Ir al contenido
Resumen ejecutivo

Los programas de gestión de identidades en todos los sectores se basan en una premisa errónea: que las revisiones periódicas de los accesos, las políticas documentadas y los informes de auditoría sin incidencias constituyen una postura de seguridad defendible. No es así.

El panorama de amenazas ha cambiado radicalmente. Las identidades, tanto humanas como no humanas, se crean, modifican y explotan en milisegundos. Los derechos de acceso varían continuamente entre los ciclos de revisión. Y cuando se produce una violación de seguridad, los auditores, reguladores, inspectores, aseguradoras y abogados litigantes no preguntan si existían políticas. Preguntan si esas políticas se aplicaban, en tiempo real, en el momento en que ocurrió el incidente.

En este artículo se sostiene que el modelo tradicional de gobernanza y administración de identidades (IGA), basado en campañas de revisión anuales o trimestrales, genera lo que denominamos la ‘brecha de negligencia’: un abismo cada vez mayor entre lo que establecen las políticas estáticas de una organización y lo que realmente hacen sus sistemas dinámicos. Si no se aborda, esta brecha no es solo un riesgo de seguridad. Es un riesgo de responsabilidad civil y, para las instituciones financieras y los organismos gubernamentales, también es un hallazgo de auditoría en potencia.

La alternativa es pasar a la «gobernanza de defensa activa» (ADG), un modelo en el que la gobernanza funciona como un plano de control continuo, automatizado y basado en el riesgo, en lugar de como un ejercicio periódico de certificación. Cuando se aplica de forma eficaz, la ADG transforma la gobernanza de identidades de un centro de costes de cumplimiento normativo en una capacidad de seguridad operativa y, lo que es más importante, en una fuente de argumentos defensivos válidos ante los tribunales.

El presente documento de posición tiene por objeto proporcionar a los profesionales, los responsables de programas y los directivos un marco para evaluar y mejorar su estrategia de gestión de riesgos de seguridad de la información (IGA), pasando de las actividades periódicas de cumplimiento a un modelo de gestión de riesgos de seguridad de la información (ADG) continuo y justificable. En este documento se detallará:

  • Por qué el ciclo tradicional de revisión de los acuerdos de nivel de servicio (SLA) resulta insuficiente para los riesgos actuales
  • Cómo el déficit de gobernanza resultante genera riesgos legales y normativos
  • Un marco para la implementación de la ADG, desde las capacidades básicas hasta la plena capacidad de defensa
  • Los indicadores que las organizaciones pueden utilizar para medir la eficacia de ADG
  • Consideraciones sobre la implementación para organizaciones en cualquier fase de madurez en materia de gobernanza
El problema del «teatro del cumplimiento»

La paradoja de la auditoría sin salvedades

Hoy en día, las organizaciones suelen obtener excelentes resultados en las auditorías SOC 2 Tipo II, las evaluaciones de preparación para el RGPD, las revisiones de cumplimiento de la DORA y las auditorías de seguridad del CJIS, pero acaban sufriendo filtraciones de datos relacionadas con la identidad a las pocas semanas de recibir ese visto bueno. Esto no es una coincidencia. Se trata de una consecuencia estructural del diseño de los marcos de cumplimiento tradicionales y de la forma en que las organizaciones responden a ellos.

Los marcos de cumplimiento, por su propia naturaleza, evalúan una situación en un momento determinado. Un encargo SOC 2 evalúa si los controles estaban implantados y funcionaban de manera eficaz durante un período definido. Una auditoría CJIS verifica que las políticas de acceso que rigen la información de justicia penal estén documentadas y se cumplan.

Los marcos difieren, pero comparten la misma limitación: un periodo determinado, una instantánea del control, no continuo aplicación.

