de grandes volúmenes de datos de acceso, detección de patrones de riesgo, recomendación automática de roles y permisos, así como la identificación de conflictos SoD de forma predictiva. No obstante, “uno de los puntos más innovadores a día de hoy son los chatbots para la gestión y facilidad para el usuario”, comentó.
En general, “la IA nos aporta seguridad en nuestros sistemas, eficiencia y precisión en los datos”, afirmó. En la parte de PAM y Secretos, “la IA ofrece, sobre todo, el acceso just in time y supervisión continua, con análisis de comportamiento en tiempo real, revocación automática ante anomalías, así como la aplicación de un modelo Zero Trust real”. Esto permite una “respuesta a incidentes con mayor velocidad, también se disminuyen el 80% de los riesgos y ofrece auditorias automáticas y trazabilidad total”, indicó.
En cuando a MFA+AM (Access Management), según Reyes, la IA ofrece un MFA dinámico, decidiendo cuándo pedir un segundo factor. También, una autenticación adaptativa basada en comportamiento, reduciendo la fricción y mejorando de la usabilidad. Además, destacó una vez más la importancia de los chatbot para resolver incidencias o pedir acceso a un sistema, soporte y toma de decisiones autónomas.
Dentro de la gestión de identidades de clientes (CIAM), la inteligencia artificial permite, explicó, una autenticación adaptativa, prevención de fraude y bots, gestión avanzada del ciclo de vida del cliente, asistente de soporte, así como integración omnicanal. Con ello, se logra más seguridad en el acceso, una experiencia personalizada, una menor fricción y más eficiencia operativa, fidelización, retención, cumplimiento y reputación.
Con todo, terminó subrayando los beneficios de la IA, “que es muy importante utilizar bien porque puede ser un potenciador extraordinario”.
SAVIYNT
Jorge Sendra, Country Manager para España
“Con ISPM damos visibilidad de identidades, aplicaciones y dispositivos, permitiendo ir un paso más allá: la identidad es el firewall de todo”
Jorge Sendra
country manager para Iberia
Jorge Sendra, country manager Iberia de Saviyint, centró su exposición en las novedades de la compañía y la innovación aprovechando las capacidades de la IA. Destacó la evolución de la multinacional estadounidense, que empezó en 2010 fruto de su escisión de una gran corporación internacional de gestión de identidades, y que en la actualidad está centrada en la seguridad y gobierno de la identidad, gestión de accesos privilegiados, usuarios externos, así como en el ‘Aplicación Access Governance’, ofreciendo una granularidad muy fina, entre otras capacidades destacadas. Además, resaltó, de forma especial, sus capacidades de ‘Identity Security Posture Management (ISPM)’, para disponer de “visibilidad de todas las identidades, aplicaciones y dispositivos, y que Gartner define como la tendencia en ciberseguridad”, y es que, “permite llegar un paso más adelante porque la identidad es el firewall de todo”, enfatizó. Además, uno de los aspectos más importantes de la propuesta de la compañía es que “todo se ha construido en una única plataforma con todas las capacidades, con un único interfaz amigable y sencillo”.
En cuanto a las novedades en materia de IA remarcó dos visiones principales de Saviynt: “la protección de la identidad para la IA y la IA para la seguridad de la identidad”. Para ello, “necesitamos tener una buena postura de la seguridad y visibilidad”, subrayó Sendra. En este sentido, el ISPM integrado permite descubrimiento inteligente y continuo para construir un inventario con todas las identidades, aplicaciones y activos; recomendaciones sobre la calidad de los datos, la efectividad de los controles y el Gobierno de la Identidad; reducir los problemas de auditoría; y potenciar el negocio desbloqueando el acceso a la información relevante a través de un interfaz sencillo. En general, “con nuestra plataforma hemos conseguido que las personas saquen más valor de la identidad”.
