Juan Manuel Sáez, director de Byte TI, fue el encargado de dar la bienvenida, realizando una introducción en la que destacó que, al hablar de transformación digital surgen términos como Big Data, movilidad o Cloud Computing: “Las empresas se están involucrando en adaptarse a la nueva realidad. Sin embargo, en la mayoría de las ocasiones, la seguridad parece estar en un segundo plano cuando debería ser el pilar sobre el que se sustentara toda ella”. Saéz señaló que “las organizaciones y las administraciones están obligadas a establecer una serie de controles orientados a la identidad. Saber quién accede a los datos corporativos es crítico dentro del mundo digital en el que vivimos. Con las soluciones adecuadas, se puede saber quién es la persona que quiere acceder a los datos, desde qué dispositivo, y en qué momento. En la transformación digital toda la gestión de identidades debe ser replanteada para buscar nuevas fórmulas que se adapten a la tendencia actual: movilidad, cloud… La seguridad debe proteger los procesos de negocio. Sólo si la seguridad es prioritaria, las TIC empresariales podrán evolucionar para situarse en el centro de la estrategia corporativa”.
Las empresas se están involucrando en adaptarse a la nueva realidad. Sin embargo, en la mayoría de las ocasiones, la seguridad parece estar en un segundo plano
En esa misma línea, Cristina de Sequera, Directora de transformación digital de Grupo CMC, aseguró que “la transformación digital está afectando a la forma de relacionarnos con clientes, personas, etc. Los negocios y las formas de comunicación entre las personas se están transformando de manera disruptiva. Ahora nos encontramos con procesos end-to-end en el mundo digital con todo el impacto que supone a las compañías. En principio fue el ahorro de costes el principal motivo por el que las empresas apostaban por la transformación digital pero, si entramos más a fondo, vemos que lo hacen porque las empresas quieren llegar a donde antes no llegaban”.
Como se puso de manifiesto durante el desarrollo del evento, la seguridad se está convirtiendo en un elemento esencial, y debería conformar el núcleo de todos los procesos de negocio ya que si una organización no es segura, no podrá llevar a cabo determinados negocios. En este sentido, Emeterio Cuadrado, Director de tecnología y seguridad de Grupo CMC, afirmó que “la delincuencia se produce dónde está el dinero. El negocio se está yendo a Internet y por supuesto toda la delincuencia está involucrada en sacar dinero de los procesos digitales”.
Para los directivos del Grupo CMC, existen tres factores que hacen que la seguridad sea crítica: la conectividad, la necesidad de almacenar y procesar más información y finalmente la distribución cada vez mayor de los procesos. Estos tres factores han hecho que la seguridad cambie en cuanto a su necesidad en la implantación en los sistemas.
Este último hecho provoca que “si antaño teníamos un sistema de seguridad en el que había que tener controlado nuestro recinto, ahora hay que pasar a un entorno más globalizado. En la transformación digital el cliente es un valor fundamental para hacer el negocio. Y el cliente, se quiere mover en entornos seguros. Si observa que ese entorno no lo es, dejará de ser cliente de esa empresa. Así que la seguridad ya no sólo nos concierne desde el punto de vista interno, sino también desde el punto de vista del cliente”, afirmó Cuadrado.
La propuesta de CMC
Cuadrado y Sequera, coincidieron en afirmar que la nueva situación no va a hacer que la seguridad tradicional deje de existir, al contrario, será además, más importante. Tal y como se puso de manifiesto, una de las prioridades en materia de seguridad, pasa por la encriptación de las comunicaciones. Para Cuadrado, “en Grupo CMC, hemos trabajado en defender el perímetro y en defender las comunicaciones. Ahora, en la era de la transformación digital, hemos incorporado otros aspectos importantes como la gestión de la identidad digital, y de la privacidad de la información. Es fundamental saber quién está al otro lado de la pantalla. Existen muchos mecanismos para controlar esa gestión de identidades: biometría, identificación mediante sistemas remotos, etc. También es muy importante la protección de la información del cliente. Hay muchos sistemas para ello, como la encriptación, la anonimización o la protección de información sensible”.
Otro apartado importante que se destacó durante el desarrollo del evento fue, el cumplimiento normativo. En este sentido, Javier Fernández, director de marketing de Grupo CMC, señaló que “las empresas se tienen que asegurar jurídicamente. Es necesario que haya una trazabilidad clara de todos los eventos del proceso, que la documentación esté encriptada y sólo accesible por sus propietarios y que los datos permanezcan inalterables. Uno de los servicios que prestamos es el de la figura del tercero de confianza, encargado de cubrir todo el proceso en la que hacemos de árbitro, recogemos las evidencias y las custodiamos. Grupo CMC, ofrece plataformas y soluciones estándar que permiten cubrir las necesidades de identificación y de gestión centralizada de toda la recogida de evidencias y que dan garantía y seguridad. Además son parametrizables”.
Es necesario que haya una trazabilidad clara de todos los eventos del proceso, que la documentación esté encriptada y sólo accesible por sus propietarios y que los datos permanezcan inalterables.
