Tras una serie de filtraciones de datos de alto perfil que se originaron a través de su proveedor de tecnología de gestión de identidad y acceso (IAM), Okta presentó un Compromiso de Identidad Segura a principios de 2024, redoblando la apuesta por medidas como el fortalecimiento de su infraestructura y la adopción de políticas internas de seguridad por diseño, y defendiendo las mejores prácticas de los clientes. Como parte de este impulso, Okta invirtió millones de dólares en su programa de responsabilidad social corporativa (RSC) preexistente, Okta for Good, para ampliar la asistencia en materia de seguridad a organizaciones sin fines de lucro y no gubernamentales (ONG) que trabajan en áreas como el cambio climático o la justicia social. Entre los beneficiarios de Okta for Good se encuentra el Consejo Noruego para los Refugiados (NRC), una de las organizaciones benéficas de refugiados más antiguas de Europa, cuyos orígenes se remontan a 1945, cuando millones de personas desplazadas se desplazaban por Europa después de la Segunda Guerra Mundial. En el centro del trabajo del NRC se encuentra el principio de proteger los derechos de las personas desplazadas y vulnerables en períodos o lugares de crisis. Lo hace a través de programas de ayuda activa que asisten a los refugiados en sus países de acogida, apoyando el trabajo de las Naciones Unidas (ONU) y otras ONG, y abogando en nombre de los necesitados para defender sus derechos y desarrollar soluciones duraderas y a largo plazo para la crisis mundial de refugiados. Trabaja en todo el mundo, desde Afganistán hasta América Central, Gaza, Myanmar, el Sahel y el África subsahariana, y Ucrania, por nombrar solo algunos, llegando a 10 millones de personas cada año a través de alrededor de 15.000 trabajadores respaldados por un presupuesto anual de 750 millones de dólares. Tiene su sede en Oslo, aunque su equipo técnico también trabaja desde Berlín, y su personal de TI se envía con frecuencia a zonas de conflicto, lo que, según el CIO Pietro Galli, es tanto un desafío como una oportunidad para acercarse a los problemas reales. Galli, un veterano miembro del NRC, pasó más de una década en el campo, incluyendo períodos en la República Centroafricana, la República Democrática del Congo, Sudán del Sur y Uganda en África, Kosovo en Europa y Jordania y Líbano en Oriente Medio, antes de hacerse cargo de la función de TI hace casi una década. “Cuando llegué al departamento de TI en 2015, lo que me pidieron que aportara fue ser complementario a la misión del NRC y llevarla más allá a través de la tecnología”, dice. “No estamos implementando tecnología por el bien de la tecnología, estamos implementando tecnología para permitirnos llegar a más personas, para permitirnos ser más efectivos y eficientes, y Okta cumple muy bien con eso”. Desafíos cibernéticos para las ONG En conjunto, las organizaciones benéficas se enfrentan a enormes riesgos de los ciberdelincuentes y otros actores amenazantes. Las ONG a menudo administran sus activos de TI con un presupuesto limitado y sus trabajadores voluntarios no siempre comprenden la necesidad de una buena higiene cibernética, lo que las deja expuestas a los ciberdelincuentes con motivaciones financieras. Además, las ONG con intereses que entran en conflicto con gobiernos hostiles pueden enfrentar interferencias específicas de piratas informáticos de estados nacionales a cuyos empleadores han traicionado. En el caso del NRC, estos incluyen tanto amenazas de estados nacionales como fuego cruzado de guerra cibernética, que Galli ha visto tanto en Gaza como en Ucrania. Siendo realistas, dice, el NRC no puede hacer mucho para protegerse de tales amenazas, por lo que aquí recurre a sus proveedores de seguridad, como Okta. Al mismo tiempo, la NRC también se enfrenta a las mismas amenazas comunes que enfrentan las ONG y las empresas más pequeñas. “Podrían ser ataques oportunistas, por ejemplo, que nuestro personal caiga en la trampa de correos electrónicos de phishing… que revelen credenciales o descarguen malware, [so] “Podríamos tener partes de nuestros trabajadores, ya sean individuos o grupos, en riesgo”, dice Galli “No somos un actor pequeño y, por lo tanto, también somos objetivo de ataques de fraude y estafa. Somos, como todas las empresas, víctimas potenciales de errores internos. “Estos son los grandes desafíos de la seguridad cibernética. Agregaría que hacemos esto en el contexto de conflictos donde existe una