Gestión de identidades y gobernanza

Ya se trate de las relaciones internacionales entre Estados o de proteger los hogares de los robos y las redes corporativas de los ciberdelincuentes, la seguridad desempeña un papel destacado en la vida cotidiana.

A las redes corporativas se les aplica una premisa similar a la de la propia puerta de casa: no hay garantías y quienes no se ocupan de su propia seguridad de forma coherente acabarán, en el peor de los casos, con la peor parte. Mientras que las consecuencias de un robo en la propia casa son en gran medida previsibles -y normalmente las paga la compañía de seguros-, una planificación e implementación negligentes de la propia ciberseguridad pueden conducir rápidamente a un daño inmenso y a una pérdida de reputación de gran alcance para las empresas.

Dado que muchas empresas están trabajando actualmente en la implementación de nuevos conceptos para su propia arquitectura de TI como parte de su transformación digital, las cuestiones de ciberseguridad están entrando cada vez más en el punto de mira de los responsables y tomadores de decisiones.

Por ejemplo, si parte de las aplicaciones y bases de datos se cambian a proveedores de nube tradicionales como parte de un cambio de los sistemas y entornos SAP utilizados anteriormente a S/4 Hana, surgen de forma natural vulnerabilidades potenciales dentro de la arquitectura planificada.

Mientras que en el pasado, por ejemplo, todas las bases de datos y aplicaciones estaban protegidas por su propio cortafuegos en el marco de soluciones in situ dentro de la propia red de la empresa, surgen diversas dificultades debido a la externalización y la expansión, que deben aclararse en el marco de las evaluaciones de ciberseguridad. Una situación especialmente crítica se produce cuando en la empresa también se procesan datos de terceros e información personal.

[adrotate banner="284″]

Los tres pilares de la ciberseguridad en entornos híbridos

Para evitar el acceso no autorizado a su propia arquitectura e infraestructura de TI, los responsables deben centrarse en tres pilares en particular y desarrollar las correspondientes estrategias de integración en el proceso de transformación digital.

Dado que los ciberdelincuentes utilizan todas las posibilidades disponibles para comprometer una red, es importante desarrollar directrices claras de autenticación. Éstas regulan la comunicación dentro y fuera de la propia infraestructura de la empresa y, en última instancia, también familiarizan a los empleados con las directrices de ciberseguridad mediante una formación periódica.

Para garantizar que sólo las personas autorizadas tengan acceso a los datos y aplicaciones de una organización, hay que encontrar un enfoque que, por un lado, entorpezca lo menos posible el trabajo de los empleados debido a los repetidos procedimientos de inicio de sesión y, por otro, sea lo suficientemente seguro como para garantizar que la afiliación real a la empresa siga estando garantizada. Las soluciones de inicio de sesión único, por ejemplo, pueden ser un enfoque adecuado en este caso.

En cuanto al flujo de datos, que también debe poder realizarse fuera de la propia red de la empresa, la selección de posibles soluciones es a veces más difícil. Lo que es seguro, sin embargo, es que el flujo de datos debe estar protegido en todo momento y disponer de cifrado de extremo a extremo.

Si se prevé el uso de un gran proveedor de servicios en la nube, las estructuras WAN redundantes son una buena solución. Para los empleados que trabajan a distancia, los túneles VPN cifrados de extremo a extremo pueden ser una solución adecuada.

Mientras se aplican estos dos pilares centrales de la ciberseguridad mediante estrategias adecuadas, los empleados deben adaptarse a la nueva infraestructura tecnológica. Además de la formación periódica de los empleados sobre el tema de la ciberseguridad, debe prestarse especial atención a que todos los empleados conozcan las ventajas de las nuevas aplicaciones y comprendan su funcionamiento.

Al igual que ocurre con todas las demás áreas empresariales, también es cierto para las TI que los empleados son el eje del éxito empresarial. En consecuencia, también son un activo esencial en lo que respecta a la estrategia de ciberseguridad de una empresa y no deben pasarse por alto en la planificación. En última instancia, los aumentos de productividad deseados sólo pueden lograrse mediante empleados que trabajen con éxito con las soluciones y aplicaciones correspondientes.

A través del proceso de transformación digital, las empresas pueden crear un inmenso valor añadido para sus propios empleados y procesos. Sin embargo, muchos responsables se toman a la ligera la planificación de una estrategia de ciberseguridad que funcione y no son conscientes de las posibles amenazas.

