Normativas como DORA, NIS2 y GDPR han puesto la gestión de identidades en el punto de mira. Sin embargo, demasiadas organizaciones siguen tratando la gobernanza como una obligación de cumplimiento, en lugar de como una herramienta estratégica de seguridad.
Esta es la cruda realidad: puede pasar la auditoría y seguir siendo vulnerable a los ataques basados en la identidad. Esto se debe a que el cumplimiento de las normativas suele mirar hacia atrás, mientras que los atacantes miran hacia delante.
Para proteger realmente a su organización, el gobierno de la identidad debe evolucionar. Debe ser continua, contextual y, sobre todo, consciente de los riesgos.
Los programas de gobernanza tradicionales se centran en demostrar el control: hacer un seguimiento de quién tiene acceso, realizar revisiones periódicas y mantener registros para los auditores.
Pero esos controles suelen ser manuales, desconectados de los sistemas de seguridad y ajenos a los riesgos en tiempo real. Esa es la receta para pasar por alto las amenazas.
Piense en lo siguiente: un empleado cambia de función, obtiene acceso a un sistema crítico y lo utiliza para filtrar datos. Si su programa de gobernanza solo realiza revisiones de acceso trimestrales, es posible que no detecte ese abuso durante meses.
En un mundo de amenazas ágiles, los controles estáticos ya no bastan.
Gestión de la postura de seguridad de la identidad (GSPI) es un nuevo marco de ciberseguridad diseñado para ayudar a las organizaciones a tener en cuenta estos riesgos.
- GISP comienza con la visibilidad en tiempo real: comprender todos los accesos a través de todos los sistemas, incluidas las aplicaciones en la nube, la infraestructura y los entornos heredados. Además: Prioriza las revisiones de acceso en función de los perfiles de riesgo de los usuarios.
- Señala de forma proactiva e instantánea las combinaciones tóxicas y las infracciones de la separación de funciones.
- Utiliza señales de comportamiento y contexto (por ejemplo, ubicación, dispositivo, hora de acceso) para fundamentar las decisiones de gobernanza.
Aquí es donde Gobernanza y ciclo de vida de RSA brilla.
RSA no sólo le ayuda a cumplir los mandatos de conformidad, sino que también le permite aprovechar los principios de las NIMF que:
- Reduzca el tiempo necesario para certificar el acceso hasta en un 60%
- Detecte las infracciones de las políticas antes de que lo hagan los auditores
- Revocar automáticamente el acceso de alto riesgo sin esperar a las revisiones trimestrales
Nuevas normativas como la Digital Operational Resilience Act (DORA) y la NIS2 van más allá del cumplimiento de las casillas. Hacen hincapié en la continuidad operativa, la mitigación de riesgos y la prevención proactiva de incidentes.
Esto encaja perfectamente con la dirección que debe tomar la gobernanza moderna.
Con arreglo al DORA, por ejemplo, las entidades financieras deben demostrar su capacidad de recuperación, no sólo su seguridad. Esto incluye garantizar que se aplican los controles de acceso adecuados y que las políticas de gobernanza están en consonancia con el riesgo operativo.
Con RSA, las organizaciones pueden:
- Automatice los informes para auditores y reguladores
- Imponer el acceso con privilegios mínimos en entornos híbridos
- Alinear los flujos de trabajo de gobernanza con objetivos más amplios de gestión de riesgos
Cuando se hace bien, la gestión de identidades no consiste sólo en satisfacer a los auditores. Se trata de permitir un crecimiento empresarial seguro.
Al alinear la gobernanza con la seguridad y el riesgo, las organizaciones pueden:
- Minimizar la superficie de ataque
- Responder más rápido a las amenazas internas
- Generar confianza entre las partes interesadas, los reguladores y los clientes
En resumen: el cumplimiento es la línea de salida, no la de meta. La gobernanza de la identidad consciente del riesgo es la forma de ganar la carrera.
Nunca ha habido tanto en juego. Los ataques basados en la identidad van en aumento, y los reguladores están tomando nota. Es hora de que la gobernanza sea más inteligente, más rápida y más acorde con la realidad de las amenazas actuales.
Con RSA, puede ir más allá del cumplimiento de normativas y avanzar hacia una verdadera resistencia de identidades.
