Control, gestión y protección de identidades
En un contexto en el que cada vez es mayor la digitalización de los servicios, la protección de identidades de los usuarios se ha convertido en una prioridad crucial para las empresas para evitar accesos no autorizados. Para tratar este importante asunto, Byte TI, junto con Ping Identity organizó un encuentro que contó con la participación de Valentín Belinchón, responsable de ciberseguridad y gobierno IT de Grupo Anaya; Carlos Scott, sales engineer de Ping Identity; Manuel Serrano, CISO de Atresmedia; Luis Paredes, CISO y CTO de Ingesan; Víctor Blanco, global CIO de Cepsa; Cristina Mielgo, responsable global de fraude en CIB a nivel grupo de BBVA; Guillermo Arias, major account executive Iberia de Ping Identity; Fidel Gómez, dirección de sistemas, procesos y ciberseguridad de Iberdrola Inmobiliaria y Alberto López, VP cibersecurity innovation product management de Mastercard
El control, la gestión y la protección de identidades tienen que ser pilares fundamentales para mantener la seguridad y la confianza en el entorno digital. Una correcta gestión de las mismas servirá para proteger tanto a los usuarios como a las organizaciones de posibles amenazas y vulnerabilidades. Este trío de elementos debe trabajar en conjunto. Así, con el control de identidades se podrá autenticar a los usuarios para que accedan a los recursos de la organización, lo que reducirá el riesgo de que se produzcan fraudes. Pero, para que sea efectivo llevar a cabo una correcta gestión de las identidades es esencial para definir de forma clara a qué recursos y aplicaciones tienen acceso los usuarios. Y conociendo que el usuario es el eslabón más débil de la cadena proteger sus identidades es fundamental para salvaguardar la privacidad y la seguridad de los datos personales. Las brechas de seguridad pueden tener graves consecuencias tanto para los individuos como para las organizaciones, incluyendo pérdidas financieras, daños a la reputación y sanciones legales. Por este motivo, implementar medidas robustas de protección y contar con las soluciones adecuadas es esencial para cualquier empresa.
En este sentido, Ping Identity, cuenta con una amplia oferta para controlar, gestionar y proteger las identidades de manera adecuada. Tal y como explicó Guillermo Arias, major account executive Iberia de Ping Identity, “somos una compañía que surge de la fusión de ForgeRock y Ping. Gracias a esta unión hemos podido ampliar capacidad para dar respuesta a los clientes de ambas compañías. Ambas plataformas se han mantenido y damos cabida a escenarios B2B, energéticas, telcos, etc.”
Carlos Scott, sales engineer de Ping Identity indicó además que «por separado, ambas plataformas lideraban, por separado, el mercado americano y europeo. Ahora liderarán ambos y los clientes se van a beneficiar de tener acceso a una mayor cartera de productos y servicios. Gracias a esta unión nuestros servicios de identidad ofrecen más opciones, una mejor experiencia para los usuarios y una solución de identidad más completa”. para nuestros clientes y socios.
¿Cómo se gestiona?
Los participantes explicaron cómo se gestionan y controlan las identidades en sus respectivas organizaciones. Así, Cristina Mielgo, responsable global de fraude en CIB a nivel grupo de BBVA, explicó que “estamos hablando de una gran empresa como BBVA que está presente en muchos países. Implementamos una gran contidad de soluciones y el control de acceso nos interesa mucho porque no sólo nos preocupan los accesos a la nube sino también los que se producen en el legacy. Tenemos mucho personal que entra desde múltiples lugares. Tenemos matrices de perfilado y uno de los retos es gestionar la matriz del perfilado cuando tienes cargas en on premise y cargas en la nube. Así que, hemos optado por incorporar múltiples aplicaciones, con mucha gestión interna y con eso nos sentimos muy cómodos, pero requiere de un trabajo ingente”.
El control, la gestión y la protección de identidades tienen que ser pilares fundamentales para mantener la seguridad y la confianza en el entorno digital
Fidel Gómez, dirección de sistemas, procesos y ciberseguridad de Iberdrola Inmobiliaria, explicó que “somos un negocio muy pequeño de Iberdrola. Nosotros en sistemas estamos sujetos a toda la normativa del grupo pero como no tenemos tanta sinergia con la IT del grupo, tenemos bastante legacy para la gestion de indetidades. También tenemos matrices de perfilado y en nuestro caso el despliegue de identidades, la gestión de perfiles obsoletos, etc. donde más esfuerzo hacemos. Una característica importante es que la inmobiliaria es un sujeto obligado en blanqueo de capitales y necesitas tener la certeza de que quién dice que está hablando es realmente quien dice ser. Este apartado no es una gran preocupación para el grupo, pero sí para nosotros”.
Alberto López, VP cibersecurity innovation product management de Mastercard, detalló que “en Mastercard, procesamos 143.000 millones de transacciones anualmente por lo que la gestión de identidades es un apartado muy importante y vital. Estamos intentando llegar al single-sign-on en casi todos los apartados, porque nos permite no tener que estar introduciendo passswords de forma constante. Además, para todos los empleados hemos implementado un segundo factor de autenticación. Aquí contamos con biometría y pass keys. Nuestro objetivo es quitarnos la password como concepto. Ahora vamos a ir una password única anual, asociada a un segundo factor de autenticación más una pass keys para el dispositivo”.
