Cómo proteger la identidad, el acceso y la experiencia de los usuarios

Proteger la identidad y los accesos sin que merme la experiencia de los usuarios es clave para las empresas. Para hablar sobre esta temática, Byte TI, junto con Ikusi y Cisco, organizó un almuerzo informativo que contó con la participación de David Hernán, Subdirector del Centro de Operaciones de seguridad de la información de Mapfre; Diego Vizcaíno, Partner Business specialist de Cisco; Antonio Gil Muga, director corporativo de operaciones y sistemas de GVC; Lucero Ramos, CISO de Idealista; Eduardo Pérez, Cibersecurity manager de Ikusi y Miguel Ángel González, CIO y CISO de IMESAPI

El encuentro sobre proteger la identidad y los accesos se inició con la presentación de Ikusi, una compañía especializada en servicios tecnológicos avanzados, dedicada a impulsar la digitalización y garantizar la ciberseguridad. Se trata de una firma que es líder en el diseño, implementación y gestión de infraestructuras de comunicaciones, ofreciendo a las empresas redes empresariales eficientes, robustas y seguras. Su valor diferencial radica en su modelo de despliegue que abarca desde la ingeniería, la implementación, el soporte, la administración y el monitoreo hasta la ingeniería comercial para apoyar a los clientes en diferentes modelos de consumo. Tal y como explicó Eduardo Pérez, Cibersecurity Manager de Ikusi, “tenemos localizaciones en España, Colombia y México y contamos con alrededor de 1.000 empleados. Dada nuestra experiencia podemos ofrecer a los clientes un porfolio completo de soluciones de ciberseguridad enfocados en soluciones de Cisco. Tenemos el SOC principal en Monterrey y también otro en Alcalá de Henares”.

Como especialista en soluciones de Cisco, cuenta con el apoyo constante de la multinacional norteamericana y tal y como expuso Diego Vizcaíno, Partner Business Specialist de Cisco, “mi labor consiste en que los partners con los que trabaja Cisco, como es el caso de Ikusi, puedan alcanzar sus objetivos”.

Prioridad para proteger la identidad

Proteger la identidad y los accesos se ha convertido en un pilar fundamental de la ciberseguridad empresarial. En la actualidad, los empleados y clientes acceden a recursos corporativos desde múltiples ubicaciones y dispositivos por lo que garantizar que cada identidad sea legítima y cada acceso esté controlado es crucial para evitar brechas de seguridad.

Los atacantes ya no solo buscan vulnerabilidades técnicas; su principal vía de entrada son las credenciales robadas o mal gestionadas. Un solo usuario comprometido puede dar acceso a toda la red corporativa, exponiendo información confidencial, sistemas críticos y datos personales. Por ello, una estrategia sólida de gestión de identidades y accesos.

Sin embargo, cada empresa tiene sus particularidades, como se puso de manifiesto en el encuentro. Así, Antonio Gil Muga, director corporativo de operaciones y sistemas de de GVC, explicó que “en nuestro caso, estamos sujetos a normativa DORA y la ciberseguridad es muy importante para nosotros. Hemos invertido mucho en procedimientos y herramientas para proteger la identidad porque el usuario es el eslabón más débil y es donde nos estamos centrando últimamente y queremos que los usuarios están concienciados. Percibo que uno de los problemas es que, habitualmente los usuarios creen que de la ciberseguridad se ocupan otros y que ellos no juegan ningún papel. Y esto es un reto”.

Por su parte, Lucero Ramos, CISO de Idealista explicó que “Idealista no solo es la página web, sino que también tiene muchas empresas a su alrededor que siguen operando de forma independiente y controlar todo ello supone un desafío. Estamos muy orientados a cliente favoreciendo la usabilidad. En mi caso, tengo dos ámbitos de trabajo: el orientado al cliente y el cliente interno. Además, queremos seguir manteniendo la filosofía como startup y eso es complejo, pero el apartado de proteger la identidad y los controles se está implementando. Tenemos gente joven con lo que la resistencia al cambio es muy pequeño”.

Miguel Ángel González, CIO y CISO de IMESAPI, afirmó que “nosotros tenemos un reto y un problema a la vez. Tengo muchos operarios que no son digitales (jardineros, obreros…) y los ataques últimamente se centran en la identidad y es el mayor peligro para la ciberseguridad. Robo de credenciales, robo de información e incluso la codificada. Con el reto añadido de que tengo usuarios no digitales y que tenemos muchos empleados que no quieren adaptarse nos ha obligado a implementar reglas muy duras y claras, por ejemplo con la implementación de contraseñas de 14 caracteres para entrar en un determinado servicio o aplicación”.