infraestructura deficiente o inexistente: trabajamos en países donde, en tiempos de conflicto, los gobiernos desconectan o controlan fuertemente Internet. Tenemos que operar en ese entorno: puede que no tengamos red eléctrica, por lo que dependemos de generadores o energía solar, dependemos de la conectividad satelital, que tiene alta latencia y bajo ancho de banda”. ‘No hacer daño’ El trabajo del NRC con los gobiernos también lo pone en riesgo de intrusión dirigida por actores maliciosos que buscan acceder a funcionarios gubernamentales. Y, por supuesto, su trabajo con refugiados, que habiendo perdido sus hogares y medios de vida son personas altamente vulnerables, y también pueden ser disidentes buscados por regímenes desagradables, significa que sus prácticas de protección de datos deben ser impecables. “Okta for Good nos ha ayudado a desarrollar principios y material de formación para nuestro personal en torno a la responsabilidad de los datos. Para nosotros, la responsabilidad va más allá de la protección de datos”, explica Galli. “Esa responsabilidad, en pocas palabras, es no hacer daño de forma digital. ‘No hacer daño’ es un principio introducido en el trabajo humanitario que significa que, hagas lo que hagas, no debes añadir más daño al que ya han sentido las personas necesitadas. “Esto es aún más importante cuando aplicamos lo digital a contextos en los que las personas no son nativas digitalmente, o su madurez o comprensión del uso de herramientas digitales puede ser inexistente”. “Okta for Good nos ha ayudado a desarrollar principios y material de formación para nuestro personal en torno a la responsabilidad de los datos. Para nosotros, la responsabilidad va más allá de la protección de datos” Pietro Galli, Consejo Noruego para los Refugiados Galli relata una experiencia en lo que hoy es Sudán del Sur en la década de 2000: “No hay electricidad [but] Hay un pequeño recinto de la iglesia con un pequeño cibercafé, y una mujer con un bebé a la espalda, que ni siquiera tiene zapatos, es invitada a hablar con un pariente. “Ella no sabe lo que eso significa, pero de todos modos viene a este pequeño edificio que tiene un generador y una conexión por satélite. Se sienta frente a un ordenador, que nunca había visto antes, y de repente se oye la voz de un pariente que se ha ido a los EE. UU. Ese es el contexto en el que operamos: ella no tenía ni idea de lo que era la tecnología”. Por supuesto, las cosas han avanzado rápidamente desde entonces. Una mayor parte del trabajo del NRC se ha vuelto digital y esto significa que debe asumir más responsabilidad si quiere proporcionar ayuda a las personas que están en su punto más bajo. O, como dice Galli: “Tenemos el poder. Es una relación desigual, y tenemos que reconocerlo y ser muy conscientes de ello. “Pero también operamos en contextos altamente digitales. En Ucrania, por ejemplo, después del inicio de la invasión, utilizamos herramientas digitales completamente en línea para registrar a más de medio millón de refugiados a través de chatbots y comunicaciones bidireccionales proporcionadas por algunos de nuestros otros socios tecnológicos. Esa fue la primera vez que lo hicimos a esa escala, y nos permitió distribuir rápidamente efectivo a través del sistema bancario”. Okta for Good El recorrido general de TI del NRC es comprensiblemente muy diferente del emprendido por una organización del sector privado. Como dice Galli: “No diría que fuimos un gasto general, pero definitivamente no somos el área de inversión principal. Si nos comparas con cualquier otra empresa, la cantidad de dinero gastado en tecnología es significativamente menor”. Okta, explica, permite a la organización hacer más, mejor y más rápido con sus recursos limitados en circunstancias difíciles sin tener que invertir sumas significativas, permite a su personal ahorrar tiempo en tareas repetitivas de TI y concentrarse en sus esfuerzos vitales en todo el mundo. Pero va más allá de eso. “Cuando hablas con Okta, no es solo una conversación comercial lo que estamos teniendo. Okta se compromete a comprender nuestra misión y lo que estamos tratando de hacer”, dice Galli. “Fui a Oktane [Okta’s annual customer conference] y estaba en el escenario; se nos dio la oportunidad de contar nuestra historia. Esa es una plataforma importante. “Okta ejecuta una serie de programas. Uno al que nos hemos postulado en el pasado es un programa de liderazgo tecnológico; el otro fue una oportunidad de subvención