Hace más de un año que Mar García Maroto se unía a Okta, empresa experta en la gestión de identidades y accesos (IAM), donde hay una oportunidad de mercado de 13.400 millones de dólares, según Markets&Markets millones de dólares. Los ingresos de la compañía han crecido una media anual que supera el 35% entre el año fiscal 2021 y el 2024; acumula 18.000 clientes, entre los que se cuenta a OpenAI, la responsable de ChatGPT y caso de éxito de Okta Customer Identity Cloud, una solución de autenticación en modo autoservicio que los desarrolladores de OpenAI utilizaron para fortalecer los requisitos de identidad de los clientes de la empresa.
Antes de entrar en Okta, Mar García Maroto estuvo durante más de once años en Citrix, una compañía conocida sobre todo por su tecnología de virtualización. Lo primero que le preguntamos es qué fue lo que más le sorprendió del mercado de seguridad de la identidad. “Me sorprendió la heterogeneidad en el grado de madurez”, dice, explicando que, mientras que algunas organizaciones colocan la identidad como la pieza angular de su estrategia de seguridad, otras están menos maduras.
«después de que una persona accede a un recurso, hay mucho más»
Lo que es cierto es que el mercado de seguridad de la identidad es un mercado complejo, con multitud de elementos o tecnologías a tener en cuenta. No solo hablamos de los tradicionales IAM (Gestión de identidades y Accesos) y PAM (Gestión de Identidades y Accesos Privilegiados), sino de gobierno de la identidad, de autenticación, incluso de gestión de certificados que autentiquen a las máquinas… Tradicionalmente estos pilares eran piezas separadas pero ahora, cuando hablamos de identidad “ya hablamos de una visión más holística y unificada”, comenta Mar García Maroto, añadiendo que una de las misiones de la compañía es colaborar con partners, empresas y organizaciones para que estén al día de lo que pasa en el mercado”. Y lo que pasa es que “no tiene sentido tener un proyecto de PAM sin tener una estrategia de identidad unificada. Y lo mismo pasa con el gobierno de la identidad o con la gestión de accesos”.
Ese entorno unificado de la identidad es, en opinión de la directiva de Okta, la punta de lanza de la seguridad, “tanto para nuestros trabajadores como para nuestros clientes”, sobre todo si se tiene en cuenta que el volumen de ataques contra la identidad sigue en aumento.
La tendencia es contar con una plataforma de gestión de identidades que te gestione todo el ciclo de vida de la identidad y que tu plataforma de identidad “sea capaz de compartir telemetría y de hablar con los mejores de cada ámbito para que tu ecosistema de ciberseguridad sea el más potente”. Y esto significa, añade Mar García Maroto, “que debemos tener esa alianza con nuestros partners, tanto a nivel producto como a nivel mercado, para ofrecer ese ecosistema unificado de seguridad. Estas son las prioridades que nos estamos encontrando en el mercado”.
Habla de plataforma unificada porque, después de que una persona accede a un recurso, hay mucho más, dice Mar García mencionando el Threat Detection “para saber lo que está ocurriendo a través del comportamiento de un empleado”; mencionando herramientas resistentes al phishing, capaces de detectar si alguien está emulando tu interfaz de acceso para que no puedas introducir tus credenciales; mencionado la evolución hacia soluciones passwordless. Habla la responsable de Okta en España de una herramienta consolidada, o plataforma, capaz de tener automatización, gestionar todo el ciclo de vida de un usuario, desde el onboarding hasta que el usuario abandona la compañía, “y al mismo tiempo no solo ser capaces de definir quién accede a qué, sino tener grano fino de autorización dentro de esas aplicaciones”.
Identifica Mar García varias piezas clave en la oferta de Okta. Una de ellas son las alianzas tecnológicas “con los mejores de cada categoría”, con los que se comparte telemetría “para generar un ecosistema mucho más robusto para nuestros clientes”. Al mismo tiempo, “somos una solución neutral” en tanto en cuanto “no te obligo a elegir una determinada solución adicional a la identidad, sino que nos integramos. Tenemos más de 7000 integraciones”.
Cuando planteamos los retos a la hora de gestionar identidades y accesos, diferencia Mar García Maroto dos casos de uso diferenciales. Uno es la gestión de identidades de los clientes, lo que se conoce como CIAM (Customer Identity and Access Management), donde los retos son diferentes porque no solo hay que tener en cuenta la seguridad de la identidad, sino la experiencia del cliente, la disponibilidad de la plataforma. Para poder ofrecer un buen servicio en este apartado Okta compró, en marzo de 2021, Auth0, líder en la gestión de identidades de clientes, donde lo que están pidiendo los clientes es “que la herramienta sea capaz de detectar cuando están intentando atacar la identidad de sus clientes con bots o credencial stuffing, ser capaces de poner múltiples factores de autenticación también para los clientes, no solo para tus empleados”.
2021 fue también el año en el que la compañía anunció su propuesta de PAM y de IGA (Identity Governance Administration), haciendo que su mercado potencial pasara ser una oportunidad de 80.000 millones de dólares. Explicaba la compañía que las soluciones tradicionales de gestión de acceso privilegiado son demasiado frágiles para adaptarse a los tipos de recursos y usuarios en constante cambio en las organizaciones, y que la nueva propuesta permitía a las empresas aplicar políticas de seguridad detalladas basadas en usuarios y roles desde un sistema central para que puedan gestionar quién tiene acceso a qué a nivel de infraestructura. También ayuda a mejorar el cumplimiento al vincular los inicios de sesión a usuarios específicos.
