Nuevo paradigma en la gestión de identidades: del control del dato a su gobierno

Encontrar las mejores herramientas para resolver aspectos como la securización de los datos o el big data son los retos a los que se enfrentan los responsables de sistemas en un momento en el que, además, existe una contención del gasto lo que dificulta la puesta en marcha de proyectos de seguridad que ayudarían a su gestión y todo ello cuando lo que se maneja es información, el valor más importante de la organizaciones. Juan Ignacio Gordón, gerente de Seguridad de Acciona, explica que “desde hace tres años en Acciona todo lo relacionado con las Tecnologías de la Información, (TI) es corporativo. Hemos ido consolidando la gestión de identidades, el análisis del riesgo operacional, comprobando los procesos de cada área de trabajo, estableciendo cuáles eran las normativas que teníamos que cumplir y desde el punto de vista de negocio, qué riesgo debíamos asumir. A partir de ahí comenzamos a definir roles, permisos e identidades”. Miguel Ángel Rodríguez, jefe del Área Informática del Ministerio de Industria, Energía y Turismo, afirmó que “en el ámbito de la Administración contamos con el Esquema Nacional de Seguridad, una norma que nos marca el entorno en el que tenemos que desempeñar nuestra labor. Trabajamos orientados al cumplimiento de este esquema y con un enfoque de gobernanza del ciclo de evaluación de la seguridad de la información y de mejora continua. Hacemos un análisis de riesgo basado en una categorización de los sistemas y a partir de ahí hemos establecido nuestros planes”. También para Manuel Cabrera, jefe de Área de Seguridad del Ministerio de Sanidad, Servicios Sociales e Igualdad, el Esquema idea muy completa de lo que manejamos. Disponemos de muchos sistemas pequeños, bases de datos de salud, que son confidenciales pues contienen datos privados de los ciudadanos y tenemos que trabajar con ello. Hemos pasado de una etapa en la que lo hacíamos de forma dispersa a considerar la información como un todo, saber qué tenemos y ponerlo en valor”. Fernando Martín, jefe de la Unidad de Apoyo Informático del Tribunal de Cuentas, aseguró que desde hace años la Administración ha estado muy sensibilizada con todo lo referido a la seguridad. “Fruto de esta preocupación es el desarrollo de la LOPD (Ley Orgánica de Protección de Datos) y del Esquema Nacional de Seguridad, que todas las Administraciones tienen que poner en marcha aunque no con el mismo ritmo, pues en las entidades locales está siendo más difícil llegar a este cumplimiento. Debemos hacer un esfuerzo para cumplir las peticiones de los ciudadanos. Me gustaría señalar que está surgiendo un nuevo reto, la nube, que nos va a obligar a valorar aspectos nuevos”.



Mitigar el riesgo corporativo

Por parte de la industria de TI, Ramsés Gallego, estratega de seguridad y evangelizador de Quest Software, aseguró que “está en nuestro ADN mitigar el riesgo corporativo a través de la tecnología; ayudamos en la gestión de identidades y en el gobierno de los datos. No se trata solo de gestionar los datos, sino de gobernar un uso responsable de los recursos. Nuestro objetivo es reducir el factor de exposición. No somos conscientes de que estamos permitiendo que demasiada gente acceda, durante una ventana de tiempo muy amplia, a muchos datos. Queremos ofrecer herramientas que permitan la trazabilidad del dato. No tener la información no es una solución y hemos construido nuestra plataforma y tecnología para tener respuestas para el negocio”. Para Juan Ignacio Gordón, de Acciona, “cuando haces un inventario de información siempre te sorprende la cantidad de que dispones y además ahora aparecen la nube y la movilidad por lo que es necesaria una redefinición de los lugares externos desde los que es posible acceder a ella y que se sale de los límites tradicionales. En nuestro caso es una necesidad absoluta de negocio disponer de esa información en cualquier sitio y con cualquier dispositivo y éstas son las variantes que debemos contemplar. Aquí entra en juego la responsabilidad, ejercemos la función de control. La tecnología nos sirve para comprobar si alguien que no debe accede a la información o si se ha saltado los límites adecuados, para controlar las posibles incidencias. Esto llega en un momento en que todos los que damos servicio a usuarios debemos tener en cuenta hasta qué punto se puede entorpecer el negocio si ponemos muchos controles. La dinámica de la empresa te exige un nivel de riego que debes asumir”.



Protección de la información

Para Manuel Cabrera, del Ministerio de Sanidad, Servicios Sociales e Igualdad, “es necesario proteger la información pero también aprovechar la que tenemos. En las AAPP necesitaríamos contar con una oficina técnica que tuviera competencia sobre toda la información para así disponer de una visión global, no solo de los datos sino también de los procesos. Alguien debería, con las herramientas adecuadas, trabajar sobre ese conocimiento y ver cómo se puede mejorar su gobierno. Buscar un hilo conductor con la continuidad del negocio en primer lugar”. Miguel Ángel Rodríguez, del Ministerio de Industria, Energía y Turismo, explicó por su parte la separación de funciones: “La situación ideal es tener un área de seguridad dependiente de los niveles más altos de la organización. Estamos en un momento disruptivo porque hay que mitigar los riesgos y asumirlos. Si bien hace unos años la legalidad era lo más importante, ahora es el principio de eficiencia lo que complica las cosas, aunque también genera oportunidades. Dispongas o no de gobierno de la información, las tendencias de mercado son mucho más rápidas de lo que nosotros podemos asumir; siempre vamos por detrás de las situaciones que se nos presentan pero es nuestra forma de trabajar y debemos asumir un cierto nivel de exposición”.



Protocolos y normativa

Fernando Martín, del Tribunal de Cuentas, indicó que en su organización tienen “un protocolo que hay que seguir desde todas las áreas. Trabajamos dentro de un entorno colaborativo y cualquier elemento que sea susceptible de crear un riesgo tendrá que pasar por un sistema para controlar que exista un orden jerárquico para garantizar quiénes son los responsables. La LOPD nos obligó a clasificar la información pero en el día a día hay errores humanos que no están recogidos y para eso están las auditorías”. Ramsés Gallego, de Quest Software afirmó que hay un factor que no podemos olvidar, el cultural. “Pensamos demasiado en seguridad y siempre asociada a prohibir, denegar y bloquear, cuando la realidad es que tiene como objetivo facilitar, garantizar, autentificar el correcto acceso al dato. En demasiadas ocasiones se le pide a TI que dé el acceso y con nuestra tecnología queremos que sea Negocio quien dé acceso al dato. El dueño de ese dato no pertenece a TI ni al departamento legal sino al área de negocio y es ella quien decide quién accede a él”.



Incremento de los presupuestos

Para Femando Martín, del Tribunal de Cuentas, si se quiere llegar a altos niveles de seguridad es necesario habilitar presupuestos especiales, “pues aunque la seguridad al 100% es imposible, sí hay que minimizar al máximo los riesgos”. Conseguir que negocio sea el área que marque las prioridades de seguridad y que TI ofrezca los servicios necesarios para garantizarla y los nuevos retos que han aparecido con la llegada de la nube y la irrupción de los nuevos dispositivos son áreas de trabajo que marcarán el futuro en este sentido.