La mala comunicación afecta la industria de identidad y seguridad
22 March, 2016
Por: Zack Martin
Esto lo escuché por casualidad en una reciente conferencia de seguridad:
“¿Estamos seguros que todo ese asunto de la nube es algo real?”
Cuando escuché eso, me reí entre dientes. Por supuesto que es real, la nube permite que las compañías hagan cosas que normalmente no estarían en capacidad de hacer, y que saquen ventajas de las economías de escala. Para un negocio pequeño, en lugar de tener una computadora dedicada y encerrada en un closet al arbitrio de la tecnología de telecomunicaciones de consumo, pueden externalizar operaciones para aplicaciones, servicios y sitios web alojados en máquinas virtuales en todo el mundo de manera segura y con abundancia de redundancias. La nube no es algo pasajero.
Se pone de relieve un problema sobre el modo en que las compañías tecnológicas – y en particular las que operan en identidad y seguridad – informan sobre sus productos. Sin duda, el señor que hizo el comentario era mayor y posiblemente del tipo de persona que espera en fila en el aeropuerto en lugar de descargar un pase a bordo o una aplicación, pero eso no quita el hecho de que la industria hace una pobre labor explicando las tecnologías.
Yo leo un montón de notas de prensa y artículos que lanzan cada día. Lo siguiente es típico de lo que recibo en mi bandeja de entrada: “Nuestra solución de gestión de identidad redefine el panorama IAM proporcionando el primer método completamente automatizado de la industria para asegurar los recursos de red mediante conjuntos únicos de datos definidos por el cliente”.¿Qué significa eso?
Esto es lo que necesito: “Nuestra solución ayuda a las empresas a integrar a los empleados nuevos y proporcionar de manera segura el acceso a las instalaciones y las redes. La compañía X ha implementado el sistema y esto ha contribuido en asegurar datos sensibles, redujo el tiempo que le toma a los empleados acceder a los recursos, y consolidó múltiples credenciales en una sola”.
Las notas de prensa, los libros blancos y otros materiales de los proveedores en el mercado de identidad necesitan enfocarse en los problemas que esas tecnologías pueden resolver. Hay que dejar de escribir cómo la tecnología es la “primera”, “la más rápida” o la “líder de la industria” y decirme, a mí y a los potenciales compradores, lo que la tecnología puede lograr.
En la edición de verano de Re:ID, el artículo de portada examina los sistemas de control de acceso físico basados en nube. El control de acceso físico pudiera ser una de las últimas industrias en adoptar la nube, pero como podrá leerse en el artículo, esta nueva generación de sistemas está introduciendo algunos avances impresionantes.
En seguridad física, el reto en torno a introducir la innovación ha sido desde hace mucho tiempo convencer a los comerciantes y a los integradores. Estos son los que ejercen la mayor influencia en cuanto a recomendar sistemas, pero ocurre con demasiada frecuencia que se apegan a lo que ya conocen, una tecnología establecida hace tiempo y quizás en proceso de envejecer. Educarlos acerca de los beneficios de los nuevos sistemas y tecnologías puede ayudarlos a ellos y a sus clientes.
Un reto similar en cuanto al mensaje que se emite, puede encontrarse en nuestro artículo sobre la migración hacia licencias de conducir móviles. Fue uno de los temas más candentes de 2015, y los proveedores están luchando por tener sus productos listos para cuando los estados lleguen a conclusiones de cómo implementar las nuevas credenciales.
Buena parte de los primeros mensajes sobre las licencias de conducir móviles se ha enfocado hacia la idea de deshacerse de las billeteras, planteando que eso “es lo que quiere la gente joven”. Esto puede ser veraz hasta cierto punto, pero eso solo no es suficiente. A los estados no les interesa reducir el volumen de la billetera o deshacerse de ella. Los mensajes tienen que explicar a los departamentos de vehículos y las agencias de gobierno en qué forma esto ayudará a resolver sus problemas. También tienen que informarle a los consumidores por qué les resultará de ayuda poder disponer de una aplicación de licencia de conducir.
La ciberseguridad sigue siendo un problema enorme y, de acuerdo a las estadísticas, una cifra tan elevada como las dos terceras partes de todas las violaciones de datos son causados por credenciales robadas o usadas indebidamente. Las compañías de identidad están gastando muchísimo dinero para tratar de venderle sus sistemas a las empresas, pero si observamos el estado de la ciberseguridad, no parece estar yendo muy bien.
Una razón importante para esa brecha es que la identidad es difícil de vender. Cuando se trata de obtener financiamiento de nivel C es fácil explicar que hace un firewall o cómo puede ayudar un sistema de detección de intrusos. Pero los sistemas de gestión de identidad y acceso son más difíciles de explicar y por eso se sitúan más abajo en la lista de financiamiento.
Esto podría cambiar si las compañías de identidad hicieran una labor diferente de comunicación sobre sus productos. Con demasiada frecuencia la conversación gira en torno a la tecnología y no a los problemas que ésta puede resolver. Hasta que los vendedores comiencen a hablar sobre identidad en términos de resolver los problemas que enfrentan las empresas, seguirá siendo difícil de vender.
“Nuestra solución puede registrar a un nuevo empleado en un sistema de gestión de identidad y acceso escaneando su licencia de conducir o su pasaporte. Con algunos clics en la pantalla se le puede dar acceso al empleado a las necesarias redes, aplicaciones y ubicaciones físicas junto con un token de autenticación fuerte a elección de la compañía”. Esto ayuda a una compañía a comprender lo que puede hacer un sistema de gestión de identidad y acceso.
La identidad y seguridad es una pieza integral del complejo rompecabezas de la ciberseguridad. Los proveedores necesitan comunicarse mejor para que las organizaciones comprendan lo que hacen realmente los sistemas y puedan obtener el financiamiento requerido para resolver los problemas.