En el peor de los casos, se anulan directamente las ventajas obtenidas y se dilapida la confianza en la marca construida durante años. Concentrarse en los tres pilares más importantes de la ciberseguridad puede remediarlo. Además, los responsables deben ser siempre conscientes de que una estrategia una vez establecida puede resultar inútil contra nuevas formas de ataque en pocos años si no se sigue desarrollando de forma coherente. Confiar en supuestos logros del pasado es, por tanto, tan peligroso en caso de duda como dejar la propia puerta de entrada abierta de par en par.

Entrevista: La ciberseguridad desde la perspectiva del usuario

Señor Lindackers, Barmer utiliza desde hace tiempo un sistema central de gestión de identidades. Cómo surgió la cooperación y qué proyectos se han realizado ya juntos?

LindackersContamos con un amplio entorno de sistemas locales SAP en el que se almacenan varios miles de funciones y empleados.

Por tanto, un paso obvio era utilizar también este entorno de sistemas para gestionar los derechos de acceso y las autorizaciones generales mediante SAP Identity Management, con el fin de cubrir los aspectos centrales de la ciberseguridad.

En el curso de una licitación, empezamos a trabajar con los empleados de Devoteam. Desde 2016, hemos portado sucesivamente las funciones y la asignación de autorizaciones de todos los empleados a la gestión central de identidades de SAP.

¿Qué dificultades encontró durante el cambio?

LindackersEn cualquier caso, había que garantizar un alto nivel de seguridad en el manejo de los datos pertinentes. Una gran parte de las autorizaciones (por ejemplo, asignaciones de unidades y funciones SAP) se derivan automáticamente a través de la gestión organizativa, pero aún teníamos que recurrir a aprobaciones manuales de varios niveles por parte de los responsables de línea y los titulares de funciones especiales.

Entrevista con Benjamin Lindackers, Jefe de Equipo del Centro de Competencia SAP de Barmer

¿Qué ventajas le ha aportado la implantación de SAP Identity Management?

LindackersDonde antes tramitábamos las solicitudes por escrito en formato físico, ahora podemos confiar en flujos de trabajo digitales automatizados que agilizan las aprobaciones y garantizan el cumplimiento de las políticas de la empresa en todo momento.

Además, hemos establecido un proceso de recertificación, de modo que las asignaciones manuales tienen que validarse de nuevo al cabo de un año. En conjunto, hemos conseguido mucho y estamos muy satisfechos con los resultados, tanto por parte de la dirección como del personal.

La pandemia del Covid 19 ha creado sin duda nuevos retos en este ámbito. En este contexto, ¿desempeña también para usted un papel cada vez más importante el tema de la nube?

¿Cuáles son las ventajas de una asociación de este tipo?

LindackersLa pandemia ha planteado probablemente retos para todos los sectores. Mientras la rutina de la oficina tradicional se trasladaba a la oficina en casa en muy poco tiempo, en nuestra empresa también se realizaban en segundo plano los trabajos necesarios en la infraestructura.

Con la ayuda de nuestros socios, conseguimos establecer permisos para todos nuestros empleados en un plazo muy ajustado. También conseguimos establecer permisos para las herramientas de colaboración digital e integrar al personal externo en nuestra infraestructura digital.

En un sector tan sensible a la privacidad como el nuestro, las aplicaciones en la nube fueron vistas inicialmente con ojos críticos durante mucho tiempo. Sin embargo, cada vez observamos más un replanteamiento debido a la pandemia, y también a la disponibilidad de soluciones cada vez más seguras. Debido a la información y los datos sensibles con los que trabajamos, la ciberseguridad es una prioridad absoluta.

¿Qué novedades y planes en materia de ciberseguridad tiene el
¿Barmer para el futuro?

LindackersBasándonos en nuestra experiencia de los últimos años, una de nuestras principales preocupaciones es aumentar la automatización de la gestión de las autorizaciones. Queremos reducir al máximo los procesos manuales y hacerlos así aún más eficientes.

Además, actualmente estamos trabajando en la gestión de nuestros sistemas SAP de desarrollo y control de calidad a través de una instancia de gestión de identidades independiente.

Este proyecto también tiene sus propios requisitos en términos de directrices corporativas y gobernanza. La migración a la nube es otro proyecto en el que trabajamos cada vez más.

Gracias por la entrevista.