donde presentamos nuestras ideas de responsabilidad de datos y obtuvimos una subvención para desarrollar una serie de capacitaciones sobre responsabilidad de datos que acordamos con Okta ofrecer para el sector. “La idea es que podamos usar el dinero de Okta para hacer cosas que la NRC necesita, pero también que otros en el sector necesitan, y las ponemos a disposición de forma gratuita. “Okta for Good te ayuda a poder hacer cosas que te gustaría hacer, pero que nunca podrás hacer con tus costos operativos. Es una pequeña inversión global, pero tiene que estar orientada a un trabajo específico que puedas llevar a cabo”, dice Galli. Hasta ahora, la NRC ha creado 24 videos de capacitación, que varían en su enfoque y complejidad, algunos básicos y otros más avanzados que analizan cuestiones como trabajar con el Reglamento General de Protección de Datos (GDPR). Está trabajando para que estén disponibles en otros idiomas, incluidos tres de los idiomas de trabajo de la ONU, árabe, francés y español, un proceso que debería completarse a mediados de 2025. Al reflexionar sobre la relación del NRC con Okta, Galli insta a otras organizaciones sin fines de lucro no solo a trabajar en su ciberseguridad, sino también a buscar ayuda y orientación de sus pares. «Si eres una organización sin fines de lucro que comienza este viaje cibernético, comunícate con nosotros, estamos abiertos y listos para compartir, y creo que también hay una buena comunidad para eso», dice. «Puede parecer abrumador, pero para nosotros ha sido un viaje importante». Relación comercial La relación no se trata solo de subvenciones y defensa cibernética: el NRC y Okta también se convirtieron en socios comerciales poco después de que Galli asumiera su papel de CIO. En 2015, el NRC operaba principalmente una infraestructura de TI local, pero la era de la nube estaba comenzando lentamente, que es donde comenzó su interacción con Okta. El NRC ya estaba trabajando con NetHope, una organización del área de Washington DC que conecta a organizaciones sin fines de lucro con empresas de tecnología, y a través de esa conexión Galli se enteró por primera vez de que algunos de sus colegas habían adoptado la tecnología de Okta. Las dos organizaciones se embarcaron en una prueba de concepto, la primera fracasó, pero los intentos posteriores fueron mejores, y así, a partir de un comienzo un poco complicado, el NRC se embarcó en una relación a largo plazo con Okta, al principio migrando alrededor de 1200 usuarios a través de cuatro aplicaciones. Esto ha crecido a 10 000 cuentas de Okta y más de cien aplicaciones en funcionamiento como una organización 100% impulsada por la nube. «Lo que Okta nos ha permitido hacer es escalar sin problemas y rápidamente», dice Galli, «y en los últimos años, hemos notado otros beneficios». Por ejemplo, en 2020, Okta apoyó la implementación de un sistema global de recursos humanos diseñado para supervisar todo el ciclo de vida de un empleado, desde la incorporación y la configuración inicial hasta la finalización de las tareas cuando las personas se van, generando eficiencias significativas y garantizando las salvaguardas de seguridad adecuadas durante todo el ciclo de vida del empleado. Como Okta es una casa de IAM en esencia, esto significa que todas las aplicaciones de NRC están protegidas por autenticación multifactor (MFA) de forma predeterminada, pero Galli también ha utilizado Okta para aplicar políticas de MFA en diferentes contextos dadas diferentes situaciones. Esto podría ser biometría para personal de escritorio en entornos seguros, o algo más básico pero igualmente resistente para aquellos en el campo con conectividad limitada. «Debido a los entornos en los que trabajamos y la amplitud de los contextos, eso ha sido muy útil, y todo se puede gestionar de forma centralizada desde un equipo pequeño, eso también es importante», dice. «Contribuye a mejorar nuestra postura de seguridad». De cara al futuro, afirma, la NRC está intentando trabajar más con socios locales sobre el terreno que pueden tener un mejor acceso que ella y pueden ayudar a ampliar su alcance. Como una mayor parte de este trabajo será de naturaleza digital, Galli espera aprovechar Okta para ayudar a trabajar con otros de una manera que sea a la vez cibersegura y rentable. «Ese es un desafío que esperamos resolver con Okta», dice, «ampliar la seguridad que obtenemos de ellos a nuestros socios en entornos desafiantes y económicamente limitados».