Proteger la identidad, así como hacer seguro el control de los accesos es una de las prioridades de los departamentos dedicados a la ciberseguridad en las organizaciones. Sin embargo, no siempre se tiene una estrategia correcta, así que Byte TI junto con la firma de seguridad VU, organizó un encuentro presencial con CISOs de varias empresas para testar cuál es la situación en torno a este problema.
El encuentro contó con la presencia de Mario Moreno, Responsable de Seguridad de Metrovacesa; – Néstor Serravalle, Vicepresidente Ejecutivo para Europa de VU; Gabriel Moliné, CISO Leroy Merlin; David Moreno del Cerro, CTO de Tendam; Álvaro Ladoux, experto en fraude; Daniel Damas, CISO de Nationale Nederlanden; Maica Aguilar, Cybersecurity Identity Management & Compliance de Ferrovial y Joaquín Pano, DPO de Leroy Merlin.
Fue Maica Aguilar, Cybersecurity Identity Management & Compliance de Ferrovial la primera que intervino para analizar cuáles son los retos de la protección digital. En su opinión, “la persona es el centro de la seguridad y el enfoque actual tiende a ir hacia allí debido a que el perímetro ya no existe. El punto de entrada para un ataque son las personas. Antes a las personas se las veía como un punto de ataque secundario, ahora no. Ahora estamos en modelos zero-trust en el que el control de las personas ha pasado a ser el eje central de una estrategia de ciberseguridad de cualquier empresa”.
En este sentido, David Moreno del Cerro, CTO de Tendam, se mostró de acuerdo con esta opinión ya que para él, “la protección del puesto de trabajo es algo insuficiente porque el usuario accede desde múltiples dispositivos y localizaciones. El nexo de unión ahora es el usuario y es el elemento más débil, por lo que es fundamental asegurar la gestión de identidades.”
Néstor Serravalle, vicepresidente ejecutivo para Europa de VU, consideró que “ya hace tiempo que se viene afirmando que el único elemento a proteger de forma sistemática es la identidad. El problema de esta identidad es que le afectan diferentes variables como por ejemplo, acceder a los servicios a través de innumerables contraseñas. Sin embargo, va a haber un momento en el que no tendremos que preocuparnos de esta serie de aspectos. En realidad, con la identidad digital, de lo que se trata es de asegurarse de que el usuario sea quien dice ser. Claramente hay una conjunción de tecnologías y un marco regulatorio que hay que respetar. En este marco, Europa está concienciada y haciendo un buen trabajo porque lo consideran estratégico y es visto como un bien social. La conjunción entre lo que está pasando en la tecnología y el rol de los estados va a desembocar en que nos encontremos con una situación diferente a la actual y en la que se dará valor a que la identidad es única y de un usuario. Va a haber un cambio brutal en o que a la identidad digital se refiere”.
Uno de los problemas que se relacionan con la identidad digital es que los usuarios no saben manejarla. Al menos así opinaba Daniel Damas, CISO de Nationale Nederlanden: “Aún no estamos preparados para que la persona sepa manejar la identidad digital. Técnicamente cubrimos los dispositivos, pero la clave está en que las personas sepan usar esa identidad digital. Uno de los problemas a los que nos enfrentamos es que si en estos momentos hay personas que no se saben manejar con la transformación digital, ¿cómo le vamos a exigir que gestione su identidad digital?
La dificultad de las contraseñas
Las contraseñas ocuparon casi desde los primeros momentos del encuentro un espacio dominante. Y es que, tal y como afirmó Mario Moreno, Responsable de Seguridad de Metrovacesa, “las contraseñas, en estos momentos, son un problema. Los usuarios tienen un entorno profesional y otro personal en el que tienen diferentes contraseñas y usuarios. Y en general, no muestran preocupación por la seguridad de las mismas. Sólo lo hacen si les afecta a su dinero y ahí sí que toma precauciones y le parecen bien todas las medidas de seguridad que se implementen. Sin embargo si se trata de conexiones de la empresa a las personas no le dan valor y no sedan cuenta de que también se trata de dinero, solo que es dinero de la empresa que les paga.
David Moreno del Cerro, CTO de Tendam, explicó que en su organización trabajan con “decenas de miles de millones de clientes en nuestros perfiles y validar esos perfiles es esencial y estamos buscando de forma constante fórmulas para proteger esos datos. Tenemos datos de acceso de clientes a los que les roban sus datos y eso significa que al final, están comprometiendo mi propia seguridad. Tenemos sistemas para proteger todo eso y para avisar al cliente cada vez que percibimos que hay algún riesgo o incidente”.