Y es que los cambios a nivel legislativo son numerosos. Por ejemplo, a partir de ahora, una compañía va a tener que informar al usuario si sufre un ciberataque. Como puso de manifiesto Cristina de Sequera, “la confianza del cliente hay que mantenerla y la seguridad es una de las vías que tenemos para proteger esa confianza. Hay sectores como banca, en el que el robo de la identidad es un problema significativo, y por eso, se están incorporando mecanismos para protegerse, que en muchas ocasiones dificultan la relación con el cliente. La importancia de la gestión segura de la identidad, hace que cada vez más, se utilicen múltiples factores y mecanismos como el uso de token, la biometría física, la videoconferencia, etc. Toda la banca está involucrada en esta última porque permite hacer una identificación permanente. La regulación está ayudando a que se puedan hacer procesos en remoto con garantías”.
La biometría es uno de los apartados en los que más se está investigando en el mundo tecnológico y una de las apuestas del Grupo CMC: “Para combatir el posible hackeo de información, hay que incorporar mecanismos complementarios para aumentar la seguridad, por ejemplo implantar biometría física, como la huella dactilar, la voz o los rasgos faciales y biometría conductual, que define un patrón de comportamiento para verificar en base a él, que no es eficaz al 100%, pero ayuda en asegurar la identificación. Por otro lado, la seguridad y la usabilidad están muy reñidas. Hay que intentar buscar un compromiso. Nuestra oferta se centra mucho en la parte de autenticación con diferentes tecnologías y soluciones”, aseguró el director de tecnología y seguridad de Grupo CMC.
En este punto, José Antonio Catalán, de Self Bank, preguntó a los ponentes sobre la importancia de la formación para el cliente, ya que desde 2010 en SelfBank, se han dado cuenta que el eslabón más débil de toda la cadena es el cliente que, de forma mayoritaria, da por supuesto que al ser un banco ya es seguro. Cristina de Sequera, incidió entonces en que “el cliente es cada vez más exigente y más promiscuo, si el servicio no le satisface va a cambiar de empresa con un simple click. Nos encontramos con dos tipos de usuarios: el profesionalizado y el de gran consumo. En este último caso es muy difícil concienciar respecto a que ellos son un eslabón más de la cadena de seguridad ”. Por ello Javier Fernández, afirmó que “en el diseño de los procesos hay que incidir en la usabilidad y la experiencia de usuario, incorporando la seguridad en el diseño para conseguir que el cliente se sienta seguro sin que prácticamente se dé cuenta. Para ello los responsables de negocio deben contemplar la seguridad como otro elemento esencial más de la misma forma que lo hacen con el precio, por ejemplo. El gran cambio es que hay que introducir la seguridad en el diseño de los procesos. Los empleados dedicados a la seguridad tienen que diseñar el proceso de forma conjunta con el área de negocio. Este es el cambio que tenemos que dar en las empresas en el proceso de la transformación digital de sus negocios”.
Utilidad del DNI electrónico
Por su parte, Javier de Andrés, del Congreso de los Diputados, preguntó sobre la utilidad y la importancia del DNI electrónico para aumentar la seguridad. Emeterio Cuadrado, contestó que “no solo el DNI electrónico, sino también el uso de los certificados electrónicos que podían ser la gran solución. En España no han funcionado cuando en el resto de Europa están funcionando muy bien. Al final se acabará apostando por el uso de los certificados electrónicos, para lo que hay que romper las barreras actuales: habría que acabar con la obligatoriedad del reconocimiento presencial para obtenerlo, sustituyéndolo por el reconocimiento remoto que ya es aceptado en otros países europeos; habría que eliminar los problemas de uso del DNIe, evitando la necesidad de un dispositivo lector externo adicional para su funcionamiento, eliminando la necesidad de conocimientos técnicos para la instalación de drivers y mejorando la usabilidad de la aplicación de firma – cuando un usuario ha instalado los drivers, le piden la clave de autenticación o si no la de firma… Así, es difícil que el DNIe tenga éxito”. Al respecto, Avelino Rodríguez, expuso la experiencia de ADIF, en la que han contrastado que en la actualidad los usuarios se decantan mayoritariamente por la utilización de los certificados electrónicos instalados en sus dispositivos locales más que en los residentes en servidores centralizados y usados a través de la nube.
Javier Fernández, aseguró que “eIDAS (Reglamento de la UE de identificación electrónica y los servicios de confianza) está planteando el uso de certificados electrónicos como elemento fundamental y regulando el uso de certificados que residan en una nube. El paso que hay que dar es que la usabilidad de los certificados sea sencilla y que la complejidad tecnológica (encriptación, clave pública, privada, etc.) sea transparente para los usuarios, de la misma forma que se ha conseguido en la telefonía móvil, que incorpora tecnología muy compleja y sin embargo todos usamos… ese es el camino. El DNI 3.0 va en la línea de mejorar la usabilidad. En Grupo CMC, estamos apostando por los certificados electrónicos y por servicios en la nube, compaginando seguridad, usabilidad y experiencia de usuario”.