Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

control de accesos

La importancia de establecer una estrategia de control de accesos

El control de accesos es uno de los elementos principales para evitar brechas de seguridad. Para analizar su estado en las empresas, Byte TI junto con Grupo SIA, organizó un encuentro que contó con la participación de Manuel Asenjo, director de TI de Broseta; Daniel Damas, IT Security Manager de Nationale Nederlanden; Javier Torres, CISO de Allfunds; David Moreno del Cerro, director de tecnología y seguridad de Tendam; Daniel Fernández, Business Development Manager de SIA Group; Maica Aguilar, Gerente de Seguridad de Ferrovial y Rafael Corrales, CIO de Nuubo

David Moreno del Cerro, director de tecnología y seguridad de Tendam
David Moreno del Cerro, director de tecnología y seguridad de Tendam

David Moreno del Cerro, director de tecnología y seguridad de Tendam fue el encargado de abrir el encuentro asegurando que “estamos enfrentándonos a situaciones relacionadas con el robo de credenciales que es lo que se emplea para acceder a datos confidenciales y es la forma más sencilla de entrar en la red. Es mucho más sencillo robar credenciales a una persona que lanzar ataques. Tener una buena base de datos actualizada integrada con RRHH es fundamental. Lo importante a proteger es el usuario y todo debe girar en torno a él. En empresas como la mía con un legacy profundo, el principal problema que nos encontramos es la separación entre TIC y RRHH”.

Maica Aguilar, Gerente de Seguridad de Ferrovial
Maica Aguilar, Gerente de Seguridad de Ferrovial

Para Maica Aguilar, Gerente de Seguridad de Ferrovial, “con los modelos zero-trust, la identidad está en el centro. Tener que acceder a cualquier información desde cualquier lugar hace que el paradigma de la identidad es lo más importante. Autenticar a una persona para conocer que es quien dice ser es fundamental. El punto de entrada principal es el robo de credenciales que habitualmente se produce por phishing. El usuario es el eslabón más débil y hay que protegerle”.

Javier Torres, CISO de Allfunds
Javier Torres, CISO de Allfunds

Y es que, si el usuario es el eslabón más débil, parece claro que la identidad debe jugar un papel fundamental. En este sentido, Javier Torres, CISO de Allfunds, cree que “más que de gestión de accesos hay que hablar de identidad. A día de hoy con la movilidad que hay con múltiples dispositivos y usuarios conectándose, lo que hay que gestionar es el end to end de la identidad del usuario para verificar que quien pide el acceso es quien dice ser. Las empresas deberían poner el zero-trust como punto clave en la estrategia de ciberseguridad porque entre otras cosas te da agilidad y mantiene la seguridad. Con zero-trust puedes gestionar los accesos de las personas con la misma agilidad que lo estabas haciendo en los sistemas legacy. Las herramientas, además, han mejorado mucho y te dan muchas funcionalidades para conectarte tanto a sistemas cloud como a sistemas en on-premise. Luego está la monitorización de la identidad porque los ataques van dirigidos al usuario y hay que ser capaces de monitorizar la identidad de una persona en todo su rango, no sólo cuando está dentro de la organización”.

Daniel Damas, IT Security Manager de Nationale Nederlanden
Daniel Damas, IT Security Manager de Nationale Nederlanden

Daniel Damas, IT Security Manager de Nationale Nederlanden también incidió en la importancia de zero-trust. En su opinión, “gracias a él, podemos añadir capas adicionales de la verificación continua de la identidad, el dispositivo o la ubicación. Para mí es muy importante porque además lo puedes ir implementando por capas y porque los usuarios tienen que abstraerse de todo lo que hacemos en TI. Es complicada la gestión de las identidades porque cada vez hay más phishing y cada vez son más sofisticados los ciberataques”.

