ENCUENTROS

La gestión de identidades y de accesos requiere un cambio técnico y organizativo

Home Seguridad
Dirección copiada

Sigue siendo un punto débil para la ciberseguridad, si no se gestiona bien, es un agujero que puede propiciar una fuga de datos

Publicado el 10 dic 2024
Rufino Contreras

Redactor Jefe

apertura

IDEAS CLAVE
Importancia estratégica: La gestión de identidades es clave en ciberseguridad, aunque no siempre visible, y enfrenta retos técnicos y organizativos en su implementación.
Desafío global: La armonización de normativas y sistemas en distintas regiones complica la integración y gestión eficaz de riesgos.
Usuarios como vulnerabilidad: Las preferencias por accesos simples generan riesgos, destacando la necesidad de MFA y accesos sin contraseñas equilibrados con la usabilidad.
Identidades ampliadas: Hay que redefinir la identidad para abarcar personas, aplicaciones y servidores, promoviendo enfoques dinámicos como Zero Trust.
Enfoque transversal: Involucra múltiples áreas y requiere coordinación para gestionar accesos y datos de manera eficiente y alineada con la transformación digital.

La gestión de identidades y accesos, una problemática general

La gestión de identidades y accesos ha evolucionado significativamente en los últimos años, y puede considerarse como una pieza clave en el ecosistema de la ciberseguridad, aunque no tiene un gran alcance mediático por moverse en las candilejas de los sistemas y no tanto en el frente de los ciberataques. Este ámbito tiene por delante un desafío tanto técnico como organizativo. En el encuentro organizado por Computing ‘Gestión de identidades y accesos: El talón de Aquiles de la protección de datos’, varios expertos compartieron su punto de vista a la hora de abordar esta problemática, que abarca también la implementación de estrategias de Zero Trust y la adopción de herramientas innovadoras como los wallets digitales que propugna la UE.

Gestión de Identidades y accesos

Como explicó Daniel López, Security Sales Manager de Evolutio, la gestión de identidades ha evolucionado mucho en los últimos años. “Más de diez años trabajando con la LOPD nos han permitido observar un boom en temas como DDR (Data Discovery and Reporting) y otras áreas, pero en identidades privilegiadas hay menos avances porque es un tema complejo”.

Para Jorge Martín, CIO de Anaya, se está protegiendo muchas cosas de forma interna, pero la seguridad también es hacia fuera. “Es un concepto tan amplio, y hay mucho por hacer, tanto para las necesidades de nuestros clientes como para las internas de las empresas. Cada vez estás más obligado a ser más ágil con los proveedores y estar más abierto a tus clientes finales”. Es un tema no resuelto, las aplicaciones tienen que ser más avanzadas, la seguridad y la reputación de las empresas están en juego. En lo tocante a contraseñas y accesos, los usuarios finales son los que pueden propiciar las fugas de datos.

Cartera Digital Europea o European Digital Wallet

Por su lado, una institución formativa como IE University tiene en la gestión de identidades su gran paradigma. Así lo relató Carlos Garriga, CIO de IE University: “En el sector educativo, un ejemplo típico es la gestión de perfiles en plataformas como Blackboard: un usuario puede ser estudiante, profesor, antiguo alumno, etc., cada uno con cuentas diferentes. “De momento lo estamos gestionando con distintas cuentas. Estamos explorando el concepto de identidad digital, como el European Digital Wallet que será obligatorio en Europa este noviembre de 2026. Queremos convertir esto en algo que nos aporte un valor diferencial, además de solucionar un problema clásico de gestión de perfiles”.

Estamos explorando el concepto de identidad digital, como el European Digital Wallet que será obligatorio en Europa este noviembre de 2026. Queremos convertir esto en algo que nos aporte un valor diferencial, además de ser una solución para un problema clásico de gestión de perfiles

Antonio Velasco, CIO de Astrazeneca, considera que la gestión de identidades es como la ciberseguridad: “siempre es necesario mantener cierta paranoia sana”. “Hemos evolucionado de una medida de tickets hacia un sistema en la nube, con automatización para roles nuevos (cuando entra un empleado nuevo o cambia de rol se asigna automáticamente los accesos a ciertas aplicaciones), pero algunas áreas clave preferimos optar por una supervisión manual. En términos de seguridad, el usuario es el eslabón débil. Hemos implementado herramientas SaaS y trabajamos en mecanismos automáticos de alerta”.