“somos una solución neutral”
La expansión de la plataforma de identidad de Okta a IGA y PAM ayudó a acelerar el crecimiento y fortalecer la posición competitiva de la empresa, que ya contaba con Identity Threat Protection para impulsar el crecimiento
Durante nuestra entrevista, comentaba Mar García Maroto que cuando se trata de gestionar las identidades y accesos de la fuerza de trabajo, uno de los retos es la consolidación. Se demanda una gestión de identidades “que me acompañe en todo el ciclo de vida de la identidad y se integre con el resto de las soluciones de mi ecosistema”.
“Okta está cambiando el juego con nuestro enfoque de plataforma unificada”. Lo decía Todd McKinnon, CEO y co-fundador de la compañía, durante la presentación de los resultados correspondientes a su cuarto trimestre. Preguntamos a Mar García Maroto por esta declaración y lo que nos asegura es que la neutralidad, automatización y capacidad de orquestación son las principales fortalezas de la plataforma de la compañía, a lo que se suman otros elementos también mencionados anteriormente, como las alianzas tecnológicas “con los principales proveedores de soluciones del ecosistema de ciberseguridad para incrementar la telemetría que compartimos y estar más preparados para detectar esas potenciales amenazas que pueden que pueden estar ocurriendo en el cliente”.
También se anunciaba recientemente la iniciativa Okta Secure Identity Commitment, que resumen Mar García Maroto como “el compromiso de Okta no solo con sus clientes, sino con la sociedad y con la industria, para trabajar contra los ataques de identidad. Un compromiso basado en cuatro pilares: innovación continua, reforzar nuestra infraestructura corporativa, promover las mejores prácticas de los clientes para ayudar a garantizar que estén mejor protegidos, y elevar el nivel de conocimientos y seguridad de nuestra industria en general para que esté más protegida contra ataques de identidad”.
El passwordless, el fin de las contraseñas es, en opinión de Mar García Maroto, algo mucho más realista de lo que se piensa. Asegura también que la autenticación biométrica ya es una realidad, y que “cuando hablamos de factores phishing-resistant también hablamos de passwordless. De hecho, el 100 % de los empleados de Okta trabajamos con soluciones que son phishing-resistant”, comenta la directiva. En los entornos de clientes asegura que las passkeys, un tipo de autentificación sin contraseña promovido por el W3C y la Alianza FIDO, son también una realidad. Desde Okta “ayudamos a nuestros clientes en ese viaje hacia el passwordless”, comenta Mar García.
“Okta IA es la inteligencia artificial para la identidad”
Si algo hay heterogéneo es la identidad. No solo hablamos de empleados, colaboradores y clientes, en tanto en cuanto son humanos, sino las identidades de las máquinas, de los servicios o, en última instancia, de las inteligencias artificiales. Asegura la responsable de Okta en el mercado de Iberia que la perspectiva de plataforma significa ser capaces de gestionar todas esas identidades, y que cuando hablamos de Inteligencia Artificial debemos entender que la IA también está al alcance de los malos, que la están utilizando para emular una identidad a través de deepfakes. “Yo tengo que garantizar que tú eres tú, ¿y cómo lo garantizo? Tomando una serie de medidas para entender a qué vas a acceder, desde dónde estás accediendo… y, si tenemos alguna duda, voy a pedirte más factores de autenticación”, asegura la directiva.
Añade también Mar García Maroto que la IA es tan buena como los datos con los que se entrenan los algoritmos. Okta AI, que la directiva define como “la inteligencia artificial para la identidad”, está entrenada con todo ese conocimiento de más de una década de experiencia, con miles de millones de inicios de sesión y, en general “todo lo que hemos aprendido sobre el uso, las políticas de acceso, los patrones, las amenazas, las señales de riesgo, las integraciones y más, es lo que informa a nuestra tecnología y permite tomar acciones en tiempo real”.
La Inteligencia Artificial no sólo está en Okta IA, sino en otras innovaciones, como Okta Identity Threat Protection, un producto lanzado en octubre de año pasado y que incorpora IA para prevenir y responder a amenazas de manera más rápida, “evaluar los riesgos no solo desde el punto de vista de la autenticación, sino evaluar todo el ciclo de vida de ese usuario logado para que, si se detecta una amenaza, se puede hacer lo que hemos llamado Universal Logout para sacar a ese usuario de todas las aplicaciones. Y esto es inteligencia artificial”.
Recuerda Mar García Maroto que hace más de cuatro años que la compañía tiene presencia en España, donde la estrategia está completamente alineada con la estrategia corporativa: evolucionar de la mano de nuestros clientes y reforzar nuestras alianzas a nivel local, tanto con este ecosistema de alianzas tecnológicas como alianzas a nivel ecosistema de canal de distribución. Respecto a esto último, apuesta Okta por una estrategia Channel First y por ampliar ampliar y fortalecer los lazos con el canal en nuestro país.