David Hernán, Subdirector del Centro de Operaciones de seguridad de la información de Mapfre, explicó que la compañía sufrió un ciberataque en el año 2020. “Y ese ataque -explicó- vino por un ciberataque de identidad así que para nosotros la protección de la identidad es fundamental. A partir del ciberataque nos enfocamos en el usuario interno, pero también en el cliente. Por otra parte, tenemos muchos servicios gestionados, lo que es otro reto. Estamos focalizados totalmente en proteger la identidad, no sólo con herramientas, sino también con la formación. Hacemos concienciación no solo en la parte de ciberseguridad, sino también en economía o finanzas. Con respecto al cliente nos centramos en la usabilidad y la gestión de los usuarios, dado que ofrecemos diferentes productos con diferentes accesos”.

Más allá de la oficina

Una de las claves es que las oficinas ya no están aisladas. Tal y como explicó Eduardo Pérez, Cibersecurity Manager de Ikusi, “la oficina es la zona segura, pero el perímetro se ha expandido de tal forma que la identidad es el nuevo perímetro en función de si es confiable o no confiable. El cambio es bastante grande con respecto a antaño. En lo que respecta a las contraseñas creo que es algo superado y todos asumimos que hay que tener herramientas de control para las contraseñas, desplegando soluciones multifactor, porque la mayoría de los ataques vienen por contraseñas comprometidas. Los mecanismos de MFA han evolucionado, ahora hay que ir a otro tipo de tecnología basado más en el comportamiento del usuario y que a su vez no comprometa la productividad de empleado”.

En este contexto, cobra protagonismo Cisco Duo, una solución de autenticación multifactor (MFA) basada en la nube que protege el acceso a aplicaciones, usuarios y dispositivos, aplicando el enfoque de seguridad Zero Trust. Tal y como explicó Eduardo Pérez, “esta herramienta permite verificar la identidad de los usuarios y el estado de sus dispositivos antes de conceder acceso a recursos corporativos, reforzando la protección frente a accesos no autorizados y ataques como el phishing. Cisco Duo es fácil de implementar, se integra con aplicaciones locales y en la nube, y proporciona políticas adaptativas para restringir el acceso según contexto, garantizando el cumplimiento normativo y una experiencia de usuario optimizada. La solución monitoriza la actividad del usuario y si no ve un comportamiento extraño, entonces vuelve a pedir la validación. Si la actividad es normal, la validación solo se pide por la mañana”.

Diego Vizcaíno, Partner Business specialist de Cisco, añadió que “una de las características de nuestras soluciones y que impregnan todas las estrategias de Cisco es que la experiencia de usuario es un apartado fundamental. Para nosotros es esencial no poner barreras al usuario. Por ejemplo, en Cisco hace años que no usamos contraseñas. El 90% de los compañeros trabajamos fuera de la oficina y no nos penaliza la compañía a la hora de acceder a un servicio independientemente desde dónde accedamos. Es decir, desde Cisco apostamos porque se pueda acceder a las aplicaciones de forma segura pero sin que el acceso sea intrusivo”.

En este sentido, Miguel Ángel González aseguró que “para mí es importante el apartado de la usabilidad, pero también lo es cumplir con la legislación. Y en mi caso la normativa es secundaria, yo cumplo la norma porque lo que quiero, sobre todo, es ser seguro”.

Qué pedirle a una solución integral

A la hora de incorporar una solución integral los asistentes demandaron una serie de aspectos. Por ejemplo, David Hernán, afirmó que “nosotros pedimos acceso remoto, organización segura y que cubra la parte de amenazas. Intentamos simplificar la gestión de todas estas plataformas. Queremos simplificar la solución al usuario. Otro foco es el tema de las políticas y aplicación de las mismas. Otra cosa importante es la simplificación de los perfiles de navegación”.

Proteger la identidad y los accesos se ha convertido en un pilar fundamental de la ciberseguridad empresarial

Para Lucero Ramos, “la simplicidad es lo más importante, pero también la gestión de las herramientas y las incidencias que suele ser compleja. Tener esa foto que te diga hacia dónde tienes que ir es algo que me encantaría tener”.

En este sentido, Miguel Ángel González, cree que “la parte de gestión unificada te lo facilita, pero en mi caso, el vendor locking no me gusta. Conozco las ventajas que aporta el modelo, pero creo que tendríamos que tener capacidades para tener varios ecosistemas. Lo hemos visto en la caída reciente de AWS y lo que supone tener una dependencia”.

Ante todo esto Diego Vizcaíno de Cisco, afirmó que “nuestra estrategia es la de crear una plataforma unificada de todos los productos de Cisco. Además tenemos nuestra capa adicional para dar contexto a lo que está pasando en cuanto a eventos de ciberseguridad. Y otro de los problemas es el de priorizar, porque las empresas tienen infinidad de herramientas de ciberseguridad y en muchos casos no lo pueden o saben gestionar”.