“Por otro lado, empresas nativas digitales como Cabify afrontan retos similares en la gestión de identidades. Con más de 50 millones de usuarios externos (entre viajeros, conductores y empresas) y unos 2,000 perfiles internos, la prioridad es mantener una experiencia sin fricciones. En un entorno competitivo, donde procesos simples como el acceso mediante SMS son preferidos por los usuarios, la clave está en equilibrar la seguridad con la facilidad de uso. Adicionalmente, contar con un registro eficiente de servicios en un entorno cloud representa un avance significativo para mejorar la gestión y la operatividad.”

Eva Otero, Jefa del Área de Ciberseguridad de Sistemas en Madrid Digital, explicó la complicada gestión de identidades de su institución. Madrid Digital abarca un ecosistema con un número ingente de identidades, usuarios internos, cadenas de suministro, ciudadanos, un total de 100.000 perfiles… “Una consultoría nos ayudó a evaluar nuestras herramientas, procesos y necesidades. Contamos con un SOC que busca identidades comprometidas, pero necesitamos decidir si seguimos con soluciones ad hoc o adoptamos herramientas del mercado”.

Naturgy, un caso de estudio

Hace un par de años, el CIO de Naturgy impulsó un plan director enfocado en la gestión de identidades, incluyendo proyectos relacionados con identidades privilegiadas. Pudieron detectar que algunas identidades, aunque no se consideraban privilegiadas en teoría, lo eran en la práctica.

Así lo relató, Joseba García, Digital Trust Officer: “Decidimos unificar la gestión de aplicaciones, que hasta entonces se manejaban en diferentes repositorios y ámbitos. Nuestro objetivo es avanzar hacia una gestión centralizada y unificada de todas las aplicaciones. En este proceso, hemos definido que una identidad no se limita a las personas, sino que también abarca servidores y aplicaciones”. La idea es poder gestionar todas estas identidades de manera integral.

Para ello han adoptado enfoques modernos como el modelo de Zero Trust, que abandona la visión estática basada en perímetros y se centra en la identidad y su gestión dinámica. Joseba García se declara firme defensor del wallet y la firma digital de la Unión Europea.

“Como cliente y empleado de Naturgy, veo necesaria una identidad unificada que me permita acceder a servicios como cliente y realizar gestiones con mi identidad personal. Para lograrlo, es fundamental contar con un marco sólido de identidad digital que regule cómo se accede a las aplicaciones y servicios. Asimismo, la gestión de los atributos asociados a las identidades es un tema crítico que debe ser prioritario en esta estrategia”, concluyó el portavoz de Naturgy.

Más Zero Trust

Confianza cero es la clave de la defensa para Miguel Ángel González-Gallego, Global CIO&CISO de IMESAPI (firma de infraestructuras eléctricas). “Es fundamental aprender de las lecciones que dejan los ataques, ya que cualquier organización puede ser un objetivo. Aunque se utilice autenticación multifactor (MFA), si la vulnerabilidad reside en el usuario, es imprescindible implementar un enfoque de Zero Trust que permita correlar amenazas y comportamientos”.

Desde su punto de vista, no existe un modelo único que se pueda aplicar universalmente. Cada sector tiene necesidades específicas, y es esencial adaptar estas estrategias a las particularidades de cada negocio. La educación, por ejemplo, tiene prioridades distintas a las de la industria. “Mi mayor preocupación se centra en garantizar la resiliencia del negocio y proteger su operatividad frente a posibles riesgos”, concluyó el experto.

Julio Muñoz, CIO de El Confidencial, coincidió en que el futuro de la identidad será controlado por el usuario, pero cree necesario replantear el modelo actual de gestión de identidades. Cada empresa posee múltiples identidades (usuarios internos, administrativos, externos) y su diversidad genera problemas de gestión. Uno de los mayores desafíos es la creación y monitoreo de perfiles, identificar qué hace cada perfil y detectar posibles suplantaciones.

La adopción de políticas como Zero Trust y la eliminación de contraseñas, sustituidas por dispositivos de autenticación, plantea complicaciones internas, pero hacia los usuarios finales la tendencia es priorizar la usabilidad

“La adopción de políticas como Zero Trust y la eliminación de contraseñas, sustituidas por dispositivos de autenticación, plantea complicaciones internas, pero hacia los usuarios finales la tendencia es priorizar la usabilidad”, recomendó. En un entorno competitivo, donde otros actores no imponen trabas, implementar factores de autenticación más robustos, como MFA, será una necesidad impuesta por la industria. Google, por ejemplo, ya ha comenzado a exigirlo.

