A medida que las empresas adoptan IA, arquitecturas nativas de la nube y automatización a gran escala, la identidad ya no es solo una función de seguridad de backend. Se está convirtiendo en la capa de control que determina cómo los sistemas confían, autorizan y observan tanto a humanos como a máquinas. Este cambio está siendo impulsado por dos cambios importantes. Primero, los sistemas empresariales se han vuelto altamente distribuidos a través de plataformas de nube, APIs y servicios. Segundo, el desarrollo asistido por IA y la automatización están acelerando la rapidez con la que los sistemas se construyen e implementan. Juntos, estos cambios están redefiniendo cómo deben implementarse la confianza y el control en entornos modernos. Cuando las salidas generadas por IA interactúan con infraestructura, APIs y flujos de trabajo automatizados, el desafío ya no es solo si los sistemas funcionan, sino si pueden ser confiables, controlados y auditados de manera confiable. Rishav Bhandari ha trabajado en autenticación empresarial, entrega en la nube y sistemas de automatización a gran escala. Su experiencia abarca sistemas IAM a escala empresarial, ingeniería en la nube y entrega de DevOps. Desde su perspectiva, la identidad ya no se trata solo de inicio de sesión y acceso. Se está convirtiendo en la base para la confianza, el control y la responsabilidad en los sistemas empresariales modernos. Las organizaciones que tendrán éxito no serán las que adopten IA más rápido, sino las que construyan capas de control más sólidas en torno a ella.
Por favor, cuéntenos sobre usted y su trayectoria profesional.
He pasado más de ocho años en Infosys trabajando en sistemas empresariales en diferentes dominios. Comencé con gestión de identidad y acceso en Vodafone, manejando millones de autenticaciones de usuarios a escala. Desde allí, me trasladé a la entrega en la nube y transformación digital y, más recientemente, a prácticas de automatización y desarrollo asistido por IA. Lo que me he dado cuenta es que la identidad, la seguridad en la nube y la gobernanza de IA están convergiendo. No puedes hablar de seguridad en la nube sin hablar de identidad. No puedes hablar de gobernanza de IA sin entender ambos. Esa convergencia es lo que hace este momento interesante para la tecnología empresarial.
Ha trabajado en identidad, entrega en la nube y automatización. ¿Cómo ha moldeado esa combinación su forma de pensar sobre la arquitectura empresarial?
Me obligó a ver estas tres cosas como la misma conversación. Al principio de mi carrera, pensaba en la identidad como infraestructura que configuras y mantienes. La nube era solo sobre dónde vivían tus servidores. La automatización era sobre hacer las cosas más rápido. Lo que me di cuenta es que todas se tratan de confianza y control. ¿Cómo confías en que un usuario es quien dice ser? ¿Cómo confías en que un recurso de nube es legítimo? ¿Cómo confías en que una acción automatizada está autorizada? Esas son preguntas de identidad disfrazadas de manera diferente. Cuando lo ves de esa manera, tu arquitectura cambia fundamentalmente.
¿Por qué la identidad se ha convertido en una capa de control central en lugar de solo una función de seguridad de backend?
Dos cosas sucedieron. Primero, los sistemas se distribuyeron. Cuando todo estaba en un centro de datos, la seguridad de red era tu límite. Ahora con la nube, APIs y servicios a través de redes que no controlas, el límite de red no funciona. La identidad se convierte en tu límite principal. Segundo, el alcance de la identidad se expandió dramáticamente. Ya no son solo usuarios. Son servicios hablando entre sí, APIs, trabajos programados, infraestructura como código y sistemas de IA. Todos necesitan autenticación y autorización. Debido a esa expansión, la identidad pasó de ser una preocupación de backend a una arquitectónica que da forma a cómo diseñas y operas sistemas.
¿Cómo está cambiando la identidad a medida que las organizaciones adoptan IA y automatización a escala?
La identidad de máquina se está volviendo tan importante como la identidad humana. Servicios, funciones Lambda y sistemas de IA todos necesitan identidades. El desafío es la escala. Podrías tener cientos de empleados pero miles de servicios y agentes. Gestionar la identidad a esa escala requiere un enfoque completamente diferente. La revocación también es diferente. Cuando un humano se va, revocas el acceso. Cuando un servicio falla, necesitas revocar el acceso en segundos, no en días. Y la responsabilidad es complicada. Con sistemas de IA, necesitas entender si el sistema hizo lo que debía o si alguien lo configuró mal o abusó de él. Eso requiere mejores pistas de auditoría y gobernanza.
¿Cuáles son los mayores riesgos al conectar IA, servicios en la nube y controles de acceso sin una gobernanza sólida?