Las instituciones financieras sujetas a las directrices de la FFIEC, la Parte 500 del NYDFS o la norma PCI DSS v4.0 se enfrentan a auditores que, cada vez más, solicitan pruebas de controles continuos, en lugar de certificaciones puntuales. Las agencias federales sujetas a la FISMA, FedRAMP o NIST SP 800-53 operan bajo modelos de gobernanza que documentan los controles en el momento de la autorización, pero es posible que dicha documentación no refleje la aplicación operativa entre ciclos de revisión. En cada caso, el marco de auditoría capta un momento concreto. El entorno de amenazas no se detiene durante el ciclo de revisión.

El resultado es lo que los profesionales denominan cada vez más la «paradoja de la auditoría impecable» o la «paradoja del cumplimiento»: cuanto más segura está una organización de los resultados de su auditoría, más vulnerable puede estar en realidad. Un cuadro de mando con resultados positivos basado en datos de hace tres, seis u once meses no es prueba de control. Es prueba de pasado control, y en caso de una filtración, esa distinción lo es todo.

Si su organización sufriera hoy una filtración grave relacionada con la identidad, los investigadores no le preguntarían si contaban con una política de gobernanza. Le preguntarían si dicha política estaba en vigor y se aplicaba en el momento en que se produjo la filtración. Si la respuesta es “la revisamos una vez al año”, no es solo que no estén seguros. Es que no tienen defensa.

El deterioro de las auditorías: la fecha de caducidad oculta de cada revisión

Todas las campañas de certificación de accesos, revisiones de derechos y ejercicios de verificación de funciones tienen una fecha de caducidad que nadie documenta. En el momento en que se cierra una campaña, los datos que se han certificado comienzan a desviarse de la realidad. A esto lo llamamos «deterioro de la auditoría».

En los entornos empresariales modernos, las identidades y los derechos de acceso asociados a ellas no son estáticos. Se crean cuentas de servicio que a menudo se configuran de forma incorrecta. Se contrata a personal externo y sus ámbitos de acceso se amplían más allá de lo previsto inicialmente. Los empleados cambian de función y acumulan derechos que nunca se revocaron. Las identidades no humanas, incluidas las claves API, las cuentas de máquina, la IA de Agentic y los bots de automatización robótica de procesos (RPA), se multiplican por toda la infraestructura con una supervisión mínima.

En este contexto, un ciclo de revisión trimestral implica que las desviaciones en los permisos de acceso pasan desapercibidas hasta noventa días antes de que sea posible detectarlas. Una revisión anual supone hasta un año completo de exposición sin supervisión. La comunidad de adversarios es muy consciente de esta dinámica. Los tiempos de permanencia de los ataques basados en la identidad se miden en semanas y meses, no en horas, precisamente porque los ritmos tradicionales de gobernanza crean ventanas de oportunidad predecibles.

La revisión del supervisor: el instrumento menos fiable de la gobernanza

La forma más habitual de revisión de accesos en los programas de IGA (gestión de identidades y accesos) de las empresas es la certificación por parte del supervisor o responsable: una solicitud periódica en la que se pide a los responsables que revisen los derechos de acceso de sus subordinados directos y confirmen que dichos accesos siguen siendo adecuados. Esta práctica está profundamente arraigada en los marcos de cumplimiento normativo y en las expectativas de auditoría. También es uno de los controles menos eficaces del conjunto de herramientas de seguridad de identidades.

Los problemas estructurales son bien conocidos. Los responsables se enfrentan a grandes volúmenes de datos sobre derechos de acceso que no pueden evaluar de forma significativa por carecer del contexto técnico necesario. Las revisiones se realizan con prisas y compiten con las responsabilidades fundamentales del negocio. Y la opción más fácil, que consiste en aprobar sin más el perfil de acceso existente, no acarrea consecuencias inmediatas, incluso cuando perpetúa el riesgo.

El resultado es una apatía impulsada por las auditorías: un comportamiento organizativo adquirido en el que los revisores consideran las campañas de certificación como obligaciones administrativas en lugar de como auténticas actividades de gestión de riesgos. Esta dinámica se refuerza a sí misma. .