Proteger la identidad, así como hacer seguro el control de los accesos es una de las prioridades de los departamentos dedicados a la ciberseguridad
En este sentido, el vicepresidente europeo de VU afirmo que es imprescindible que la protección sea lo más amplia posible: “Esa protección tiene que incluir a clientes, proveedores, cadena de valor, etc. Todas las compañías van a ir hacia la protección de la identidad de todos ellos, porque si no, van a tener problemas. Las empresas tienen que promover el customer identity, para que la identidad esté en un solo lugar y que el identity provider sea consumido. Creemos que debería haber más proveedores de redes de valor de la identidad”.
Para Gabriel Moliné, CISO Leroy Merlin, “el reto está en los grandes proveedores de identidad como Facebook, Google, etc. Y esta es una gran preocupación para mi ya que creo que estamos creando un oligopolio de identidad con estas empresas y se está transformando el mercado de las identidades”. Su compañero, el DPO de la multinacional, Joaquín Pano cree que “asegurar la identidad va más allá. Todos, empresas y usuarios, deberíamos hacer un esfuerzo importante para gestionar esa identidad. El problemas es que son muchos los que quieren mantener el modelo actual, porque de otra forma, muchos proveedores perderían su negocio y su razón de ser”.
Problemas en gestión de identidades
¿Cuáles son los principales ataques? ¿Como acceden a los ciberdelincuentes a datos que deberían estar protegidos? Para Maica Aguilar, “lo más común son los ataques de phishing ya que representan el porcentaje más grande de efectividad. Además, los ataques son cada vez más sofisticados. Nosotros hacemos pruebas con nuestros trabajadores para educarles y vemos que la gente cae con suma facilidad ante un phishing más o menos sofisticado. Damos charlas mensuales, seminarios, lanzamos consejos… Es decir, nuestros empleados no pueden decir que no tienen información y sin embargo, el problema es que los ciberatacantes son cada vez más buenos y la gente cae. Y en el momento en el que le roban la identidad a alguien, tienes un problema muy serio”.
Y es que la sofisticación es cada vez mayor. De hecho, el phishing se está quedando obsoleto y empieza a ser reemplazado por técnicas como el vishing en el que la voz es la protagonista y en el que el atacante,utilizando la línea telefónica convencional y técnicas de ingeniería social intenta acceder a datos financieros robándole su identidad. En este sentido, el DPO de Leroy Merlin afirmó que “nosotros hacemos ejercicios periódicos de vishing y de la misma forma que en el phishing los usuarios están más alertados, con el vishing todavía caen mucho. Para nosotros es clave el botón de reportar porque vemos que los usuarios cada vez reportan incidentes más rápido. Es decir, las personas están más concienciadas”.
El experto en fraude, Álvaro Ladoux, ante esta situación, explicó con datos a lo que se enfrentan las organizaciones: “España es el segundo país más atacado de Europa y hay 400.000 ataques diarios. El INCIBE solo gestiona entorno a 120.000 incidentes al año, y eso supone únicamente un 2% del total. Y todo empieza con un phishing, con el que se pretende obtener un beneficio económico con la venta de unos datos en el que el 70% de los mismos es identidad”.
Estrategias de gestión de identidades y silos
Uno de los problemas en la estrategia para llevar a cabo una gestión de identidades es el Shadow IT. En este aspecto, Gabriel Moliné, cree que “es necesario explicar a los departamentos que tienen las capacidades de contratar servicios desde fuera, los riesgos que corren en cuanto a la protección de la identidad e incluso en cuanto a multas que puedan recibir”.
Para mejorar esa estrategia, el CTO de Tendam cree que hay que ir a un modelo de pago por uso: “La inversión que puede hacer un hiperescalar es mucho mayor que la que puedo hacer yo. La nube ha evolucionado muchísimo y los recursos que tienen estas empresas y su tecnología es muy avanzada. Hoy en día no me puedo plantear un modelo on-premise. Si hay alquien que lo hace mejor que tú, te tienes que ir con él”.
Néstor Serravalle se mostró de acuerdo, pero también incidió que “en estos casos en los que se apuesta por un modelo como servicio, hay que tener en cuenta que la responsabilidad de la protección de los datos que se han llevado a la nube es del cliente y aquí hay que apostar por la construcción de sistemas híbridos para proteger las identidades. Yo creo que las grandes tecnológicas no son las más adecuadas para hacer el manejo más integral de la gestión de identidades. Creo que los modelos SIAM e IAM, que ya se puede contratar como servicio, son un modelo mucho más efectivo.