Junto a ello, explicó cómo protegen de los agentes de IA, los cuales, son muy importantes gestionarlos, tener la visibilidad y controlarlos. En este contexto, Sendra advirtió que “hemos primado la ventaja de poder hablar con un agente y hacer el trabajo más sencillo y más rápido, pero no hemos tenido en cuenta la visibilidad de todos los agentes que existen, si tienen privilegios adecuados, qué están haciendo y, sobre todo, cómo gestionarlos para que no puedan dar más cosas de las que las personas tenemos que pedir o hacer”.
Antes de concluir, Sendra también hizo referencia de la parte de la seguridad de la identidad con foco en las aplicaciones, destacando su plataforma Terraform, que también saca provecho de la IA y adelantó su próxima novedad: su Agentic PAM.
DEBATE: Las grandes empresas aprueban en protección de la identidad, frente a pymes y administraciones en un ámbito donde la IA y la visibilidad son el futuro
El encuentro finalizó con un animado debate, moderado por el redactor de SIC, José Manuel Vera, que reunió en el estrado a Oussama Lafar (CyberArk), Adrián Reyes (Indra Group) y Jorge Sendra (Saviynt) para hablar y analizar asuntos como la preparación de las organizaciones en cuanto a protección de la identidad, las carencias y retos en esta materia, así como su alcance en otros ámbitos, como el militar.
Así, en lo relativo al nivel de preparación de las organizaciones públicas y privadas en España, en general, se dio un aprobado con nota a las grandes empresas privadas y más bien un suspenso a las administraciones públicas y pequeñas empresas, aunque en el análisis hubo matices. Por ejemplo, Lafar indicó que dar una nota es “complicado porque se podría dividir en sectores, ya que existen bancos y aseguradoras a los que se podrían poner una nota alta, y no así al sector público, aunque siempre hay cosas que hacer en todos los sectores”. Reyes también estableció otro criterio ya que “dentro del contexto internacional en España estamos avanzados y yo más bien separaría si la empresa es grande o pequeña, al igual que en el caso de lo público”. “En las grandes empresas privadas sí que tienen soluciones y están haciendo mucho, en cambio en las pequeñas no es lo mismo, al igual que en la administración, donde es distinto si es una entidad grande o si se trata de un ayuntamiento, una diputación, etc, porque el presupuesto que tienen no es tanto, por lo que más bien suspenden”. Sendra, por su parte, señaló, que “pondría una nota baja a todos, no pasarían del cuatro. En España hemos hecho mucha inversión y se ha hecho muy bien pero el ecosistema se ha abierto enormemente, y hay que tener más visibilidad y poner más controles”. “Aunque se tiende a ir hacia allí”, puntualizó.
No es un camino fácil ya que las empresas aún cometen notables errores a la hora de embarcase en un proyecto de seguridad y gestión de identidades. En este sentido, los tres ponentes desvelaron algunos ejemplos vividos, especialmente preocupantes. en cuanto “a NHI, credenciales y certificados usados por máquinas”. Lafar explicó el caso de una aerolínea que se olvidó de gestionar un certificado haciendo que el sistema de reservas no funcionara y se produjeran pérdidas de más de 500 millones de euros”. Reyes destacó que, además, “muchas empresas priman la parte económica eligiendo una solución que no es la adecuada” y Sendra, de igual forma, subrayó los errores que se cometen al “comprar una solución y no sacar todo el valor de ella, sin ver riesgos, ni brechas de identidad… lo que a mí me abre el camino en el ISPM”.
También, fueron notables las preguntas de la audiencia que se interesó, por ejemplo, en si las propuestas de las compañías representadas también sirven para el ámbito de la Defensa. En este sentido, valoraron que se trata de un entorno muy complejo y precisa de soluciones muy específicas.
Para finalizar, se pidió a los tres ponentes que respondieran, en forma de consejo, por dónde habría que empezar un plan estratégico en identidad. Reyes subrayó a “la IA como nuestro aliado”, Sendra insistió en el “ISPM para tener visibilidad”, además de indicar también que “la IA está para ayudarnos”, y Lafar se decantó por dotar de “visibilidad en todo lo que tenemos de identidad, planificar y actuar con las tecnologías que existen actualmente y, sobre todo, en la parte de IA”.