Por otra parte, los tipos de revisiones con mayor probabilidad de detectar riesgos significativos —como las revisiones de los derechos de acceso por roles, las revisiones de excepciones a las políticas, las revisiones del acceso a datos no estructurados y las auditorías de identidades no humanas— se encuentran entre las que menos se llevan a cabo. Estas revisiones requieren conocimientos especializados en la materia y una responsabilidad de gestión que los modelos centrados en los supervisores no están diseñados para abordar.

La brecha de negligencia y sus consecuencias jurídicas

Cuando la gobernanza se convierte en un lastre

Durante gran parte de las dos últimas décadas, las principales consecuencias de una gestión deficiente de las identidades fueron de carácter operativo: filtraciones, pérdida de datos y daños a la reputación. El riesgo legal y normativo, aunque real, solía abordarse mediante compromisos de subsanación y acuerdos extrajudiciales.

Esa perspectiva está cambiando. Los requisitos de divulgación de la SEC exigen ahora la notificación oportuna y precisa de los incidentes de ciberseguridad de importancia significativa, y los organismos reguladores están evaluando activamente si las organizaciones han actuado con la diligencia debida en sus prácticas de seguridad, y no solo si han cumplido con una lista de requisitos. La DORA, vigente en todas las entidades financieras de la UE, establece requisitos explícitos para la gestión de riesgos y la respuesta a incidentes en materia de tecnologías de la información y la comunicación (TIC), que se extienden al acceso de terceros y a los controles de identidad. Los requisitos de la política de seguridad del CJIS para el acceso a la información de la justicia penal son rigurosos e innegociables, y los fallos en el control de acceso acarrean graves consecuencias a nivel federal. En el caso de las instituciones financieras y los organismos gubernamentales, los auditores se centran cada vez más en si los controles funcionan de forma continua, y no solo en si estaban implantados durante la última auditoría.

En este contexto, una demanda o un procedimiento regulatorio tras una violación de la seguridad no tendrá en cuenta si una organización contaba con un programa de gobernanza. En su lugar, se centrará en si dicho programa estaba operativo y se aplicaba en el momento del incidente. La fase de presentación de pruebas buscará registros de acceso, registros de certificación, aprobaciones de excepciones y pruebas de la aplicación de las políticas. La cuestión no será filosófica. Será probatoria.

Una organización que solo puede presentar registros de certificación anuales y carece de pruebas de un seguimiento continuo no ha demostrado su cumplimiento. Ha puesto de manifiesto la brecha existente entre su política documentada y su situación real en materia de seguridad, y lo ha hecho en el contexto más perjudicial posible.

Definición del «vacío de responsabilidad por negligencia»

La «brecha de negligencia» es el abismo cada vez mayor que se abre entre lo que establecen las políticas estáticas de una organización y lo que realmente hacen sus sistemas de identidad dinámicos entre un ciclo de revisión y otro. No se trata de un riesgo teórico, sino de una vulnerabilidad documentada que aumenta con cada día que pasa entre una medida de gobernanza y otra.

Esta brecha tiene varios factores que contribuyen a ella:

En primer lugar, la deriva de acceso: la acumulación de derechos, asignaciones de roles (incluidas las definiciones de roles obsoletas) y concesiones de permisos que se producen entre los periodos de revisión sin que ello dé lugar a ninguna medida de gobernanza.

En segundo lugar, la latencia en la detección: el tiempo transcurrido entre el momento en que se produce una anomalía de acceso y el momento en que la organización se da cuenta de ella a través de su proceso de gobernanza.

En tercer lugar, el retraso en la corrección: el tiempo que transcurre entre la detección y la revocación o corrección efectiva de un acceso que incumple la política.

En caso de una violación de la seguridad, la «brecha de negligencia» es el ámbito en el que recae la responsabilidad. Los abogados de los demandantes y las autoridades reguladoras la evaluarán en términos de tiempo: cuánto tiempo estuvo expuesto el acceso, cuándo debería haberse detectado y qué medidas habría tomado un programa de gobernanza razonable para evitarlo.