Daniel Fernández, Digital Identity Business Development Manager de SIA
Daniel Fernández, Digital Identity Business Development Manager de SIA

La clave para Daniel Fernández, Digital Identity Business Development Manager de SIA es que el zero-trust, “las compañías deben abordarlo de una forma programática porque no es sólo comprar una herramienta. Hay una parte muy importante que es la que tiene que ver con el usuario, y su concienciación y formación. En cuanto a zero-trust, desde SIA creemos que hay algunos pilares fundamentales. Por un lado, la autenticación: ya no basta con un usuario y una password, sino que hay que introducir factores adicionales. El proveer una autenticación multifactor avanzada basada en el usuario, su comportamiento, en función del dispositivo que emplee, la ubicación desde donde se conecta… En definitiva, tener la capacidad de dar una respuesta adaptativa basada en el contexto. Y luego está la necesidad de securizar los accesos privilegiados para impedir que el ciberdelincuente entre con estos accesos. Los accesos privilegiados tienen que ser uno de los primeros elementos que hay que proteger en una estrategia zero-trust”.

En qué trabajan

Manuel Asenjo, director de TI de Broseta
Manuel Asenjo, director de TI de Broseta

Las estrategias de autenticación y de control de accesos son diferentes dependiendo del sector en el que operen o de la tipología de la organización. Por ejemplo, Manuel Asenjo, director de TI de Broseta, afirmó que “para nosotros, la nube y el correo son los pilares más importantes con los que trabajamos. Nuestro despacho se caracteriza por tener mucha transparencia en la información. Eso significa que no tenemos grandes restricciones aunque tenemos dos capas de autenticación. Con la gestión de identidad hay que tener cuidado con los insiders. En nuestro caso, que es el de un despacho de abogados, se llevan muchos documentos y hay que tomar herramientas adicionales que implica la protección de esos documentos”.

Rafael Corrales, CIO de Nuubo
Rafael Corrales, CIO de Nuubo

Rafael Corrales, CIO de Nuubo, explicó que en Nuubo “hemos implementado el certificado de dominio. Esto nos permite distinguir el dispositivo personal del corporativo. Uno de los puntos era que había que evitar tener varias contraseñas. Todo eso lo unificamos y por ejemplo tenemos Azure sincronizado con Google Workspace. Estamos en proceso de implementar zero-trust. Nos lo podemos permitir porque todavía somos una empresa pequeña y tenemos la ventaja de que conocemos a todos los empleados”.

Que pedirle a una herramienta de control de accesos

En el mercado existen diferentes propuestas. ¿Son todas eficaces? ¿Sirve para cualquier organización? Para David Moreno del Cerro, “las soluciones son solventes. Al final la tecnología no tiene sentido si no la aplicas bien a tu negocio. A lo mejor hay casos de uso que son más complejos. Por ejemplo, en nuestro caso son las tiendas físicas porque ahí, implementar un doble factor es complicado. A día de hoy es un aspecto importante, porque el 80% de los empleados pertenecen a las tiendas. Por eso los casos de uso hay que abordarlos de forma diferente”.

Las estrategias de autenticación y de control de accesos son diferentes dependiendo del sector en el que operen o de la tipología de la organización

La propuesta es diferente de la de Allfunds. En este sentido, Javier Torres aseguró que “el control de accesos lo solucionamos de forma centralizada. Donde hemos hecho un estudio detallado es en la propia herramienta de gestión de identidades. Necesitábamos tratar de automatizar lo máximo posible la gestión del usuario tanto el de negocio como el privilegiado”.

Para Daniel Damas una de las claves para cualquier organización debería ser “quién define qué y por qué tiene acceso a qué. Mi opinión es que negocio juega un papel muy importante. Nosotros sólo ayudamos a implementar por eso es importante que se involucre negocio porque si participa es todo mucho más fácil”.

