Zero Trust, gestión de identidades y cumplimiento normativo
One Identity y Silicon reúnen a CIOs y CISOs para analizar los desafíos que normas como NIS2 o DORA traen a la ciberseguridad y la gestión de identidades y accesos.
Con la desaparición de un perímetro seguro para los datos y la infraestructura, los responsables de ciberseguridad están adoptando nuevos enfoques en los que la identidad, la filosofía Zero Trust y la inteligencia de amenazas son ejes fundamentales de la estrategia de seguridad.
Al reto que significan estos nuevos enfoques se suma la complejidad de la propia organización, la infraestructura tecnológica híbrida y la necesidad de gestionar de manera flexible la proliferación de identidades tanto de usuarios como de máquinas.
Los CISOs y líderes de los departamentos de ciberseguridad necesitan contar con una visibilidad total de su infraestructura, detectar cualquier posible filtración o compromiso de los usuarios de manera temprana, resolver de manera rápida las vulnerabilidades, mitigando los riesgos de manera proactiva, al tiempo que se establecen políticas de seguridad que permitan cumplir con las nuevas regulaciones.
Automatizar para reaccionar antes y mejor
Todo ello en un entorno en el que los ciberdelincuentes están aprovechando los últimos avances en tecnologías como la IA generativa para crear esquemas de ataque más sofisticados, y con unos recursos de personal y especialización limitados.
Por ello, las organizaciones necesitan optimizar y automatizar sus procesos de gobernanza y gestión de identidades, incluyendo las identidades de usuario, el control de privilegios y las políticas y configuración de seguridad en toda la empresa.
Abordar los principales retos de la gestión de las identidades, el cumplimiento de normativas recientes como NIS2 y la ciberseguridad en las empresas era el objetivo del evento organizado por Silicon junto a One Identity y al que acudían Víctor Manuel Gayoso, ISO en BHS Corrugated Maschinen; Fernando Sanz de Galdeano, CISO de Arcano Partners; Carlos Caballero, Threat Hunting de BBVA; Andrés Romero, Information Security Governance & Architecture de Mercedes Benz; Ignacio Ortiz, CISO de Ufinet; David Higuera, Cibersecurity Identity Manager de BBVA; Javier Rivas, CIO, CTO y CISO de Uniteco; y Alberto Martínez Sánchez, especialista en Ciberseguridad.
Un encuentro moderado por Daniel de Blas, director de Branded Media de Netmedia, que iniciaba Raúl D’Opazo, arquitecto de Soluciones de One Identity analizando las distintas directivas y regulaciones que afecta a las empresas hoy en día, “entre las que destacan NIS2 y DORA a nivel europeo”.
Normas que hay que adoptar y cumplir y que, reconocía D’Opazo “han hecho que las empresas empiecen a adoptar soluciones de identidad como la nuestra ya que no solo les ayuda a responder a sus necesidades de ciberseguridad sino también a las obligaciones regulatorias”.
Y es que, en un escenario en el que el perímetro es la identidad, según afirmaba Guillermo Martín, Sales Executive de One Identity, que además explicaba cómo la propuesta de la compañía pasa por ofrecer una gestión unificada de la ciberseguridad, “en la que no tenemos un único producto que lo hace todo pero sí productos especializados en cada cosa que están integrados entre sí”.
La identidad, el nuevo perímetro
Unificar precisamente es uno de los objetivos que se ha marcado Víctor Manuel Gayoso, ISO en BHS Corrugated Maschinen, “ya que somos varias empresas en el grupo y queremos empezar a ofrecer además servicios” y cómo no “incrementar nuestro nivel de seguridad en cualquier proceso”.
Similar es la meta que se ha marcado desde BBVA David Higuera, Cibersecurity Identity Manager, también con un negocio, el de inversión, que opera en distintos países y por lo tanto “con diferentes regulaciones lo que hace que para mí sea clave garantizar y controlar la identidad”.
