Customer identity: El plan estratégico de la seguridad

Ante el dilema de si incluir herramientas de customer identity y acceso en el plan estratégico de la seguridad de un negocio, miembros de la Administración Pública y representantes del sector privado ponían de manifiesto cuáles son los problemas con los que se encuentran a la hora de crear una identidad digital accesible para sus empleados, colaboradores y clientes. El quorum de este encuentro es que no todas las organizaciones gestionan de manera correcta esa iniciativa y es un reto garantizarlas ya no solo la usabilidad y la experiencia de usuario, sino también la privacidad a la hora de almacenar y gestionar sus datos.

Con esa necesidad patente, los proveedores como Okta y SIA consideran que, aunque la identidad es ya algo integrado en el día a día del negocio, no está incluida en toda la parte asociada, es decir, que en lo que respecta a clientes y usuarios finales, existe cierta dejadez. Es ahora el momento de que las empresas pongan el foco en la importancia de establecer estrategias para facilitar el acceso seguro ya no solo a los propios empleados sino al colectivo con el que trabajan.

De ahí que el encuentro procediera con más voces secundando esa importancia que tiene la usabilidad para el negocio. En este sentido, Felipe San Román, sales manager de Okta, recalcaba que “la parte enfocada al consumidor final es esencial, porque a la hora de registrarse o acceder a un servicio, aparte de la privacidad, el usuario demanda rapidez y comodidad al usarlo. ¿Por qué me piden tantas cosas o por qué se tarda tanto? Es una pregunta que todos nos hemos hecho”.

Tu clave es como la ropa interior, después de usarla un tiempo, cámbiala

Por su parte, Francisco Lázaro, CISO de Renfe, manifestaba que “todas las empresas con cierta madurez en el mercado intentan gestionar la seguridad de la mejor forma, pero eso no significa que no nos pueda ocurrir algo”. En cuanto a la gestión de la identidad, reconocía que las empresas han fijado el foco de atención en la parte de securizar a los empleados y que el problema a veces es económico considerando, por tanto, que el salto a la nube además de ser una decisión estratégica supone también un salto económico. “Hay que buscar una identidad de nube, pero el problema está en que casi todos venimos de un mundo de inversión en el que el gasto se lleva mal y a veces no nos salen los números”.

Cuestión de prioridades. La decisión de no invertir hasta que pasa algo

A colación de si las empresas no invierten por problemas de inversión, la mesa de debate planteaba que para llegar a tomar la decisión de adoptar una herramienta como el Customer Identity, lo que hacen las entidades muchas veces es no afrontar el gasto hasta que se tiene un problema, surge una ley que obliga a actuar de determinada manera o se posponen actualizaciones por cuestiones de agenda, algo que podría significar incluso un gasto mayor con el paso del tiempo y dependiendo de la gravedad del problema.

En este sentido, Ángel Luis Sánchez, jefe del Servicio de Apoyo a la Planificación Tecnológica del SERMAS, señalaba que, ante la demanda cada vez mayor de servicios digitales públicos, “la ley de Protección de Datos es exigente y en una organización pública es complicado, porque muchos de nuestros clientes, que son los ciudadanos, son personas mayores que no tienen la misma facilidad que los jóvenes para acceder a la parte digital”. Y, en este sentido, señalaba como ejemplo la tarjeta virtual que el Gobierno Madrileño lanzó durante la pandemia. “Fue una osadía, pero sabíamos que teníamos que hacer algo por lo que iba a venir después, la gente lo quería y ya son 2.800.000 personas fidelizadas y que se han descargado la aplicación”. Además, reafirmaba su compromiso con los servicios digitales recordando el lanzamiento reciente del servicio de videoconsulta y asegurando que seguirán apostando por la digitalización, de manera que los ciudadanos puedan acceder ellos de forma segura. “Tenemos que ir jugando, con pies de plomo, porque manejamos datos muy sensibles, como son los datos sanitarios y, más en especial, los datos genómicos”.

A su vez, el jefe de Tecnología y Negocio de Prosegur, Manuel Tarrasa, indicaba como una de las prioridades en la línea estratégica de la empresa el doble factor de autentificación. “Se da la circunstancia de que llevamos varios años creciendo en la digitalización del negocio y los clientes tienen cada vez más acceso a toda la panoplia de servicios; para nosotros es clave autentificar doblemente y tenemos una política agresiva en este sentido, porque consideramos que hoy en día tener solo un usuario y una password es como plantear un juego de niños a los ciberatacantes para que realicen un ataque de phishing y roben los datos”.