Identidades no humanas: la superficie de ataque no revisada

El perímetro de identidades se ha ampliado considerablemente más allá de los usuarios humanos. Las cuentas de servicio, los tokens de API, las identidades de máquinas, los bots de RPA y los agentes de IA constituyen ahora una parte sustancial del total de identidades en la mayoría de los entornos empresariales. Estas identidades no humanas suelen operar con privilegios elevados, rara vez aparecen en las campañas de revisión de los supervisores y tienen ámbitos de acceso que evolucionan de forma orgánica a medida que cambian los sistemas y las integraciones.

Desde el punto de vista de un atacante, las identidades no humanas constituyen un objetivo muy atractivo: gozan de amplios privilegios, tienen poca visibilidad y pasan mucho tiempo sin ser detectadas. Desde el punto de vista jurídico, el uso de cuentas de servicio comprometidas como vectores de movimiento lateral plantea serias dudas sobre si las organizaciones han mantenido una supervisión eficaz de todos los tipos de identidades, y no solo de aquellas que aparecen en el organigrama.

Los programas de gobernanza que no pueden demostrar que llevan a cabo un seguimiento activo y la aplicación de políticas para las identidades no humanas operan con un punto ciego estructural del que los reguladores, los abogados litigantes y los adversarios son cada vez más conscientes.

Gobernanza de la defensa activa: un marco para el control continuo

El cambio filosófico

La gobernanza de la defensa activa (ADG) supone una reorientación fundamental de la forma en que se concibe y se pone en práctica la gobernanza de la identidad. El modelo tradicional se pregunta: «¿Quién tiene acceso?». El modelo ADG se pregunta: «¿Por qué tiene esta identidad ese acceso en este momento?», y «¿Es ese acceso coherente con la política actual y la postura de riesgo?».

No se trata simplemente de una distinción filosófica. Refleja un cambio estructural en el funcionamiento de la gobernanza dentro del entorno de operaciones de seguridad. En el modelo tradicional, la gobernanza es una función periódica, una campaña que se ejecuta, se cierra y luego espera a reanudarse. En el modelo ADG, la gobernanza es un flujo continuo de telemetría: cada evento de acceso, acción de aprovisionamiento y cambio de derechos se evalúa en función de la política en tiempo real, con capacidades de respuesta automatizadas que no requieren ciclos de revisión humana para surtir efecto.

La campaña de certificación de acceso formal no desaparece en este modelo. Se replantea. En lugar de funcionar como el principal mecanismo de control, las certificaciones periódicas sirven para confirmar y acreditar lo que la supervisión continua ya ha detectado, gestionado y documentado. La campaña valida el sistema y las políticas. Ya no es el sistema.

Competencias fundamentales de un programa ADG

Un programa eficaz de gestión de la defensa activa se basa en varias capacidades interdependientes:

  • Supervisión continua del acceso con evaluación de políticas en tiempo real, que sustituye los ciclos de revisión estáticos por mecanismos de gobernanza activados por eventos
  • Priorización de la certificación basada en el riesgo, que orienta el esfuerzo de revisión manual hacia los derechos de acceso y las identidades de mayor riesgo, en lugar de distribuirlo de manera uniforme entre todos los accesos
  • La concesión de acceso «justo a tiempo» (JIT), en la que se concede acceso durante un intervalo de tiempo definido cuando el riesgo lo justifica, y en la que dicha concesión se basa en una necesidad verificada y no en un derecho permanente
  • Gestión de identidades no humanas, aplicando el mismo seguimiento continuo y la misma aplicación de políticas a las cuentas de servicio, las credenciales de API, la IA, los bots de RPA y las identidades de máquina que se aplica a los usuarios humanos
  • La medición del tiempo hasta la revocación (TTR), que registra el tiempo transcurrido entre un evento de cambio de identidad y la revocación del acceso afectado, como indicador de seguridad principal

