La gestión de identidades está cobrando cada vez más importancia entre las empresas. Sin embargo, es necesario contar con una estrategia definida así como con la solución adecuada. Para valorar cuál es el estado de la gestión de indentidades Byte TI organizó un encuentro que contó con la presencia de dos expertos en la materia como Carlos Scott, digital risk consultant ForgeRock España y Guillermo Arias, country manager de ForgeRock España
La primera pregunta era de obligado cumplimiento: ¿Se presta la suficiente atención a la gestión de identidades? Según Guillermo Arias, country manager de ForgeRock España, “sí y cada vez más aunque depende mucho del tamaño de la compañía. Lo que vemos son departamentos de ciberseguridad muy preocupados y también que las áreas de negocio están prestando cada vez más atención a este apartado. Que duda cabe que la gestión de identidades genera tensión con el usuario, pero negocio cada vez más toma decisiones para incorporarla”.
Así que está claro el interés, pero a partir de ahí las empresas suelen cometer errores para su implementación y posterior gestión. Según Arias se producen dos errores de manera habitual: “El primero es el de la cuantificación. Recientemente, un informe detallaba que el 21% de los CISOS no era consciente de que se había producido una suplantación de identidad de sus clientes. Es muy importante, por tanto, tomar conciencia de saber si estamos siendo atacados o no. El segundo fallo es la dicotomía que se produce entre sencillez y seguridad. Vemos departamentos de seguridad que son muy estrictos y áreas de negocio que dicen que no puede ser a costa de perder carritos de la compra. En nuestra opinión la gestión de identidades debe tratarse a través de un perfilado progresivo, igual que ahora no concebimos el mundo como hace 20 años donde rellenabas un formulario muy largo para que te prestaran cualquier servicio, ahora se trata de ir dando información del cliente a medida que éste va navegando. Por otro lado, en gestión de accesos destacamos el uso y el valor de la inteligencia artificial para la detección de los riesgos. En el caso de ForgeRock, somos capaces de detectar posibles riesgos solo por el dispositivo que está usando el usuario o por su geolocalización. El objetivo es detectar el riesgo antes de que el usuario llegue acceder, para que la experiencia de usuario tenga la menor fricción posible”.
Usabilidad
Uno de los elementos que crea mayor problema en lo que respecta a la gestión de identidades es el que se refiere a la usabilidad. Por eso, no todas las plataformas son adecuadas. Se trata de emplear aquella que sea más sencilla para los usuarios ya que eso nos proporcionara una serie de ventajas. Tal y como afirmó Arias durante el encuentro, “a todos nos ha pasado que se nos ha frustrado el acceso a una determinada plataforma o servicio y esto lastra la experiencia de usuario. Por eso es importante empezar a hablar de identidad digital, para lo que es necesario contar con una herramienta que haga un análisis continuo e inteligente de ese acceso y que el usuario ni lo aprecie. De esta forma, no se producirán accesos innecesarios y duplicados: ¿Por qué hay que hacer pasar al usuario por introducir de nuevo claves si, por ejemplo, decide cambiar de compra? Esto es un apartado que hay que mejorar, porque deviene en pérdida de negocio porque los usuarios actuales, sobre todo los millenials, abandonarán una marca o una compra si se produce una gestión de acceso negativa o si tiene que estar introduciendo de forma constante claves de acceso”.