En el caso de Ufinet, explicaba su CISO, Ignacio Ortiz, la compañía ofrece servicios de conectividad y de cloud por lo que, además de la identidad, “necesitamos controlar el acceso. De hecho acabamos de implementar una solución de Privileged Access Management (PAM) para poder supervisar, detectar y evitar el acceso con privilegios no autorizado”.
También el control de accesos y la gestión de identidades son dos de las líneas directrices que marcan el día a día de Fernando Sanz de Galdeano, CISO de Arcano Partners que también remarcaba la importancia de ampliar ese control a la cadena de suministro.
“Además uno de nuestros objetivos es tener una visión única, “saber en tiempo real qué riesgo tiempo para así tomar decisiones más rápidas, más tácticas que estratégicas”, añadía Sanz de Galdeano.
De nuevo el control de accesos y reducir el riesgo aparecían como principales retos, en este caso con la voz de Carlos Caballero, Threat Hunting de BBVA, que explicaba cómo, en ese sentido, la entidad ha puesto en marcha un proyecto piloto para que “todos los usuarios tengan que utilizar ya no solo los dispositivos del banco sino también el portal, las aplicaciones, etc.”
Y es que tener ese control es esencial, coincidían todos los asistentes al encuentro, y, apuntaba en ese caso el experto en ciberseguridad Alberto Martínez Sánchez, “el gobierno para que realmente tengan permisos de acceso aquellas personas que los necesitan y cuando ya no es así, se les retiren”.
Concienciar y formar
Otro de los aspectos clave para avanzar en la ciberseguridad es la concienciación y formación del usuario, según apuntaban todos los asistentes. Pero ¿cómo hacer que convivan usabilidad y seguridad? La respuesta era clara: la seguridad debe prevalecer.
“Nosotros manejamos datos críticos, de salud y por eso mismo hay cosas que no son negociables con el usuario”, opinaba Javier Rivas, CIO, CTO y CISO de Uniteco que también apostaba por la formación y apuntaba que “hoy, con el teletrabajo, el perímetro está allí dónde hay un empleado trabajando, aunque sea su propia casa”.
Otro de los temas tratados durante el encuentro fue la consolidación de fabricantes en el mercado de la ciberseguridad. ¿Es esto positivo para las empresas? Lo cierto es que, como argumentaba desde Arcano Partners Fernando Sanz de Galdeano “es cierto que no nos gusta tener todos los huevos en la misma cesta pero nosotros tratamos de unificar. Mi consejo es elegir la solución que mejor se adapte al negocio este o no integrada de base con lo que ya tienes”.
En este punto, Alberto Martínez Sánchez también ponía sobre la mesa que “si tienes el mismo proveedor para todas las soluciones a nivel auditoría por ejemplo es todo más sencillo pero claro, si hay un fallo, tu negocio se va a resentir sí o sí”.
La otra cara de la moneda la exponía Víctor Manuel Gayoso, de BHS Corrugated Maschinen, que señalaba que “si tienes distintos proveedores es más fácil por ejemplo negociar ya que compiten entre ellos”.
La comunicación es otra de las claves para así poder tener una estrategia completa, algo que muchas veces no es posible. “Cuando estás en una empresa tan grande como la mía, es muy difícil lograrlo porque hay muchos nichos, diferentes herramientas y las áreas no se comunican entre sí todo lo que deberían”, aducía Andrés Romero, Information Security Governance & Architecture de Mercedes Benz. Además, aseguraba, “cuanto más controlado tienes todo lo relativo a la gestión de identidades más consciente eres de los riesgos”.
Experiencias, desafíos, buenas prácticas o, por qué no, dudas ante un futuro más digital, automatizado y complejo en el que la gestión de identidades y los accesos, tanto para asegurar el cumplimiento normativo como el propio negocio son, si cabe, procesos más críticos que nunca.
