La gestión de identidades, un elemento de seguridad clave en 2023
- Opinión
El mercado de gestión de identidades digitales avanza a paso firme, y el creciente uso del certificado digital así lo corrobora. El esfuerzo de las administraciones públicas por convertir en digitales trámites que antes eran exclusivamente físicos y el deseo de las empresas por ser más eficientes, también en el plano comercial y de relaciones con sus colaboradores están actuando como impulsores. De este modo, y, poco a poco, la utilización del certificado digital se va extendiendo a más departamentos corporativos, ya sea para procesos de firma o autenticación en plataformas internas y externas.
Tribuna de opinión de Daniel Rodríguez, Director General Redtrust
Sobre esto último, cabe destacar como, la creciente adopción de aplicaciones y la contratación de servicio cloud están impulsando el uso de recursos que ayuden a simplificar la experiencia del usuario en Internet. Tal es el caso del Inicio de Sesión Único (SSO), un mecanismo por el cual el usuario solo tiene que identificarse una única vez para acceder a los sistemas de información de la empresa. El usuario debe identificarse empleando un método de autenticación válido que verifique su identidad, como es el certificado digital.
Las capacidades y los beneficios de un sistema de criptografía asimétrica están más que probados, también para el trabajo en remoto. No en vano, con el teletrabajo y la necesidad de incorporar un plan de continuidad de negocio, las compañías han tomado conciencia de la importancia de proteger sus identidades, y esta protección pasa por custodiar sus certificados digitales y por tener una disponibilidad total de los mismos. Crucial es también extender su uso más allá de la autenticación segura en sedes electrónicas a fin de firmar digitalmente con el certificado controlado. Todo con el objetivo de hacer uso de dicho recurso de manera segura y controlada.
Proteger la identidad digital
Ahora bien, ¿cómo proteger este certificado para salvaguardar la identidad digital de la empresa?
Ciertamente, la principal amenaza sigue siendo la vinculación de esa identidad digital con la persona o empresa a la que representa. En el pasado se han buscado soluciones clásicas basadas en mecanismos físicos como pueden ser las smartcards, los tokens o dispositivos que el usuario llevaba consigo. Estos mecanismos de vinculación son muy efectivos, pero su gestión es, en la mayoría de los casos, inviable. La cantidad de problemas que genera para las empresas y los usuarios ha provocado que el mercado demande otros sistemas más cómodos y seguros, tanto para administradores como para usuarios. Así como la centralización, que otorga la misma fiabilidad, añadiendo movilidad y seguridad.
Es importante distinguir entre autorización y autenticación, y poner todos los medios necesarios para que el usuario acceda a sus datos y a su identidad digital: OTP, biométricos, físicos, etc. También, es en este punto donde hay que asegurar que el usuario que está detrás de esa autenticación es la persona correcta, para que, el posterior acceso a los diferentes recursos de la empresa o del propio usuario estén gestionados a partir de esa “autenticación fuerte”. Es en esta fase de autorización donde debemos restringir a qué recursos tiene acceso y a cuáles no.
La identidad digital de una empresa es la firma de la misma y debemos asegurar su uso correcto y tratarla como un recurso más; no todo usuario autenticado puede tener acceso a cualquier identidad digital. Con un sistema descentralizado, esto es muy difícil de gestionar ya que la distribución (tanto en hardware como en software) podía implicar el uso inadecuado de dicha identidad o el uso por personal no autorizado, al perder el control sobre la misma.
Las empresas consideran cada vez más crítico el custodiar sus certificados y tenerlos centralizados en un lugar seguro y cifrado, además de controlar quién, dónde y para qué se están autenticando y firmando.
