LOS EXPERTOS OPINAN: Seguridad centrada en la Identidad

Publicado el 17-05-2016      Notícia sobre: ISMS Forum Spain

 


Jordi Gascón    
EMEA Security Presales Lead, CA Technologies.

 

En la actual economía de las aplicaciones, en la que los usuarios intercambian información y realizan todo tipo de transacciones a través de aplicaciones, es fundamental asegurar que el usuario es quien dice ser y que accede solo a lo que está autorizado.  

La seguridad centrada en las identidades y la adecuada gestión y gobierno de las identidades digitales es crítica para proteger los datos y las transacciones, pero también para aprovechar nuevas oportunidades de negocio en el mundo digital.

En realidad, el progreso en las tecnologías de la información tiene un ritmo tan elevado que cada día nos desayunamos con avances que nos podrían parecer ciencia ficción tan solo dos años atrás.

Estos avances permiten configurar experiencias únicas y personalizadas para cada usuario en el mundo digital. Así como es posible configurar un coche, ropa o calzado con formas, estilos, accesorios y un sinfín de características personalizadas, en el mundo digital también es importante que exista esa posibilidad de adaptación y personalización.

Los usuarios exigen a las aplicaciones una experiencia personalizada. Por ejemplo, esperan de una aplicación de gestión de reservas que facilite información importante sobre el vuelo, como posibilidades de retraso, cambios de puerta, etcétera. Pero eso ya no es suficiente. También necesitamos que, por ejemplo, nos aconseje sobre la hora a la que debemos reservar el taxi en función de dónde estemos, nuestro calendario y las condiciones de tráfico. En definitiva: interactuar de manera individualizada con el usuario final en función de sus necesidades y características.

A día de hoy esto ya es tecnológicamente posible y, mediante el uso de las interfaces de programación de aplicaciones (API), las aplicaciones colaborativas son capaces de ofrecer esta experiencia de usuario enriquecida. Pero para conseguirlo, se necesitan arquitecturas no basadas en transacciones, sino en la identidad digital. El conjunto de atributos, características, acciones, comportamiento y dispositivos que poseo, o cualquier otra característica que nos hacen únicos e individuales digitalmente es lo que conforma la identidad digital y lo que permitirá ofrecer este tipo de servicios exclusivos con el nivel de calidad y personalización requeridos.

A partir de la identidad digital, se abren múltiples opciones tanto a nivel de servicios a los ciudadanos como ofertas de servicios y bienes para los consumidores. Los gobiernos son conscientes de ello y ya existen múltiples iniciativas de gestión de identidad digital que se están implementando en diferentes países de la UE.

La tecnología puede ofrecer diferentes funcionalidades alrededor de la identidad digital para que estos modernos aplicativos ofrezcan las características que exigen los usuarios a la vez que cumplen con la abundante regulación relativa a protección de los datos personales, tanto la existente como la que pronto será de obligado cumplimiento (GDPR o NIS).

Incluso regulación específica de sectores como el financiero orbitará alrededor de la identidad digital. Por ejemplo, la nueva normativa de pagos por Internet revisada (PSD2- Payment Services Directive revised) de la Unión Europea obligará a las entidades financieras a abrir las cuentas de pagos de sus clientes – con el debido consentimiento - a terceras partes para que éstas actúen en nombre del usuario, tanto para realizar pagos como para proporcionar servicios de agregación de información financiera. Esta parte de la directiva conocida como XS2A (Access to Accounts) no se puede concebir sin hacer un uso correcto de la identidad digital.

Diferentes disciplinas como las de inicio de sesión único (single sign-on), federación, autenticación fuerte, arquitecturas basadas en las API, etcétera, así como protocolos de nueva adopción como OpenID, OAuth, permitirán que, una vez probada y certificada nuestra identidad digital, las aplicaciones actúen conforme a las autorizaciones que les deleguemos.

Así, la identidad se ha convertido en la primera línea de defensa para controlar y gestionar los accesos, lo cual además es una exigencia común a la mayoría de las directivas de cumplimiento normativo. Y no sólo eso, además se ha convertido también en la pieza clave y moneda de cambio para conseguir aproximar servicios y productos a los usuarios finales, proporcionar servicios eficientes a los ciudadanos y posibilitar nuevos modelos de negocio y canales de comunicación con los consumidores.

En el plano interno, la gestión y gobierno de las identidades es de importancia crítica. El impacto de los incidentes asociados a usuarios privilegiados (tipo root, admin, dba) y su papel en las brechas de seguridad está ampliamente documentado. Tener absoluto control de quién tiene acceso a qué, eliminar el uso de usuarios y contraseñas compartidas, y realizar un control continuo de niveles de acceso y privilegios es fundamental. Máxime teniendo en cuenta que, en la actualidad, todas las empresas tienen necesidad de estar interconectadas y abrir sus sistemas al exterior.

Una gestión de identidades y accesos correcta será la garantía y pilar fundamental para los proyectos tecnológicos de todas las empresas así como uno de los factores de éxito en todas las iniciativas de transformación digital.

 

Global Gold Sponsor