Registro automatizado de calidad auditora que genera registros continuos y a prueba de manipulaciones de las decisiones de acceso, las evaluaciones de políticas y las medidas de gobernanza, disponibles de inmediato para su revisión por parte de las autoridades reguladoras o judiciales

Gobernanza «justo a tiempo» y alineación con el modelo «Zero Trust»

La gestión del acceso «just-in-time» aborda una de las debilidades estructurales más persistentes de la gestión de identidades y accesos (IGA) tradicional: los privilegios permanentes. En la mayoría de los entornos empresariales, el acceso se concede y, a continuación, se mantiene hasta que se revoca explícitamente, lo que en la práctica suele significar que el acceso persiste de forma indefinida. Los privilegios permanentes son uno de los principales factores que facilitan el movimiento lateral y la escalada de privilegios en los ataques basados en identidades.

La gobernanza JIT invierte este modelo en el caso de las solicitudes de acceso de alto riesgo, no para los recursos cotidianos como el correo electrónico. En lugar de considerar todos los privilegios como permanentes hasta su revocación, aplica concesiones limitadas en el tiempo y evaluadas según políticas allí donde el acceso permanente supone el mayor riesgo. Cada evento de acceso elevado o sensible se convierte en una decisión de gobernanza, no en un artefacto heredado. El objetivo no es crear fricciones en cada solicitud de acceso, sino garantizar que, cuando el riesgo lo justifique, el acceso sea deliberado, de duración limitada y vinculado a una necesidad verificada, en lugar de un acceso permanente que persiste simplemente porque se concedió en el pasado.

Este enfoque se ajusta directamente a los principios de la arquitectura Zero Trust, concretamente al requisito de verificación continua y a la aplicación del principio del mínimo privilegio. También genera los artefactos de gobernanza más defendibles en un contexto normativo o de litigio: estos artefactos llevan marca de tiempo, están vinculados a políticas, son automatizados y demuestran lo que la función de gobernanza de una organización hace en la práctica, en lugar de lo que aspira a hacer en teoría. Cuando los investigadores preguntan por qué una identidad concreta tuvo acceso a un recurso concreto en un momento determinado, un modelo de gobernanza JIT ofrece una respuesta precisa y documentada.

Medir lo que realmente importa

Indicadores que reflejan la realidad en materia de seguridad

Históricamente, los programas de gobernanza se han evaluado en función de las tasas de finalización de las campañas: el porcentaje de revisiones certificadas dentro de un plazo determinado. Esta métrica está prácticamente desvinculada de los resultados en materia de seguridad. Una tasa de finalización de campañas del cien por cien, lograda mediante aprobaciones automáticas, es una prueba de cumplimiento administrativo, no de gestión de riesgos.

Un programa de ADG requiere un conjunto de métricas diferente, orientado a la situación real de seguridad y a la defendibilidad jurídica. Entre las métricas clave que hay que tener en cuenta se incluyen:

  • Índice de cumplimiento de las políticas (continuo), que sustituye al índice de finalización de campañas como principal indicador de control
  • Índice de detección de anomalías en tiempo real, que mide el porcentaje de anomalías de acceso detectadas dentro de los intervalos de tiempo establecidos en el SLA
  • Tiempo hasta la revocación (TTR): seguimiento del tiempo transcurrido desde que se activa un evento de identidad hasta la revocación del acceso
  • Cobertura de identidades no humanas, que mide el porcentaje de identidades no humanas bajo gestión activa
  • Tasa de adopción del acceso JIT, que mide el porcentaje de accesos privilegiados concedidos a través de mecanismos JIT frente a los privilegios permanentes
  • Comprobación de la exhaustividad de las pruebas de auditoría, evaluando la disponibilidad y la integridad de los registros de gobernanza continuos correspondientes a cualquier período determinado

El tiempo hasta la revocación como indicador a nivel directivo

El tiempo hasta la revocación (TTR) merece una atención especial, ya que mide directamente el margen de tiempo de que dispone un atacante tras un evento de identidad desencadenante, ya sea una baja, un cambio de función, la detección de una anomalía o una infracción de las políticas.