Por su parte, Valentín Belinchón, responsable de ciberseguridad y gobierno IT de Grupo Anaya, explicó que en su compañía “tenemos un volumen intermedio de transacciones. Hace unos años implantamos una gestión de identidades y ahora tenemos que evolucionar la herramienta y es bastante complejo. Estamos ahora en el punto de inflexión de ver por dónde vamos. Queremos saber en qué niveles nos podemos beneficiar de las herramientas del mercado. Somos más modestos en requisitos que otras empresas, pero la problemática es la misma. La implementación y cuestiones normativas también nos hacen buscar un equilibrio”.
Complejidad
La complejidad es uno de los elementos más importantes a la hora de gestionar los accesos y las identidades y varían claramente según la tipología de cada organización. Por ejemplo, como explicó Manuel Serrano, CISO de Atresmedia, “nosotros somos muy complejos y tenemos mucha tecnología y actividad. Además, tenemos entornos legacy que no se integran casi con nada. Trabajamos con single-sign-on, con doble factor de autenticación etc. Esto es complejo y con un coste de gestión importante. Tendemos hacia un concepto integrable y que nos permita rastrear la actividad. Pero no sólo el rastro de actividad, sino el nivel de autorización de esa actividad desde el momento en el que un usuario ingresa en el sistema. Además, en Atresmedia tenemos características particulares con respecto a otros tipos de organizaciones. Por ejemplo, nosotros no tenemos usuarios al uso: tenemos gente en zonas de guerra, redactores, proveedores, corresponsales…, y al final, todo eso, nuestros equipos lo manejan con celeridad”.
Luis Paredes, CISO y CTO de Ingesan, afirmó que “nosotros nos caracterizamos por gestionar personas. Tenemos un entorno aislado del grupo OHLA, porque prestamos servicios de cualquier índole que van al ciudadano. Manejamos datos personales y datos sensibles. Tratamos con personas (trabajadores y usuarios) que no tienen capacidades tecnológicas adecuadas y gestionar esto es complejo. Nos enfocamos en incorporar todas las soluciones de tecnología para que el proceso de la identidad sea robusto; por otra parte, abordar el proceso de adopción de esas soluciones y por último, la concienciación de gestionar la identidad a esas personas. El problema es que los usuarios no son conscientes dela importancia de la identidad digital y tenemos que incidir en fomentar esa cultura. En definitiva, nosotros podemos ser rigurosos en el perfilado, en las herramientas o la auditoría, pero necesitamos trabajar con las personas para que sean conscientes da la importancia. Necesitamos que los usuarios sean cuidadosos en el el entorno personal para que sean también cuidadosos en el entorno corporativo”. En este sentido, Cristina Mielgo se mostró de acuerdo en que “uno de los principales problemas es que los usuarios no tienen y les cuesta tener los conocimientos necesarios. Por eso es importante dotarles de una formación adecuada, para que sepan trabajar con ciertas herramientas”.
Pero como cada empresa es diferente los problemas también lo son. Y es que como explicó Manuel Serrano, “en nuestro caso ocurre lo contrario porque trabajo con personas que son periodistas que están acostumbrados a meterse en todo tipo de redes para conseguir información relevante. Y en ocasiones se saltan determinados procedimientos”
Retos
¿Cómo solucionar la problemática? Carlos Scott explicó que para poder solucionar los problemas “es importante tener en cuenta el contexto y luego es fundamental establecer una línea de base para detectar el contexto de esa base. Es muy importante identificar los contextos de accesos y poder establecer la base para detectar desviaciones de esa base. Hay que entenderlo todo como un conjunto. Vemos que hay complejidad porque no son muchos los que puedan determinar cada uno de los perfiles que componen una organización”.
Uno de los elementos en los que se tienen muchas esperanzas para controlar y gestionar la identidad es la Inteligencia Artificial, aunque como asegura Guillermo Arias, “la IA funciona si tienes suficiente volumen de datos. De eso sacamos ventaja en Ping, porque al trabajar en múltiples industrias tenemos un patrón de riesgo muy poderoso basado en infinidad de datos. Y esto es algo que ofrecemos y que una empresa, por sí sola no podría hacer”.
Para Cristina Mielgo, a la hora de gestionar las identidades, “cuando se producen altas, la gestión es muy fácil. El problema son las bajas porque nadie te dice que un determinado usuario se ha dado de baja. Así que tienes que hacer barridos para eliminar esos perfiles. Además, no hay nadie que tenga el conocimiento de negocio para saber qué tipo de perfil tiene que tener cada persona. Por otro lado, te pasas más tiempo gestionando alertas de falsos positivos porque no bloqueamos”.
Para Alberto López, “lo de bloquear es importante, porque aunque al usuario le cueste asumirlo lo tienes que hacer. Porque si de repente te viene un apunte en una tarjeta desde Asia, en un movimiento que no es normal, lo tienes que bloquear”.
En este sentido, Fidel Gómez consideró que “el problema es que el usuario se resguarda en que la seguridad depende del departamento IT. Este es un aspecto muy relevante. La clave para que la concienciación funcione es que un ataque afecte a aspectos personales de cada usuario. Nosotros hemos realizado campañas de concienciación y cuando estas campañas se han lanzado contra aspectos personales, es cuando el personal ha prestado atención a la importancia de la seguridad”.
Para Valentín Belinchón, “es difícil unir concienciación en la empresa. La parte más práctica es que hay mucha deficiencia a nivel personal y si alguien no es consciente del nivel de riesgo a nivel personal es muy difícil que se conciencie en el nivel de empresa”.
Powered by WPeMatico
