La mayoría de las organizaciones creen que tienen bajo control la gestión de identidades porque realizan revisiones de acceso, aplican políticas y completan certificaciones con regularidad. Pero cuando se plantean preguntas sencillas como “¿Quién tiene acceso a qué y por qué?”, esa confianza suele empezar a quebrarse.
De hecho, las organizaciones tardan ahora una media de 241 días para identificar y contener una brecha, lo que demuestra cuánto tiempo puede pasar desapercibido un acceso excesivo o inadecuado. No es porque los equipos no se preocupen. Es porque el modelo en el que se basan ya no se ajusta al entorno en el que operan.
Durante años, la gobernanza de la identidad siguió un ritmo predecible. Revisiones trimestrales, certificaciones anuales, funciones definidas y sistemas relativamente estables permitían mantener el control. Aunque no era perfecto, el proceso era manejable.
Esa ya no es la realidad. El entorno ha cambiado, pero el modelo no.
Hoy en día, los entornos de identidad cambian constantemente. Las aplicaciones SaaS siguen expandiéndose, los empleados cambian de función con más frecuencia, los contratistas van y vienen y las máquinas
las identidades crecen en segundo plano. En muchas organizaciones, las identidades no humanas superan ahora en número a los usuarios humanos, a menudo por más de 1.000 millones de euros. 50 a 1, lo que aumenta drásticamente el volumen de accesos que hay que controlar. El acceso evoluciona cada día, a menudo sin una visibilidad clara.
La gobernanza, sin embargo, sigue funcionando según un calendario y depende en gran medida de los humanos. Esto significa que el acceso se revisa en función de un calendario, no en función del momento en que el riesgo se materializa.
cambios.
La gobernanza tradicional depende de personas que toman decisiones. Los revisores validan el acceso, los gestores certifican los derechos y los equipos informáticos aplican las políticas.
Este enfoque funcionaba cuando el ámbito de la gobernanza era más limitado. Resulta mucho más difícil cuando el volumen y el ritmo aumentan.
Ahora se espera que los revisores evalúen docenas o incluso cientos de decisiones de acceso a la vez, a menudo con un contexto limitado. Al mismo tiempo, los problemas pueden persistir mucho más tiempo de lo esperado, pasando a menudo desapercibidos durante meses. Con el tiempo, el reto es menor en cuanto a esfuerzo y mayor en cuanto a escala. A medida que aumenta el volumen, las revisiones empiezan a parecer algo que hay que completar en lugar de algo que hay que respaldar.
Es entonces cuando las revisiones de acceso empiezan a perder su eficacia. Las certificaciones se convierten en sellos de caucho, y la brecha entre la política definida y el acceso real empieza a ensancharse.
A medida que aumenta esa diferencia, también lo hace el riesgo.
El acceso excesivo persiste más tiempo del debido. Las cuentas huérfanas permanecen activas. Los derechos se acumulan sin una titularidad o justificación claras. Y lo que es más importante, las organizaciones pierden la capacidad de responder con seguridad a preguntas básicas sobre el acceso, no sólo durante las auditorías, sino en las operaciones cotidianas.
Aquí es donde la identidad se convierte en un verdadero problema de seguridad. Hoy en día, la mayoría de las brechas no comienzan con exploits complejos. Empiezan con credenciales válidas y accesos que no deberían haber existido en primer lugar. El coste medio de una violación de datos alcanzó los $4,44 millones a nivel mundial, lo que hace que las lagunas en el control de acceso sean algo más que un problema de cumplimiento de la normativa. Cuando los problemas de acceso no se detectan durante meses, el coste no es sólo económico. Se trata de interrupciones operativas, exposición a auditorías y pérdida de confianza. Sin una visibilidad y un control claros, las consecuencias pueden ser inmediatas y costosas.
El problema no es que la gobernanza no funcione. Es que no ha evolucionado lo suficientemente rápido como para seguirle el ritmo. Los modelos tradicionales se basan en revisiones periódicas y en el esfuerzo manual para gestionar entornos que ahora cambian continuamente. Este desajuste crea fatiga de revisión, decisiones incoherentes e incertidumbre en torno al acceso.
Para que la gobernanza funcione a gran escala, debe adoptar un enfoque más continuo e informado. Un enfoque que proporcione visibilidad continua, facilite la toma de decisiones y ayude a las organizaciones a centrarse en lo que realmente importa.
Esta es la base de la gestión de la postura de seguridad de la identidad, en la que el objetivo no es solo revisar el acceso, sino comprenderlo y mejorarlo continuamente.
La IA no sustituye a la gobernanza. La refuerza.
En lugar de pedir a los revisores que evalúen todo por igual, la IA ayuda a priorizar los riesgos. Las organizaciones que utilizan ampliamente la IA y la automatización de la seguridad reducen los costes de las infracciones en una media del $1,9 millones, que muestra el impacto de la aplicación de inteligencia a escala. Destaca los accesos inusuales o de alto riesgo, proporciona contexto para apoyar las decisiones y orienta tanto a los revisores ocasionales como a los administradores experimentados hacia las acciones que tienen mayor impacto.
Esto cambia el objetivo. El objetivo ya no es completar revisiones, sino tomar decisiones mejores y más seguras.
Si esto le parece interesante, vamos a profundizar en ello en un próximo seminario web:
Por qué se rompe la gobernanza de identidades a gran escala y cómo lo soluciona la IA
Cubriremos:
- Por qué los modelos tradicionales de gobernanza se resisten en los entornos modernos
- Cómo reducir el ruido y centrar a los revisores en lo que realmente importa
- Dónde la IA añade valor real a las revisiones de acceso y las decisiones de identidad
- Cómo avanzar hacia una gobernanza continua y basada en la información
Regístrese ahora para reservar su plaza
