‘Es importante distinguir entre autorización y autenticación’ (Daniel Rodríguez, Redtrust)
- Entrevistas
Dice Daniel Rodríguez que la principal amenaza de la identidad digital es vinculación de la mismas con la persona o empresa que representa; que la situación de España en el terreno del certificado digital es totalmente ventajosa respecto a otros países; que a los usuarios el certificado digital les sigue pareciendo un reto, pero que su uso en las empresas se está extendiendo o que el que mundo del IoT también demandará soluciones de gestión de certificado digital.
La identidad ya es digital, el uso de certificados digitales no deja de crecer, el mundo de las cosas conectadas también demanda estos certificados y España es pionera en el uso de estos certificados. Todo esto y algunas cosas más son las que hemos preguntado a Daniel Rodríguez, director general de Redtrust, una compañía española comprada por Keyfactor hace algunos años que proporciona una gestión integral del ciclo de vida de los certificados digitales en las organizaciones.
Este contenido se publicó en el número de mayo de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.
La identidad ya es Digital, ¿cuáles son sus principales amenazas? ¿y los retos a la hora de protegerla?
La principal amenaza sigue siendo la vinculación de esa identidad digital con la persona o empresa a la que representa. En el pasado se han buscado soluciones clásicas basadas en mecanismos físicos como pueden ser las smartcards, los tokens o dispositivos que el usuario llevaba consigo.
Estos mecanismos de vinculación son muy efectivos, pero su gestión es, en la mayoría de los casos, inviable. La cantidad de problemas que genera para las empresas y los usuarios ha provocado que el mercado demandara otros sistemas más cómodos, tanto para administradores como para usuarios. Así como la centralización, que otorga la misma fiabilidad, añadiendo movilidad y seguridad.
Es importante distinguir entre autorización y autenticación, debemos poner todos los medios necesarios para que el usuario acceda a sus datos y a su identidad digital: OTP, biométricos, físicos, etc. Es en este punto donde debemos asegurarnos de que el usuario que está detrás de esa autenticación es la persona correcta. Y así, el posterior acceso a los diferentes recursos de la empresa o del propio usuario deben estar gestionados a partir de esa “autenticación fuerte”, es en esta fase de autorización donde debemos restringir a qué recursos tiene acceso y a cuáles no.
La identidad digital de una empresa es la firma de la misma y debemos asegurar su uso correcto y tratarla como un recurso más, no todo usuario autenticado puede tener acceso a cualquier identidad digital.
Cuál es la situación del certificado digital en España, ¿qué está impulsando su uso? ¿cómo es el perfil de las personas que lo utilizan?
La situación del certificado digital en España es totalmente pionera, la apuesta de la administración pública desde hace años ha hecho que las empresas adopten el certificado digital también de manera interna. Y es que las capacidades y los beneficios de un sistema de criptografía asimétrica están más que probados.
La actual ley europea 910/2014 (eIDAS) ha fortalecido el uso del certificado digital haciéndolo transfronterizo, de manera que la posición que ocupa España en este sentido es totalmente ventajosa respecto al resto de países de la Unión. Esto ha provocado un despegue a nivel europeo en el que las empresas del sector en España se están beneficiando ya que llevan años gestionando estos problemas y buscando soluciones.
En el espectro de personas que pueden hacer uso del certificado hay de todo tipo, pero deberíamos diferenciar entre usuarios particulares y usuarios de empresa.
Al usuario particular le sigue pareciendo un reto tecnológico el uso del certificado digital. En las empresas, precisamente por una buena gestión de la autorización al acceso de esos certificados, más departamentos pueden hacer uso de dicho recurso de manera segura y controlada. Poco a poco se va extendiendo en todos los departamentos, ya sea para compartir información cifrada como para procesos de firma o autenticación en plataformas internas y externas.
¿Cuál es la estrategia comercial de Redtrust?
La centralización y el uso transparente del certificado por parte del usuario final es nuestra piedra angular. A partir de ahí siempre hemos querido ser una plataforma abierta a colaborar con otras empresas para que sus productos puedan hacer uso de los certificados o de los beneficios de la centralización, es lo que hacemos y es lo que sabemos hacer.
Con la adquisición por parte de Keyfactor en 2019 se abrió la puerta a la elaboración de una estrategia conjunta internacional que está generando sus frutos actualmente.
El IoT, las cosas conectadas, también demanda certificados digitales. ¿Trabajan en ello?
Totalmente, es uno de los sectores que va a demandar soluciones en cuanto a la gestión de certificados digitales en el futuro (y actualmente).
El ejemplo claro es la industria de la automoción, donde cada componente de un vehículo está conectado con un ordenador central, para dichas comunicaciones se utiliza un certificado digital, o para asegurar la no manipulación indebida de ciertos componentes.
Esto requiere de una gestión muy detallada de las claves que pueda integrarse dentro de los procesos de fabricación para elaborar un ciclo de vida del certificado totalmente controlado.
Redtrust, como experta en la gestión de certificados digitales, ¿cuál es su principal punto diferenciador de la oferta de la compañía?
Entender las necesidades del cliente de manera global y no particular, para llegar a una solución que beneficie a todos ellos.
El hecho de tener una plataforma cerrada, ya que no hacemos proyectos a medida, favorece la gestión del mantenimiento de la plataforma y garantiza un mejor soporte a nuestros clientes.
Nuestra visión siempre fue ofrecer calidad más que cantidad a nuestros clientes, con el paso del tiempo y la maduración de la empresa hemos incorporado elementos externos a la plataforma en sí, pero que eran requeridos por el mercado, como los cumplimientos de estándares como ISO 27001, o la posibilidad de integrarnos con servicios en la nube como pueden ser los ofrecidos por los fabricantes de HSM como Thales.
¿Qué impacto tuvo la compra de KeyFactor?
¡Tremendamente positivo! Nosotros venimos de un sector como es la ciberseguridad en España y con unos inicios más que humildes donde jamás tuvimos inversión externa más allá de lo que nuestros clientes nos aportaban. El hecho de formar parte de un gran grupo internacional nos ha aportado estabilidad, y potencial de crecimiento.
A su vez, el respeto que demuestra todo nuestro grupo y la comprensión hacia la tecnología desarrollada ha sido clave, es muy importante para nosotros seguir desarrollando nuestra visión de producto y así ha sido siempre.
El hecho de tener además esa visión global de los problemas de las empresas y cubrir con todo el portfolio de productos la mayoría de éstos, alrededor de la gestión de certificados digitales, hace que podamos ofrecer al mercado la solución más completa.
¿Cuáles son sus previsiones para el mercado español?
El mercado español es hoy por hoy uno de los mercados más maduros en cuanto a este tipo de soluciones, y este hecho va a favorecer que se avance siempre un paso por delante de otros mercados.
Ya hay empresas empezando a ver un poco más allá y a darle una vuelta de tuerca más, tanto a la gestión de los certificados digitales como a la del IAM en general. Los nuevos retos, ya no sólo a nivel español sino internacional vendrán con los nuevos algoritmos post-quantum y para ello hay que estar preparado, por eso creo que el mercado español va a ser uno de los mejores en este y en otros muchos aspectos.