viernes, 30 de diciembre de 2022

CertiSur: los desafíos de construir una identidad digital

 

La identidad digital ya debería ser parte fundamental de toda estrategia de seguridad tanto personal como empresarial. Para hablar del tema ITware Latam consultó a Armando Carratalá, CTO de CertiSur

Vivimos una época en la que la vida está mediada por las Tecnologías de la Información y Comunicación (TIC). Nuestra cotidianeidad está atravesada por el uso de estas tecnologías, ya sea por la búsqueda de información, la descarga de aplicaciones que usamos diariamente, por las distintas redes a través de las que nos comunicamos, o por la forma en que nos identificamos en las empresas.

Las maneras de vincularnos e identificarnos se ven modificadas, el territorio geográfico ya no es una limitación para conocer a nuevas personas o contactar con ellas. Las redes sociales nos permiten ampliar los modos de socialización, sumando nuevos “amigos” que conoceremos a través de Facebook, Instagram, Twitter, TikTok, Snapchat, etc. La noción de lo público y privado es pensada y vivida de manera diferente con respecto a otras generaciones.

En este contexto, ¿hay una conciencia tomada sobre el tema o aún falta evangelización?

“Creo que, aunque la idea de identidad la entendemos, aún falta definir los “bordes” implementativos que se deben tener en cuenta”, indica Carratalá.

“No es lo mismo lo que ocurre cuando hablamos de empleados, de clientes o cuando una persona se adhiere a un servicio ‘gratuito’. Todos tienen responsabilidades para proteger la identidad, pero no todos aplican los mismos principios ni acuerdos”, agrega el directivo, que señala que aún se debe concientizar a los ciudadanos sobre los riesgos que existen cuando sus datos personales son compartidos.

En este sentido, ¿cuáles serían las herramientas básicas necesarias para proteger la identidad?

Carratalá indica que, aunque íntimamente relacionados, la identidad es un concepto más amplio que la autenticación.

“Cuando los datos en juego son privados o sensibles, la responsabilidad es tanto de aquel que provee la plataforma como del individuo, pero en ocasiones no siempre se dispone de los más altos niveles”, sostiene el directivo.

Agrega además que, aunque hace más de una década que se anunció la muerte de las “contraseñas”, esto evidentemente no ha ocurrido y no se puede asegurar que pase. “En este caso el usuario debe seguir las buenas prácticas que ya se han difundido y no usar la misma contraseña para todos los lugares donde se debe dar de alta. Cuando el servicio lo permita, habilitar un mecanismo de 2do factor de autenticación, ya sea por SMS, o Token OTP, o Certificado Digital”, explica Carratalá.

La influencia de las nuevas tecnologías

“Tanto desde el punto de vista de las empresas y su uso para defensa, así como de los cibercriminales y temas como los deepfakes (falsificación/uso falso), estas nuevas tecnologías pueden ayudar a la detección de anomalías en el manejo de las identidades, o vulnerabilidades posibles, o filtraciones indebidas, pero las mismas capacidades están siendo utilizadas para superar una de las barreras de seguridad: aquella que respecta a la verificación de la identidad”, apunta el directivo.

Aún no se puede decir si estas nuevas técnicas van a afectar de manera masiva a los mecanismos, pero ya si afectan a unos de los aspectos de la identidad: la reputación. La capacidad de detectar la información falsa de una identidad existente es cada vez más difícil, sostiene a su vez Carratalá.

También señala que nuevos procedimientos, como los «passkeys» de Google son una mejora en la robustez de las contraseñas ya que va a facilitar a los usuarios a generar contraseñas mejoras. “Por el momento no ha habido una migración de las aplicaciones hacia esta tecnología, pero creemos que paulatinamente irá encontrando su público y proyectos”, agrega.

El rol del CISO

Para el directivo de CertiSur, la evolución entre los roles ha sido la natural tal como han ido evolucionando los ataques y frentes vulnerables de una empresa o negocio. “La reputación se ha convertido en un valor mucho más expuesto que en el pasado, acompañado por el auge de las redes sociales; que además se han convertido en un nuevo ámbito donde “pelear” la defensa. Estos nuevos frentes tienen que ser atendido con una estrategia uniforme, que quizás no estaban antes en el radar de los CIO, sino que pertenecían más al ámbito del marketing digital”, afirma Carratalá.

¿Cómo influye la adopción de tendencias tan en boga como el Zero Trust?

El directivo señala que aplicar los niveles más altos de seguridad no siempre es posible, en ocasiones por limitaciones operativas. “No solamente la “resistencia” de los usuarios influye en la adopción de Zero Trust. Los usuarios son el primer frente de ataque actualmente, y se debe tener muy en cuenta cuando se deciden cambios bruscos”, indica

Y sostiene que adoptar el reconocimiento de los signos de seguridad y buenas prácticas es una tarea constante y no puede ser interrumpida o alterada constantemente, porque ello genera un riesgo también en la metodología. “Si constantemente estamos alterando las mismas, no ayudamos al usuario en su capacitación”, declara.

Los pasos básicos que debe dar una empresa

“La estructura básica de protección depende del activo que se desea proteger. Los bordes de inseguridad que se deben considerar ahora son distintos a los que se pensaban en el pasado, donde se pensaba que un firewall y un antivirus eran las barreras fundamentales”, apunta Carratalá.

Para el CTO, hoy en día hay que pensar no solo en las herramientas, sino en los activos y en las prácticas que se le recomiendan a los usuarios que deben seguir y respetar; y cómo estas pueden llegar a influir en la reputación y riesgos de los
usuarios.

“Los datos, y sobre todo la confianza en su validez, es un elemento que hoy se considera fundamental. Tal como hemos aprendido que un correo electrónico no es seguro, que un archivo adjunto es una potencial amenaza, también debemos considerar que los datos deben ser robustos y seguros, garantizando su integridad y autoría”, comenta el directivo.

Carratalá también sostiene que el primer punto a tener en cuenta es definir los recursos que se desean proteger para posteriormente definir qué herramienta debe considerar.

Lo que ofrece CertiSur

“CertiSur ofrece diversos mecanismos de autenticación que pueden ser incorporados a los tradicionalmente utilizados. El uso de múltiples factores de autenticación es nuestra especialidad, pero especialmente nos dedicamos a utilizar tecnologías de firma digital para asegurar los procesos e identidades”, concluye el directivo.

 

 

 

 

 

No hay comentarios:

Publicar un comentario