La identidad digital, reto para el canal
Convertida ya en un cliché, por haber sido repetida en innumerables ocasiones, sobre todo a lo largo de los últimos dos años, la consideración de que “el teletrabajo lo ha cambiado todo” sigue siendo, no obstante, una realidad innegable, también en términos de ciberseguridad.
El poder elegir el lugar y el dispositivo desde el que trabajar a abierto una ventana de oportunidades para muchas empresas, pero también, ha despejado el camino para que se produzcan numerosos ataques de tipo ransomware, phishing, además de otros más avanzados para hacerse con el control de los puestos de trabajo y de las credenciales de usuario. En este contexto, saber quién accede a qué recursos, desde dónde y con qué dispositivos es más importante que nunca, por lo que muchas de las demandas actuales en ciberseguridad giran en torno a soluciones de control de accesos o de identidad digital.
Lo que somos en la red
También llamada Identidad 2.0, la identidad digital es todo lo que nos identifica a la hora de interactuar online, tanto en el entorno personal como en el laboral. Así, este término comprende todo el conjunto de datos e información de una persona en Internet y en el plano empresarial, incluyendo la autenticación, el reconocimiento del usuario, la validación de permisos, la federación de usuarios de múltiples plataformas, su auditoría o el fortalecimiento de las contraseñas.
En un entorno laboral, una suplantación de identidad o un acceso no deseado son asuntos muy críticos que no se deben tomar a la ligera, por lo que las empresas deben actuar para preservar y proteger el acceso de esas identidades (usuarios) a los recursos de la organización, delimitando cuándo y a qué recursos deberían acceder, y con qué nivel de privilegios.
Al mismo tiempo, es recomendable automatizar tediosos procesos de alta y baja de empleados, gestión y autoservicio de permisos, acceso a aplicativos on premise y cloud, además de obtener una trazabilidad de los accesos, sean usuarios internos, proveedores, contratistas o incluso clientes que acceden online a un modelo de negocio o servicio en formato web o SaaS (por ejemplo: aseguradoras, venta online, sanidad).
Es por esto que las organizaciones públicas y privadas dedican un gran esfuerzo, tiempo y recursos a proteger el acceso de las identidades digitales (usuarios) a sus recursos y a automatizar los mecanismos para hacer que esa gestión de usuarios sea viable y efectiva con el menor coste operativo posible, de manera que se aseguren que sus usuarios y colaboradores acceden únicamente a lo que deben y cuando corresponde (quién - cuándo - a qué).
Por estos y otros motivos, las normativas de compliance en ciberseguridad o las recomendaciones dentro del marco NIST son aplicables a la identidad digital, sobre todo, aspectos tales como: la identificación mediante doble factor de autenticación, la protección por medio de una gestión de accesos privilegiados, la detección a través de reglas y monitorización proactiva, la respuesta gracias a planes de contingencia asociados a credenciales o la recuperación a través de políticas automatizadas y de gobierno de la identidad.
Saber quién es quién en todo momento
Históricamente las credenciales de acceso han supuesto uno de los eslabones más débiles de la cadena y la propia complicación que integran y su rotación ha sido percibida casi como “una tortura” de uso para los usuarios.
En la situación actual, con el número de usuarios remotos incrementándose a diario, al igual que sus privilegios de acceso, las credenciales estáticas, como el ID de usuario y la contraseña, ya no son suficientes para autenticar a un usuario. Además, cualquier activo que se encuentre detrás de estos accesos será objetivo principal de protección: IoT, accesos a la nube, servidores locales o gestión de servicios críticos, por lo que las estrategias de identificación y autenticación deben avanzar innegablemente.
En este sentido, elegir el tipo de soluciones a integrar dependerá del uso y del entorno para el cual se solicite. Así, una solución diseñada para usuarios y acceso remoto u otra basada en un servicio en nube pueden ser algo tremendamente versátil, fácil de gestionar y poner en marcha. Para entornos de servicios críticos y accesos a dispositivos de IoT, el diseño más recomendado pasaría por el uso de una arquitectura on-premise e incluso la utilización de appliances y hardware especifico con tarjetas que permitan un cifrado y gestión de claves de altas prestaciones y seguridad. Lo ideal de las soluciones más modernas es poder combinar arquitecturas de despliegue y uso que mejoren su adaptabilidad a cualquier entorno de uso. Hay que poder adaptar el uso a cada momento y a cada situación y poder dar estas opciones de forma automática y auto gestionada a los usuarios.
Para la realización de estos proyectos, las empresas deben contar con el respaldo de sus socios de confianza, empezando por el mayorista, que será quién seleccione las mejores tecnologías para ofrecerlas a su red de revendedores e integradores. Este mayorista, además, debe ser capaz de ofrecer un “servicio adicional de valor” para simplificar el consumo de tecnología, por ejemplo, a través de una plataforma que integre las mejores herramientas tecnológicas de su clase y los servicios más punteros, y desarrollada bajo un modelo de suscripción, lo que le permitirá apoyar a estos socios en cualquier momento del diseño, venta o implementación de la solución.
Manuel Cubero, Chief Technology Officer de Exclusive Networks Iberia