La gestión de identidades genera tensión con el usuario, pero negocio cada vez más toma decisiones para incorporarla
Por todo ello, el country manager de ForgeRock aboga porque las empresas establezcan una correcta estrategia de identidad digital. Esa estrategia según Arias debe pasar por “comprender el viaje de los usuarios y saber qué está buscando en nuestra aplicación o nuestra página web. Se le da mucha importancia a las credenciales cuando muchas veces olvidamos que de ahí vienen los mayores problemas de suplantación. Por eso nosotros apostamos por la utilización de la IA ya que solventa los problemas de seguridad en los accesos y a la par da una experiencia de usuario más que satisfactoria”
El producto de la compañía parte de estas dos premisas anteriores: seguridad y usabilidad. Pero además, se centra en que el cliente debe estar en el centro de cualquier estrategia para impulsar el negocio de una organización. Y es que, como afirmó Carlos Scott, digital risk consultant ForgeRock España, «la digitalización ha tenido un impacto muy importante en nuestras vidas, en la mayoría de las ocasiones para mejor, pero también ha introducido aspectos mucho más engorrosas como son los procesos de registro. De esta forma cuando interactúas con alguna plataforma, lo primero era iniciar un registro lo que llevaba mucho tiempo previo antes de poder empezar a utilizar ese servicio. A ese proceso de registro hay que añadirle la necesidad de recordar innumerables contraseñas lo que también supone otro punto negativo. Por eso, en ForgeRock lo que queremos es eliminar este tipo de elementos tediosos y que el acceso pase a un segundo plano y se ejecute de forma transparente”. Para Scott, “una de las cosas fundamentales de una tecnología de gestión de identidades es que pueda soportar diferentes tipos de identidad. Cuando interactuamos con un servicio, tendemos a jugar un rol distinto y a su vez la empresa se enfrenta a dos restos dependiendo si es un cliente/ciudadano o un empleado. Por eso, la prioridad a la hora de prestar un servicio a un consumidor es facilitarle la experiencia para que se encuentre los menores impedimentos posibles sin que se reduzca la seguridad en torno al control de la identidad. Hay que ir profundizando en esa relación de confianza. Por otro lado, cuando hablamos de gestión de identidades de empleados hablamos de decenas de miles de conexiones y lo que se busca es la productividad del empleado y se trata de que tenga los accesos necesarios, solo para lo que necesite, y en aquellos que tenga autorización lo haga de forma sencilla”.
Cada vez más dispositivos
Otro de los problemas que afecta a la gestión de identidades no son sólo los usuarios, sino que éstos se conectan desde diferentes dispositivos. No hablamos sólo de móviles, ordenadores o tabletas, sino también diferentes dispositivos de IoT que se están conectando a una red. Por eso “desde ForgeRock estamos empeñados en dar una identidad a cada uno de los dispositivos que se conectan a la red. Creemos que es en esta parte donde se va a ver la evolución y donde se van a explotar nuevas tecnologías y modelos de negocio”.
Con esta propuesta se abren varias áreas interesantes como por ejemplo en el área de movilidad donde, por ejemplo, un fabricante ya no tratará a un vehículo como un hardware, sino como un software. Scott lo tiene claro: “Dando una identidad a cada dispositivo se pueden impulsar nuevos modelos de negocio como vehículos compartidos, donde se puedan dar servicios específicos según el usuario que se encuentre en el vehículo y darle servicios digitales personalizados, como por ejemplo, que el coche ponga su playlist cuando el usuario se encuentre dentro”
Pero como aseguró puede haber muchas más ventajas, de la implementación de un control de accesos seguro y usable que puede beneficiar a aplicaciones de banca o a funcionalidades concretas de control parental. “De esta forma, con nuestro motor de relaciones de nuestra plataforma el usuario decide con quién puede compartir las cuentas de la familia. Somos la plataforma del mercado que cumple con todos los requerimientos del usuario de fin a fin”, concluye Scott.
Qué aporta de novedoso
Básicamente, la plataforma de ForgeRock con respecto a otras es que nos encontramos ante una solución que abarca cualquier tipo de necesidad ya que ofrece capacidades avanzadas de gestión de identidades, acceso, gobierno y protección de APIs.
Y es que, ForgeRock Identity Platform permite implementar en toda una organización para todos los casos de utilización: empleados, clientes, dispositivos y objetos. La solución de identidad permite asociar la gestión de accesos, el acceso gestionado por el usuario, la gestión de identidades, los servicios de directorio, la seguridad periférica y, además, proporciona una puerta de enlace de identidad.
Otra de las ventajas como señaló Scott es que “se puede utilizar toda la plataforma como un servicio (PaaS) o se puede implementar, para millones de identidades, en cuestión de minutos en cualquier entorno de cloud ya sea híbrido o multicloud”. La solución garantiza, por otra parte, un cumplimiento normativo completo basado en la seguridad, el consentimiento y la protección de los datos personales. De hecho, ForgeRock es uno de los únicos proveedores de identidad digital que conjuga la capacidad de integrar el RGPD y el derecho a eliminar datos personales, además de ser compatible con otras normativas como la directiva PSD2 y Open Banking.
Como aseguró Scott, “nosotros proponemos la primera solución del mercado para modelizar las relaciones entre miles de millones de usuarios, dispositivos y objetos»en un entorno de nube o de microservicios. Esto permite que las organizaciones puedan vincular identidades digitales entre sí, de tal forma que se pueda asociar a una persona con sus objetos conectados y de usuario. Además, ForgeRock Identity Platform utiliza los datos en tiempo real y contexto situacional para personalizar y proteger la experiencia del cliente.