Las organizaciones con capacidades maduras de gobernanza continua miden el TTR en minutos. Las organizaciones que se basan en ciclos de revisión periódicos lo miden en días, semanas o, en el caso de los tipos de acceso no cubiertos por las campañas estándar, potencialmente de forma indefinida (si es que lo miden). Esta diferencia no es una simple sutileza. Es la diferencia entre un ataque a la identidad que se contiene y uno que se convierte en una violación grave. Para las instituciones financieras y los organismos gubernamentales, esa diferencia tiene importancia más allá del centro de operaciones de seguridad. Los inspectores esperan cada vez más una respuesta precisa y documentada sobre la rapidez con la que se revocó el acceso tras un evento desencadenante, no una referencia al siguiente ciclo de certificación.

El TTR es también uno de los indicadores más eficaces para la presentación de informes a la junta directiva, ya que traduce las capacidades técnicas de gobernanza en resultados tangibles de reducción del riesgo. Una organización que pueda demostrar un TTR medio inferior a quince minutos tras un incidente de terminación ha transmitido una información significativa sobre su estado de seguridad, algo que la tasa de finalización de campañas no puede transmitir.

Consideraciones sobre la implementación

El continuo de madurez

La transición de un IGA orientado al cumplimiento normativo a un ADG no es un cambio que se produzca de una sola vez. Se trata de un proceso de maduración que la mayoría de las organizaciones abordarán de forma gradual, comenzando por las categorías de identidad de mayor riesgo y ampliando la cobertura con el tiempo.

Un modelo de madurez práctico para la adopción de ADG se desarrolla a lo largo de cuatro etapas:

  • Fase 1 | Fundamentos: inventario centralizado de identidades, flujos de trabajo coherentes de activación y desactivación de cuentas, y campañas de certificación de acceso de referencia. Esta fase es el requisito previo para todo lo que viene a continuación.
  • Fase 2 | Concienciación sobre los riesgos: Introducción de la puntuación de riesgos para identidades y derechos, priorización de las tareas de revisión en función de la ponderación de riesgos e implementación inicial de capacidades de detección de anomalías.
  • Fase 3 | Continua: evaluación de políticas en tiempo real, desencadenantes de gobernanza basados en eventos, medición del tiempo de resolución (TTR) e integración con herramientas de operaciones de seguridad. Este es el umbral de ADG.
  • Fase 4 | Defendible: gestión del acceso JIT aplicada en los casos en que el acceso permanente supone el mayor riesgo, cobertura total de identidades no humanas, registro continuo con calidad de auditoría y automatización de la presentación de informes reglamentarios. Esta fase representa una postura preparada para hacer frente a posibles litigios.

La IA como multiplicador de capacidades para una gobernanza continua

El volumen de eventos de acceso, cambios en los derechos de acceso e interacciones de identidad en una empresa moderna hace que la gestión continua manual resulte inviable desde el punto de vista operativo. Los análisis basados en la inteligencia artificial no son una mejora opcional de un programa de gobernanza de acceso (ADG). Son un requisito arquitectónico.

Si se aplican de forma eficaz, las capacidades de IA integradas en una plataforma de IGA pueden desempeñar varias funciones que están fuera del alcance práctico de los procesos de revisión realizados por personas. El análisis de comportamiento puede establecer patrones de acceso de referencia para cada identidad y señalar las desviaciones que justifiquen una evaluación de las políticas. Los modelos de aprendizaje automático pueden evaluar la ponderación de riesgo de los derechos individuales y las combinaciones de acceso, identificando combinaciones de privilegios peligrosas que las revisiones estándar de roles pasan por alto. El procesamiento del lenguaje natural puede interpretar los documentos de las políticas y relacionar los derechos con la intención de las mismas, lo que permite una evaluación automatizada del cumplimiento en lugar de una interpretación manual.