Ahí entraba otra vez el tema de la usabilidad, ya que poner un doble factor de autentificación no es sencillo y, además, hay gente que lo rechaza, por lo que se planteaba como propuesta el simplificar. Respecto a esto, Daniel Fernández, CTO de SIA, recalcaba que “el equilibrio perfecto no existe y hay que buscarlo acorde al negocio de cada compañía. La clave es cómo en cada caso podemos ofrecer el mejor servicio al usuario teniendo en cuenta las diferencias que podemos encontrar en cada uno de ellos”.

La concienciación de base y en el entorno empresarial

Prácticamente todos los presentes estaban de acuerdo en que la concienciación de los usuarios sigue siendo esencial para garantizar que los datos se encuentran protegidos; las discrepancias llegaban en si se está consiguiendo o no. Mientras que, por un lado, se enfatizaba en que los usuarios siguen sin entender que es clave una fuerte seguridad y les resulta incómodo cuando es más difícil su acceso, por el otro, se mostraban algunas de las estrategias que hay que llevar a cabo para mejorarla, tanto a nivel empresarial como de formación base.

Juan Cobo, CTO de Ferrovial, aseguraba que “la seguridad forma parte del negocio y los ciudadanos debemos darnos cuenta de que tenemos un papel activo en la seguridad, y es algo que no se enseña ni en el colegio ni en las universidades y quizás deberíamos empezar a hacerlo”. David Cerato, CIO de Kruk, aseguraba que “la primera línea de defensa son los empleados”, y ejemplificaba con una prueba que hicieron en su empresa sobre la gestión de claves digitales. “Después de haberles formado y explicado cómo funcionaba, a las 3 semanas pusieron la clave en un post-it”. Por tanto, incidía en que la formación tiene que comenzar a hacerse desde los colegios.

Lo más importante es no ser atractivo para no estar en la diana

Algo en lo que coincidía David Vaquero, CTO de Nationale-Nederlanden, “la concienciación es educación, estamos en constante cambio y hay que educarse y formarse de forma continua, y la primera línea somos los usuarios”, señalando el uso que hacen ellos de una herramienta de IA que “identifica los mails que estás recibiendo y manda de forma automática mails similares para hacerles picar y que así los usuarios aprendan”. En esta línea, Israel Devesa, CIO de Capital Energy, argumentaba que “poner cachivaches y tecnología es fundamental, pero sin concienciación no sirve para nada y aunque de forma lenta sí que se ha avanzado, el problema es que la industria va por detrás”.

Por su parte, Julio Muñoz, CTO de El Confidencial, afirmaba que, “como medio de comunicación, enfadamos a mucha gente y tenemos muchos ataques, por lo que decidimos no solo asegurar la compañía a nivel interno sino también lo de fuera”, aludiendo este esfuerzo a que ahora que los medios están optando por la suscripción, es imprescindible securizar los accesos de los usuarios. “El equilibrio es facilitar al negocio sin perder la seguridad para que no tengamos ningún tipo de robo de información, y además ayudar a producto a que sigamos teniendo suscripciones”. Ante la posibilidad de sufrir un ataque, Jesús Aragoneses, CTO de Pfizer, advertía de que “las crisis son bienvenidas” y aseguraba que “el coste y el riesgo es algo que hay que alinear de forma proporcional. A mayor riesgo, mayor seguridad, doble, triple o lo que haga falta”.

Por último, y en consonancia con todas las opiniones que fueron dándose durante el encuentro, desde JCDecaux, su CIO Luis Grandes indicaba que, desde su compañía, siguen instrucciones desde su sede en París y realizan pruebas de phishing también de forma habitual para concienciar al personal, recalcando “que no es un trabajo fácil, porque a veces las campañas de concienciación son poco efectivas toda vez que 4 informáticos tienen que lidiar con casi 500 empleados”.

Queda de manifiesto, por tanto, que las organizaciones consideran que falta trabajo por hacer y es importante garantizar esa accesibilidad de forma segura y que ese proceso de autenticación tiene que ser escalable y sencillo dentro de lo posible tanto para los miembros de la plantilla como para los usuarios y consumidores finales, que son los que, además, pueden poner en riesgo la reputación del negocio en caso de producirse una brecha de seguridad.