El control de accesos y de identidad empieza a ser una prioridad para las empresas. Para hablar sobre este mercado Byte TI organizó un encuentro con una de las empresas más representativas de este mercado: ForgeRock. El webinar contó con la presencia de Carlos Scott, Digital Risk Consultant de ForgeRock y Nelson Sánchez Vera, Director de Accenture Security.
Carlos Scott, Digital Risk Consultant de Forgerock explicó que el origen de la compañía data del año 2010 y como una escisión de la antigua Sun Microsystems. “En ese año, cuando la adquiere Oracle, los fundadores de ForgeRock siguen desarrollando y trabajando en su tecnología de accesos. Nuestra misión es la de permitir a las personas acceder al mundo conectado de forma simple y segura. Parece muy sencillo pero debido a varios retos esta misión puede ser más complicada o más sencilla dependiendo del punto en el que se encuentre un negocio. Por ello, desarrollamos tecnologías para que las empresas digitalicen sus procesos de negocio de tal forma que los empleados y clientes puedan interactuar entre si de forma cada vez más sencilla y más segura. Estas tendencias que se han acelerado con la pandemia requieren de la economía de la reinvención que es pensar en como se actuaba anteriormente y repensar las interacciones que cada vez son más a través del mundo digital. De esta forma entenderemos mejor las preferencias de los clientes y podremos darles mejoras en su experiencia sin renunciar a la parte de la seguridad”.
La importancia que está adquiriendo la protección de la identidad digital es cada vez mayor. Tal y como señaló Nelson Sanchez Vera, Director de Accenture Security, “la identidad digital o de accesos está viviendo un auge importante y se ha convertido en un punto estratégico no solo de organizaciones sino también de estados principalmente producidos por el Covid que aceleró unos procesos que ya se estaba dando como los recursos compartidos, el teletrabajo, etc. Esto implica que el usuario tiene que acceder de forma segura y con un menor acceso. Además hay que añadir el auge que está experimentando el modelo zero-trust donde el usuario y los accesos son fundamentales. El aporte de la gestión de identidades, que hasta ahora era secundaria, comienza a cobrar un valor importante. Hoy es fundamental tener una serie de herramientas de gestión de identidades y es estratégica para cualquier empresa. Yendo más allá, estamos viendo un punto de inflexión importante con nuevas normativas con las que se pretende que el usuario tenga una identidad única digital que le identifique en toda Europa para que haga uso de los servicios que prestan las AAPP y las organizaciones”.
La evolución
El portavoz de Accenture Security señaló cuál ha sido la evolución de los procesos de identidad y control de accesos: “Venimos de un tiempo en la que se buscaban herramientas de eficiencia. Antes se buscaba un ROI para poder convencer a la dirección. Después, ya se comenzó a establecer un rol para cumplir las normativas que empiezan a exigir unos procesos basados en automatización y en perfiles. Luego se convierte en un punto estratégico que se incorpora a los procesos de negocio lo que requiere apostar por herramientas de última generación y que sean desarrolladas por especialistas en soluciones de gestión de acceso que solo se dedican a esto ya que proporcionan más funcionalidades para las necesidades de los clientes. Además, en estos momentos hay que destacar otro punto importante como es la simbiosis entre las herramientas de análisis de datos y la nube. Ya no es necesario comprar la solución y con la analítica podemos hacer un análisis completo. Hay tres factores que están influyendo en el auge de las herramientas de gestión de la identidad como son el conocimiento del cliente, el cumplimiento del reglamento europeo que permitirá usar una única identidad digital y el tercero es el desarrollo del control de accesos seguro sin necesidad de emplear una contraseña”.
La importancia que está adquiriendo la protección de la identidad digital es cada vez mayor
Para el portavoz de ForgeRock, “en la actualidad la mayoría de ataques son provocados por accesos no autorizados. Sin embargo viendo el pasado y cómo han evolucionado tecnología y procesos de negocio nos dice mucho de cómo ha sido la evolución. Antes, el control de acceso correspondía al departamento de TI, ahora sin embargo es impulsado por el negocio, lo que implica una serie de retos. Antes todo se hacía en el propio centro de datos y sin embargo, ahora el negocio busca abrir nuevas oportunidades aprovechándose de tecnologías como la nube o nuevos procesos de negocio basados en APIs. Esto se traduce en que hay un grado de complejidad mayor lo que obliga a la adopción de nuevos paradigmas para el control de acceso así como la incorporación de nuevas tecnologías. Tratar de solucionar problemas nuevos con herramientas antiguas conlleva varios problemas y la realidad de nuestros clientes es que cada vez tienen más demandas encontradas por los clientes y empleados para tener experiencias más satisfactorias. Además, por parte de los reguladores, hay mucha presión para poner una seguridad más alta. Las empresas tienen un papel fundamental en este sentido. Hay que lograr por tanto una gestión de accesos eficiente, ese es el objetivo”.
En qué fallan las empresas
A pesar de la importancia creciente que se le otorga a la gestión de identidades, según Nelson Sánchez “a las empresas les falta una estrategia, ya no se puede pretender solucionar los problemas de acceso con el simple despliegue de una solución., Hay que ver las necesidades, los requerimientos y establecer un proceso de transformación que requerirán una priorización de las necesidades. Además es fundamental el apoyo de la alta dirección. En esa estrategia, también hay que contar con la calidad de los datos, la formación y la gestión del cambio, además de contar con un partner que recorra ese camino con el cliente. Una herramienta de gestión y control de acceso depende de lo que el cliente necesite porque cada empresa es distinta. Lo básico son las funciones de gobierno y tener un control de quién se conecta. A partir de ahí hay que trabajar con cada cliente según sus necesidades”.
Por su parte, Carlos Scott cree que “es importante que los negocios piensen no solo en las necesidades sino también en el futuro. La herramienta tiene que ser futuribles y extensibles. Deben permitir la incorporación de nuevas tecnologías que pueden aparecer en el futuro. Por ejemplo, la huella digita,l hace años, no se usaba, pero si tienes una herramienta futurible puedes adaptarla de forma sencilla. Por otro lado hay que reseñar que el control de accesos ya no afecta a usuariossino que también es necesario el control de los dispostivos que con el IoT estamos hablando de millones de conexiones”.
Contraseñas en desuso
Es una de las tendencias que parece que se van a imponer. En un medio plazo, dejaremos de tener que introducir una contraseña cada vez que queramos acceder a un servicio electrónico. Tal y como aseguraba el portavoz de ForgeRock, “las contraseñas van a desaparecer por el dinero que está entrando en la industria para acabar con este problema. No hay que ser experto para reconocer que las contraseñas son un problema y un engorro para los usuarios. Si alguien accede a un servicio de forma poco frecuente tiene que estar reseteando la contraseña y se trata de un problema que no ha cambiado en los últimos 20 años. Hasta que no desaparezcan los riesgos de robo de identidad, éstos van a seguir ocurriendo, a pesar de las soluciones de doble factor de autenticación. No se trata de eliminar las contraseña sino introducir un método más seguro que lo normal es que sea a través de biometría de tal forma que el usuario mismo sea la contraseña. Para el año que viene ya hay estudios en los que se dice que un 50% de empresas van a utilizar la biometría en lugar de la contraseña. Creo que hay que apostar, como hacemos nosotros, por tecnologías basadas en estándares para implementar soluciones de biometría y acabar con las contraseñas.