Es fundamental que las decisiones de acceso basadas en la IA estén respaldadas por puntuaciones de riesgo verificables y vínculos documentados con las políticas, y no simplemente por los resultados del modelo. El elemento de gobernanza que importa en un contexto legal o regulatorio no es que una IA haya tomado una decisión, sino que la decisión se haya tomado de acuerdo con un proceso de evaluación de políticas documentado y auditable, con la base de riesgo registrada en el momento de la decisión.

Replantear la gobernanza como una función de seguridad

Quizás el mayor reto de implementación en la transición a ADG sea de carácter organizativo más que técnico. Los programas tradicionales de gobernanza de identidades suelen estar integrados en las funciones de cumplimiento normativo, tecnología de RR. HH. u operaciones de TI. ADG exige que la gobernanza de identidades se considere una capacidad de seguridad fundamental, integrada con las operaciones de seguridad, la respuesta a incidentes y la inteligencia sobre amenazas.

El replanteamiento del papel de la gobernanza de datos (ADG) en este contexto tiene implicaciones prácticas. Los indicadores de gobernanza deben figurar en los informes de operaciones de seguridad, y no solo en los paneles de control de cumplimiento normativo. Las anomalías en materia de gobernanza deben incorporarse a los flujos de trabajo de SIEM y SOAR. Además, los responsables de la gobernanza deben mantener una línea de comunicación directa con los responsables de seguridad, y no una relación jerárquica mediada por las funciones de cumplimiento normativo o auditoría.

Este cambio también exige una nueva forma de evaluar las inversiones en gobernanza. El gasto en infraestructura de gobernanza continua no es un coste de cumplimiento normativo. Se trata de una inversión en seguridad cuyos resultados en materia de reducción de riesgos son cuantificables y que influye directamente en las primas de los seguros cibernéticos, la situación regulatoria y la posición ante posibles litigios.

El imperativo de la defendibilidad

El argumento central de este artículo no es que el cumplimiento normativo carezca de relevancia. Marcos como SOC 2, DORA y la política de seguridad CJIS cumplen funciones importantes: establecen expectativas básicas, proporcionan una estructura de auditoría y crean mecanismos de rendición de cuentas. El argumento es que el cumplimiento normativo, tal y como lo practican actualmente la mayoría de las organizaciones, es insuficiente, y que esa insuficiencia ya no es solo un riesgo de seguridad. Es un riesgo legal y reputacional.

El panorama de las amenazas a la identidad ha evolucionado hasta tal punto que cualquier programa de gobernanza que no pueda demostrar un control de acceso continuo, basado en políticas y en tiempo real opera con una vulnerabilidad estructural. Las revisiones periódicas pueden seguir desempeñando un papel importante, como certificación y confirmación de los controles continuos, como mecanismo para el perfeccionamiento de las políticas y como requisito normativo. Pero no pueden ser el control principal. Los riesgos no esperan a los ciclos de revisión.

Las organizaciones que dan el paso hacia el ADG están creando algo que va más allá de un programa de seguridad más eficaz. Están desarrollando una estrategia de gobernanza que se pueda defender en los contextos que más importan: una investigación regulatoria, una reunión del consejo de administración, una investigación tras una filtración y, si llega el caso, ante un tribunal.

La cuestión no es si su organización cuenta con una política de gobernanza. La cuestión es si puede demostrar que funcionó cuando era necesario y que sigue funcionando hoy en día.

Acerca de este artículo

Este documento de posición ha sido elaborado por los expertos en gobernanza y administración de identidades de RSA. Su objetivo es proporcionar a los profesionales, responsables de programas y directivos un marco para evaluar y mejorar su estrategia de gobernanza de identidades, pasando de las actividades periódicas de cumplimiento normativo a un modelo de «gobernanza de defensa activa» continuo y justificable.

También le puede interesar...

Solicitar una demostración

Gracias por su interés en RSA.
Demostración