Muñoz opina que existe un temor generalizado a incorporar medidas de seguridad en los productos, a menudo por un enfoque excesivamente proteccionista. Además, cada empresa aborda esta problemática de forma independiente, y la responsabilidad suele recaer en los CIO, quienes deben convertir soluciones técnicas en herramientas utilizables y amigables para las personas.

Un tema transversal

Lo que es evidente para Jacinto Martínez, director del Departamento de Tecnología de Mutualidad, es que la gestión de identidades es un asunto que afecta todo el mundo. “Es un tema muy transversal, no solo tecnológico y de cumplimiento. Se aborda de manera deslavazada y nadie asume realmente el gobierno de la gestión. Estamos involucrados en áreas como seguridad, auditoría, recursos humanos, sistemas, y cada uno con objetivos diferentes. Por otro lado, se plantea la pregunta: ¿accesos a qué? Nuestro reto es gestionar el acceso a aplicaciones y a datos”, argumentó. El gran proyecto de esta aseguradora se centra en cómo acceder a los datos de manera segura. “Contamos con una recopilación de activos impresionante, pero debemos gobernarlos de forma adecuada. Es crucial identificar todos los datos y gestionar aquellos que aún no se han identificado. El primer paso es conocernos bien”, resumió.

Políticas unificadas

Verisure, empresa de seguridad para el hogar, se enfrenta a una problemática similar. Están presentes en muchos países y resulta muy complejo armonizar las normativas, ya que cada país crece con sus propias regulaciones. Su desafío es integrar ese modelo global a toda la compañía. Al final, el objetivo es evitar vulnerabilidades, pero medir los riesgos se vuelve muy complicado si cada país actúa por su cuenta. “Por ejemplo, si en España o Suecia se implementan enfoques diferentes, ese es uno de los retos a superar para establecer una estrategia unificada de acceso a identidades”, así lo resumió María García de la Peña, Senior Analyst Strategic & Transformation.

Otro proceso importante es definir la identidad digital de los clientes, lo cual es también muy complejo. La calidad de los datos es otro problema a abordar; si las fuentes no están correlacionadas correctamente, surge la pregunta de cuál es la fuente atribuida. “Estamos en pleno proceso de transformación digital para resolver estos desafíos. Además, a veces subestimamos a los clientes. Por ejemplo, incorporamos biometría vocal, pero existe un temor dentro del negocio de ser demasiado digitales o modernos, lo que genera cierta resistencia”, concluyó la experta.

El MFA, un avance social

Jaime Mauri, IT Manager de Nippon Gases, mostró su visión optimista al respecto: “A nivel de gestión, toda la sociedad ha dado un paso gigante. El uso de la autenticación multifactor (MFA) se ha naturalizado. Con el aumento de usuarios nativos digitales, ya es algo normal. Mauri afirmó que desde Nippon Gases se inició un proceso para establecer perfiles,” y aunque nos gustaría tener una única identidad, es necesario gestionar varios perfiles. Completamos la certificación ISO 27001, lo que nos ha permitido avanzar en este ámbito”.

En última instancia, el portavoz de Nippon Gases comentó que una de las tareas que tenemos por delante es involucrar al negocio. “Existen cuentas fuera del control de recursos humanos y de nuestro ámbito, y es importante revisar si es necesario hacer ajustes. La gestión de accesos es algo que todos manejamos con nuestros sistemas ITSM, pero aún falta integrar al negocio de forma efectiva, lo que complica la gestión de accesos tanto interna como externamente”.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Rufino Contreras
Redactor Jefe

Temas

Canales

Artículos relacionados

  • informes

    LiceoTIC prevé apenas un crecimiento de las TIC del 2% en 2025

    09 Dic 2024

    por Redacción Computing

    Compartir

  • NOTICIAS

    Málaga reúne en el DES2024 la punta de lanza de la innovación tecnológica

    12 Jun 2024

    por Redacción Computing

    Compartir

  • noticias

    MWC24: Huawei impulsa el crecimiento del 5G y presenta la llegada comercial del 5.5G

    27 Feb 2024

    por Redacción Computing

    Compartir

  • NOTICIAS

    Ayesa integrará el legacy de la minera chilena Codelco

    02 Jul 2024

    por Redacción Computing

    Compartir

Siguiente

LiceoTIC prevé apenas un crecimiento de las TIC del 2% en 2025

Artículo 1 de 5