Seguridad y gestión de la identidad para la era Zero Trust
One Identity señala que la digitalización de todos los procesos empresariales o la convivencia de tecnologías cloud modernas con sistemas legacy obliga a repensar la estrategia de ciberseguridad de cualquier compañía.
Hoy en día la ciberseguridad se ha convertido en uno de los principales desafíos para cualquier compañía, desde instituciones públicas como el Ayuntamiento de Sevilla a empresas privadas como AirEuropa o Vodafone, todas ellas atacadas en los últimos meses.
A la digitalización de todos los procesos empresariales se suma hoy en día la convivencia de tecnologías cloud modernas con sistemas legacy, la multiplicación de aplicaciones y el crecimiento de usuarios, equipos y dispositivos de todo tipo. Un escenario en el que el perímetro tradicional ya no existe y que obliga a repensar la estrategia de ciberseguridad de cualquier compañía.
Así, enfoques Zero Trust y de seguridad por diseño cobran cada vez más importancia entre compañías que además tienen que afrontar un nuevo reto: gestionar numerosos sistemas para administrar las identidades con silos que generan inconsistencias y riesgos de seguridad.
Por todo ello resulta imprescindible una adecuada política de gestión de identidades, pasando de los enfoques fragmentados a una visión holística que asegure la identidad en todos los procesos, que permita administrar y verificar los accesos más críticos, aportando flexibilidad y que proporcione una completa visibilidad para adelantarse a las amenazas emergentes.
Algo que quiso analizar One Identity en un evento organizado por Silicon España y que convocó a Alberto Pérez, Senior Identity Specialist en Danaher Corporation; Karl Louis Alfaro, Cyber SOC Architect en Nestlé; Javier Jiménez, Identity and Access Management Expert en GEA Group; Raúl Rojas, Information Technology Security Manager de Wordline; Diego Da Ros, Identity & Access Managemen en SGS; y David Palomo, Team Lead (Customer Identity Access Management); y David Leal, Arquitecto IAM, ambos de SwissRe.
La identidad, el nuevo perímetro
Conducido por Daniel de Blas, responsable de Branded Content de NetMedia, el encargado de abrir el evento fue Guillermo Martín, Sales Executive de One Identity quien, como punto de partida, aseguraba que “el nuevo perímetro es la identidad”.
Para Martín, por tanto, hoy los nuevos desafíos para cualquier empresa son la correcta gestión de identidades, estableciendo quién accede a qué, según el rol que tenga en la compañía; la gestión de accesos privilegiados; y el directorio activo de usuarios, “tres áreas para las que no es posible tener una única solución”.
Por ello, desde One Identity, explicaba Guillermo Martín, la propuesta de la compañía en la gestión de identidades pasa por “soluciones distintas y especializadas pero “pre” integradas entre sí. No puedes tener una única solución para cubrir todos estos campos, sería incluso contraproducente”.
Y es que precisamente ese es uno de los retos a los que se enfrentan los responsables de TI, Ciberseguridad o Identidad, lograr una visión única, integrada, de todas sus soluciones.
Así lo expresaba David Palomo, Team Lead (Customer Identity Access Management) de SwissRe quien aseguraba que, actualmente, su mayor reto es “rehacer algo que ha ido creciendo de forma orgánica pero sin orden”.
En la misma línea se situaba Alberto Pérez, Senior Identity Specialist en Danaher Corporation al explicar cómo su objetivo hoy en día es “simplificar todo”. La razón, como compartía con el resto de ponentes, es que el grupo está formado por distintas compañías, cada una con su directorio activo de usuarios. “Quiero migrar toda esta información a un único directorio”.
Seguridad en un entorno multicloud
La adopción de la nube es otro de los elementos que, sin duda, ha complicada la gestión de identidades de cualquier compañía. Dejando de lado ventajas como la escalabilidad o la posibilidad de acceder a nuevas herramientas y capacidades, las distintas nubes públicas y privadas que conviven en muchos entornos empresariales complica la estrategia de ciberseguridad.
Una realidad con la que convive diariamente Karl Louis Alfaro, Cyber SOC Architect en Nestlé: “Nosotros tenemos cerca de 500.000 empleados y varios service providers en cloud, cada uno de ellos con su propio sistema de gestión de identidades. Es un auténtico quebradero de cabeza gestionarlo”.
Pero, además, para establecer un correcto sistema de gestión de identidades requiere de una labor previa de estandarización, algo en lo que se encuentra inmerso ahora mismo Javier Jiménez, Identity and Access Management Expert en GEA Group. “Nos encontramos en la fase de estandarizar para luego establecer roles. Acabamos de desplegar una solución IAM de gestión de identidades y el paso siguiente será abordar la gestión de accesos privilegiados”.
Desafíos a los que en el caso de Wordline se une la férrea regulación propia del sector financiero. Así, explicó Raúl Rojas, Information Technology Security Manager de la compañía, “para nosotros es muy complicado dar cualquier tipo de acceso a un usuario externo, por ejemplo. Ahí tengo que establecer un férreo control”.
El factor humano
Sin embargo, no solo se habló de tecnología en el evento y es que sin en algo coincidieron todos los participantes fue en que el factor humano es decisivo en cualquier estrategia de ciberseguridad.
Así, Guillermo Martín, Sales Executive de One Identity, afirmaba que “si planteas un proyecto de gestión de identidades solo como un cometido de TI lo más posible es que no salga adelante”.
Precisamente en ese sentido David Leal, Arquitecto IAM de SwissRe opinaba que “cualquier proyecto en ese terreno tiene que tener un apoyo organizacional claro y la colaboración entre departamentos. Pero para lograr esto nosotros debemos mostrar a toda la organización los beneficios de estas decisiones y que no lo vean como un estorbo más en su trabajo”.
Algo en lo que coincidía plenamente Diego Da Ros, Identity & Access Managemen en SGS: “Hay que saber comunicar a todos la empresa que cuando, por ejemplo, desplegamos una solución de gestión de identidades o cuando establecemos un sistema de accesos privilegiados no queremos complicarles su trabajo sino que estamos posibilitando que lo sigan haciendo pero de forma segura”.
Experiencias, desafíos y buenas prácticas fueron desgranándose a lo largo de un encuentro en el que se abordó además cómo la automatización o la Inteligencia Artificial cada vez están más presentes en el ámbito de la ciberseguridad, mejorando la gestión de identidades, reduciendo la fricción con el usuario e impulsando la productividad.