La gestión de identidades y accesos es esencial en cualquier organización. Para hablar sobre ello, Byte TI, junto con Ping Identity, organizó un encuentro que contó con la participación de Hugo Lavrador Rodrigues, subdirector de ciberseguridad, transacciones y operaciones de Mapfre; Carlos Scott, Sales Engineer de Ping Identity; Javier Santos, director de seguridad global de Santa Lucía Seguros; Jesús Salvador, CDO director program management office de Guardia Civil; Miguel Fontalvo, account executive de Ping Identity; Marian Blanque, responsable de seguridad de la información de Abertis Infraestructuras; Manuel Fernández, CISO de Inversis; Guillermo Arias, account executive de Ping Identity y Eva Otero, Jefe de área de ciberseguridad de Madrid Digital
El encuentro comenzó tratando el cambio de nomenclatura de ForgeRock. Esta multinacional se ha fusionado con Ping Identity, manteniendo esta nueva marca. Bajo ese nombre, ofrecen la nueva Ping Idenity ofrece ventajas únicas, entre las que se cuentan capacidades innovadoras en CIAM y de identidad del personal, como la protección contra fraudes y riesgos, la verificación de identidad, la identidad descentralizada, la autorización detallada, la gestión del ciclo de vida y la gobernanza y administración de identidades (IGA).
Tal y como explicó Guillermo Arias, account executive de Ping Identity, “con esta fusión ganan los clientes porque tanto la plataforma de ForgeRock como la de Ping Identity van a convivir”. La simbiosis entre ambas es perfecta ya que como detalló Carlos Scott, Sales engineer de Ping Identity “por separado, ambas plataformas lideraban el mercado americano y europeo. Ahora liderarán ambos y los clientes se van a beneficiar de tener acceso a una mayor cartera de productos y servicios”.
Como abordar la gestión de identidades y accesos
A partir de aquí se abordó cómo están gestionando las organizaciones el control de accesos e identidades. Eva Otero, Jefe de área de ciberseguridad de Madrid Digital, explicó que “en la Comunidad de Madrid, gestionamos todos los usuarios salvo los sanitarios. Ahora estamos solicitando una consultoría para ver el estado en el que nos encontramos a nivel de procesos y tecnologías. Una vez que tengamos los resultados vamos a ver ese gap que nos muestre las debilidades que tenemos y si es posible llegar a ese gobierno de la identidades”.
Por su parte, Hugo Lavrador Rodrigues, subdirector de ciberseguridad, transacciones y operaciones de Mapfre afirmó que “en el área de gestión de identidades de la compañía construimos todas las directrices para todas las entidades de todos los países. Tenemos que pensar por tanto en todo el sistema tecnológico de todo el mundo. También tenemos empresas que trabajan con nosotros además de los clientes, así que desde 2016 se decidió gestionar todo de forma global para lo que creamos un programa que nos permite tener varios proyectos de gestión de identidades. Ahora nos centramos en las fuentes autoritativas con el objetivo de centralizar toda la parte de los empleados. En el resto, área de agentes y proveedores, es más complicados, así que hemos creados unos conectores que nos permite centralizar las peticiones”.
La diferencia en la gestión de identidades es diferente según el organismo u empresa de la que se hable. Por ejemplo, Jesús Salvador, CDO director program management office de Guardia Civil, aseguró que “el enfoque tradicional de la Guardia Civil es que tenemos normas antes de implementar los productos. El single sign on es el punto principal desde el que partimos desde hace años. Uno de los problemas que tenemos es ir al ritmo de la transformación digital que va muy rápido. En el momento en que empezamos a teletrabajar se nos rompieron los esquemas. Tuvimos la suerte de montar un SOC y han aterrizado productos en la nube que no teníamos antes. Ahora tenemos aplicaciones propias, aplicaciones para movilidad,… Los accesos, las altas o las bajas o el cambio de destino lo gestionamos de forma muy personal. En este caso no se automatiza en exceso”.
La diferencia en la gestión de identidades es diferente según el organismo u empresa de la que se hable
Por su parte, Marian Blanque, responsable de seguridad de la información de Abertis Infraestructuras explicó que “nosotros venimos de unas empresas que eran muy cerradas y al final como estás tan regulado la mentalidad era la de tener todo gestionado de forma interna. Nosotros en AB Infarestructuras, damos servicio a las unidades de negocio que tienen sus propios sistemas y sus propias identidades. Lo que hacemos es duplicar la identidad en nuestro sistema. Con esto en nuestro sistema de altas y bajas de usuario lo tenemos controlado, pero en paralelo estamos haciendo una consultoría para ver los gaps que tenemos. Las bajas cuando es un empleado o un proveedor bien definido no suelen ser un problema. El mayor de ellos son los usuarios privilegiados, porque en estos casos una baja hay que hacerla de forma muy manual”.