El mayor riesgo son los puntos ciegos. Alguien implementa un sistema de IA para tomar decisiones, pero nadie entiende las implicaciones de seguridad. El sistema obtiene permisos amplios porque reducirlos parecía complicado. Luego algo sale mal. He visto sistemas de automatización con acceso a bases de datos de producción que podrían causar daños catastróficos si se ven comprometidos. Los fallos de cumplimiento son otro riesgo. Si no puedes auditar lo que hizo un sistema de IA o rastrear decisiones, no estás cumpliendo. También está el bloqueo de proveedor y la falsa confianza, donde piensas que estás seguro, pero tus sistemas no fueron diseñados para IA a escala.
¿Qué significa Confianza Cero en la práctica con sistemas de IA y flujos de trabajo automatizados?
Confianza Cero significa no confiar en nada por defecto, independientemente de dónde venga. Para humanos, significa verificar la identidad cada vez. Para máquinas, significa credenciales de corta duración que expiran rápidamente, por lo que el compromiso está limitado en el tiempo. Para sistemas de IA, significa ser deliberado sobre los permisos. Acceso específico a recursos específicos para acciones específicas, con la capacidad de revocar si el sistema hace algo inesperado. Confianza Cero también significa observabilidad. No puedes aplicarlo si no puedes ver lo que está sucediendo. El desafío con la IA es definir qué aspecto tiene el comportamiento inesperado.
¿Dónde las empresas suelen equivocarse con la identidad, la seguridad en la nube y la gobernanza?
Priorizan la velocidad sobre el control. Otorgan permisos amplios para moverse rápido. Implementan IA con acceso a todo porque reducirlo parecía complicado. Tratan la identidad como una idea tardía, diseñando arquitectura de nube sin pensar en ella, luego intentando añadirla. Otro error es asumir que el proveedor de nube maneja la seguridad. Los proveedores te dan herramientas, pero debes usarlas correctamente. Las organizaciones tampoco invierten en observabilidad hasta que ocurren problemas. Entienden la retención de registros, la gestión de secretos y las pistas de auditoría solo después de que algo falla. El lado humano también importa. La gobernanza no es solo técnica. Se trata de procesos y flujos de trabajo.
¿Cómo deberían las organizaciones equilibrar la seguridad, la velocidad operativa y la experiencia del usuario?
La clave es que la fricción proviene del mal diseño, no de la seguridad. Un sistema seguro bien diseñado hace que hacer lo correcto sea el camino de menor resistencia. Si los registros de auditoría son dolorosos, los equipos los evitan. Si los permisos toman días, los equipos solicitan acceso amplio. Si la revocación es complicada, los equipos la omiten. Invierte en automatización. Automatiza el aprovisionamiento, las solicitudes de permisos y el registro de auditoría. Involucra a los equipos temprano en el diseño de tu estrategia. Entiende sus restricciones y necesidades. Sé transparente sobre por qué estás pidiendo ciertos controles. Los equipos están más dispuestos a cumplir cuando entienden el por qué.
¿Qué pasos prácticos pueden tomar los líderes hoy para mejorar el control en entornos de nube habilitados por IA?
Primero, haz un inventario de lo que tienes. Sabe qué sistemas de IA existen, qué acceso tienen y qué hacen. Comienza con confianza cero de manera pragmática. No implementes confianza cero perfecta en todas partes a la vez. Comienza con sistemas críticos. Invierte en observabilidad a través de registro, métricas y alertas. Implementa pistas de auditoría sólidas para que puedas rastrear qué sucedió y por qué. Gestiona secretos de forma segura y rotalos regularmente. Involucra a los equipos de seguridad y cumplimiento temprano en las iniciativas de IA. No preguntes si algo es seguro después de la implementación. Finalmente, educa a tus equipos continuamente. La seguridad y la gobernanza no son configurar y olvidar.
¿Cómo ve que evolucionarán la identidad, la seguridad en la nube y la gobernanza de IA?
La identidad y la gobernanza se volverán más automatizadas e inteligentes. El aprendizaje automático detectará comportamientos anómalos y entenderá cómo se ve lo normal. Habrá más enfoque en la observabilidad y comprensión del comportamiento del sistema de IA, que en este momento sigue siendo una caja negra. Las regulaciones en torno a la IA aumentarán. A medida que la IA toma decisiones importantes, los reguladores requerirán mejor gobernanza y responsabilidad. Las organizaciones con buena gobernanza ahora estarán adelante. También habrá más enfoque en la identidad portátil, no bloqueada en un proveedor de nube. Lo que las organizaciones deben preparar ahora es reconocer que la identidad y la gobernanza no son solo problemas de seguridad. Son problemas de negocio. Afectan la velocidad, confiabilidad y cumplimiento. Las organizaciones que ganen construirán capas de control sólidas en torno a la IA y la automatización, no las que se muevan más rápido sin esos controles.