En el caso de un despacho de abogados como Broseta, “al final el usuario tiene que acceder a la administración. Cada abogado está colegiado, y ahí la gestión de identidades puede aportar un plus. Hay una serie de certificados que circulan por todas partes que son gestionados muchas veces por alguien que no tiene un puesto relevante en la organización, pero que tiene en su poder realizar cualquier gestión con la AAPP y esto es un problema”, afirmó Manuel Asenjo

Maica Aguilar de Ferrovial consideró que “al final, teniendo claro que la gestión de identidades es compleja, muchas soluciones como están basadas en automatizar procesos, pecan de ser muy técnicas y pecan de no estar pensadas para humanos. A nivel de UX dejan bastante que desear, por ejemplo. Yo pediría que las herramientas de gestión de identidades no sea tan compleja porque ahí nos queda mucho por hacer”.

Sin embargo, una de las claves puede estar en lo que decidan los países miembros de la UE. Tal y como afirmó Rafael Corrales de Nuubo, “si los estados europeos ponen en marcha certificaciones de identidades, no se entiende por qué las empresas no lo hacen. Esa debería ser la identidad: con tener la clave pública de un DNI bastaría. El problema es que estamos anclados a estructuras muy monolíticas cuando la gestión de identidades debe ser mucho más flexible”

Las ventajas de la nube

La nube parece mostrar muchas ventajas para gestionar las identidades y establecer políticas de accesos. Para Daniel Fernández, de SIA, “nosotros tratamos de diferenciar entre los procesos de gestión de identidades, donde se buscan automatismos y eficiencia, y el proceso de autenticación en sí, es decir, cómo los usuarios acceden a consumir los servicios digitales que les proveemos. En esta parte, es donde la nube aporta mucho. Al final, los propios ecosistemas tecnológicos de la empresa ponen de manifiesto la importancia que tiene la autenticación de accesos. La autenticación es un proceso que ha tomado más importancia que nunca y es que todos nosotros nos autenticamos decenas de veces a lo largo del día. Es aquí donde definir una buena estrategia es clave. Ahora, la autenticación viene además desde fuera del perímetro y ahí la nube encaja muy bien, aportando además pilares tan relevantes como flexibilidad, dinamismo y escalabilidad. Al final, la nube puede aguantar los picos de carga y ofrecen una gran disponibilidad, que es el factor más importante bajo mi punto de vista”.

Otro de los apartados importantes es el de los dispositivos, sobre todo en un entorno BYOD. En este sentido, David Moreno del Cerro cree que “lo que hay que aplicar es una estrategia basada en conceptos. Por ejemplo, no es lo mismo si el acceso se hace desde un dispositivo corporativo que desde uno personal. El BYOD es un problema más para la seguridad. Por eso es necesario crear diferentes perfiles de contexto que son los que van a proteger”

Aunque no todos los presentes aplicaban el BYOD en sus organizaciones, del Cerro tenía clara cuál debe ser la estrategia con respecto a aquel usuario que quisiera emplear su propio dispositivo: “En nuestro caso el BYOD depende de que el usuario acepte unas normas. Si lo acepta, no hay ningún problema. De todas formas, el ahorro de costes que proporciona BYOD es muy relativo. Se hace más bien para que el usuario no tenga que llevar dos dispositivos”.

Contraseñas

Finalmente se trató el apartado de las contraseñas. Para Daniel Fernández, SIA, “dentro de los planes de ciberseguridad de grandes compañías, el PasswordLess es algo esencial. Relacionado con las contraseñas, lo que estamos detectando es cierta fatiga. En las empresas se ha avanzado y se ha invertido para mitigar y prevenir riesgos relacionados con las contraseñas, pero la realidad nos dice que más de la mitad de las violaciones de seguridad implican el robo de contraseñas. Al final, la contraseña es un problema de hoy y el PaswordLess es la solución de futuro. La criptografía, biometría y estándares como FIDO2 ofrecen alternativas seguras y usables para una autenticación plena sin contraseñas. El objetivo final tiene que ser el no tener que escribir ninguna contraseña.”

Como finalizó el CIO de Nuubo, “el 85% de las contraseñas son atacables porque las personas no utilizan contraseñas fuertes, pero es que las que sí lo son, también son atacables”.

Deja un comentario

Scroll al inicio