Facilitar el negocio
Aunar negocio y tecnología suele ser uno de los retos de cualquier departamento de tecnología. En este sentido, Javier Santos, director de seguridad global de Santa Lucía Seguros, afirmó que “una cosa es la visión que tienes como responsable de seguridad y otra cómo eres como facilitador de negocio. El problema principal es como introduces cultura de gestión de riesgo en diferentes culturas, en diferentes divisiones,… La casuística es muy diferente en cada una de ellas. No es una cuestión técnica sino de un problema de cultura, de cómo haces las cosas. El modelo de gobierno de identidad es no generar pequeñas islas , que pueden hacer que la gestión y el modelo de gobierno sea un problema. Es una batalla que come muchos recursos”
Por su parte, Manuel Fernández, CISO de Inversis, cree que “hay ámbitos que, quizá por el enfoque empresarial, puede resultar más fácil implantar unas medidas, pero luego la realidad es otra. Sabes que te vas a encontrar muchos problemas pero no te queda más remedio que trabajar en esa realidad. Si a eso le añades otros factores que parecen menos importante la gobernanza se complica más todavía. En nuestro caso sucede que tenemos una plataforma que da uso a cliente final y a cliente interno y aunar una usabilidad para ambos es compleja”. LA diferencia es cómo puede aplicar la gestión.
Para Guillermo Arias de Ping Identity, “el efecto de la seguridad sobre el negocio es muy importante. Los clientes se mueven por reducir costes, aumentar los ingresos o asegurar las infraestrutura y los datos. Se trata de aplicar las políticas de seguridad de forma que no saturemos al usuario con una política que la haga inoperante. Si la seguridad impacta negativamente en el negocio, entonces hay un problema. En este sentido, la IA va a ser importante para saber cuál es el nivel de seguridad de cualquier transacción”.
Jesús Salvador considera que “dependiendo del contexto habrá que apostar por una solución u otra. En nuestro caso la heterogeneidad de las aplicaciones y los servicios también es un problema. Normalmente los departamentos de negocio quieren un producto de negocio y la autenticación puede suponer un problema para negocio. En nuestro caso la mayoría de las aplicaciones necesita una contraseña y cada aplicación tare su propia gestión de identidades, lo que nos lleva a que se pierda mucho tiempo en logearse”.
A todo ello, Manuel Fernández aseguró que “mantener todo ello además supone mucho esfuerzo. Necesitas tener distintos niveles de soporte porque la complejidad es alta y requiere una cantidad de recursos muy elevada, lo que dificulta la gestión. Y es difícil hacer ver a la organización que necesita todos esos recursos”. Marian Blanque incidió en que “se trata de procesos transversales en lo que tienes que presentar al comité de dirección no sólo las ventajas, sino también las pérdidas. Los CISOS siempre eramos los que poníamos pegas a todo y creo que hay que dar la vuelta a la tortilla presentando los riesgos de negocio si no se adoptan ciertas medidas. Además es importante el cambio de mentalidad de los empleados. Tu tienes muchos empleado con gente muy digital con gente que no se adapta. Ese cambio es importante haciendo ver al empleado que él aplica ciertas medidas de seguridad en su vida personal y que, por tanto, también es necesario que las adopte en su vida laboral. Además creo que es importante la simplificación de procesos con la integración de las aplicaciones”.
Que le piden
Con ese marco los responsables de TI y de ciberseguridad piden a una solución de control de identidades, “una gestión centralizada donde poder tener un sitio unificado que sea escalable, que se integre con todo, que tenga una autenticación robusta, que incluya doble factor… Se trata de tener una herramienta que sea fácil de implementar y mantener, algo que sea asequible para todo. Se trata de acabar con el caos. La biometría está bien, pero luego en ese apartado te metes en el apartado de protección de datos”, afirmó Eva Otero.
La biometría podría ser una solución, pero como afirmó Jesús Salvador, “a nivel técnico es muy buena, pero el problema de fondo es cumplir con la legalidad. Por ejemplo, para implantar un reconocimiento facial hay que saltar la resistencia del usuario que tiene temor a que vayas a utilizar la foto para otra cosa”.
En este sentido el portavoz de Mapfre afirmó que “se trata de un problema cultural. En una entidad se trata de que los dispositivos y portátiles puedan implementarla pero esto tiene mucho coste. Nosotros estamos implementando devops para disminuir el tiempo de identificación y además identificar que alguien que nos llama es quien dice ser. Vamos a trabaja r en un piloto para devops y no hay duda de que el factor biométrico da más seguridad”.
Finalmente, Javier Santos explicó que “si ya cuesta tener un factor de identidad culturalmente, con la biometría ese problema se acrecienta. Generalmente, la persona cuando se enfrenta a algo que no conoce siente rechazo, por eso un doble factor de autenticidad les supone un problema. Yo creo que a medida de las noticias que están apareciendo de ciberataques está provocando que el rechazo inicial se esté mitigando”.
