Lo oigo todo el tiempo, ya sea hablando con clientes en una feria o con el equipo de productos de RSA. Las organizaciones dicen que tienen la gestión de identidades bajo control porque tienen visibilidad. Tienen paneles, informes y métricas que muestran quién tiene acceso a qué en todo el entorno.
Y para ser justos, no se equivocan. La visibilidad ha mejorado considerablemente.
Pero si la visibilidad fuera suficiente, no seguiríamos corriendo los mismos riesgos.
Podemos ver más que nunca y, sin embargo, el acceso excesivo persiste, las infracciones de las políticas se mantienen y los resultados de las auditorías se repiten una y otra vez. En algún momento, se hace evidente que la cuestión no es si podemos ver el problema. Es si realmente estamos haciendo algo al respecto.
Muchas estrategias de gobernanza presuponen que una mayor visibilidad conducirá de forma natural a mejores resultados, es decir, que una vez expuestos los problemas, la organización responderá en consecuencia. Esto no es lo que yo veo.
Lo que veo son equipos que son plenamente conscientes de los riesgos de su entorno, pero que no tienen una forma clara de priorizarlos y actuar en consecuencia. Se identifica el acceso excesivo, pero no se elimina. Se señalan las infracciones, pero no se abordan con urgencia. A los revisores se les pide que tomen cientos o incluso miles de decisiones de acceso en una variedad de equipos y funciones, a menudo sin el contexto necesario para tomar decisiones seguras. Así que hacen lo que la gente suele hacer cuando está sobrecargada: completar la tarea que tienen delante. Con el tiempo, la gobernanza pasa de reducir el riesgo a gestionar la carga de trabajo.
El reto no es sólo la cantidad de datos. Es la falta de priorización. Cuando todas las infracciones de derechos, funciones y políticas salen a la luz de la misma manera, resulta difícil determinar qué es lo que realmente importa. No todo conlleva el mismo nivel de riesgo, pero sin una forma de distinguirlo, todo empieza a parecer igual de importante.
Aquí es donde la gobernanza empieza a estancarse. Los equipos se quedan con demasiada información y poca orientación, y aunque se completan las revisiones y se documentan las conclusiones, el riesgo subyacente no cambia significativamente.
Cerrar esa brecha exige un planteamiento diferente. En lugar de pedir a los revisores que evalúen todo por igual, tenemos que ayudarles a centrarse en lo que realmente requiere atención. En lugar de presentar más datos, tenemos que reducir el ruido. Y en lugar de depender por completo de la interpretación manual, necesitamos introducir inteligencia que pueda guiar las decisiones. Aquí es donde la analítica y la IA empiezan a cambiar la ecuación, ayudando a los equipos a destacar los accesos de alto riesgo, sacar a la luz lo que más importa y tomar medidas con confianza.
Aquí es exactamente donde veo que las organizaciones empiezan a hacer verdaderos progresos, y es donde hemos estado invirtiendo fuertemente en la forma en que apoyamos a nuestros clientes. Llevamos años aplicando el aprendizaje automático y la analítica a la gestión de identidades, pero lo que ha cambiado recientemente es el ritmo de la innovación y lo directamente que podemos integrar esas capacidades en los flujos de trabajo cotidianos.
No estamos añadiendo IA porque sí. Estamos introduciendo funciones que ayudan a los equipos a priorizar los riesgos, proporcionar un contexto claro para las decisiones y guiar la acción directamente dentro de sus flujos de trabajo de gobernanza. En lugar de pedir a los revisores que examinen grandes volúmenes de datos de acceso, les ayudamos a centrarse en lo que realmente importa y a tomar medidas allí donde tengan el mayor impacto. Ese cambio de la visibilidad a la acción guiada es donde la gobernanza empieza a ofrecer un valor real.
Si todo esto le resulta familiar, no está solo. Muchas organizaciones han invertido mucho en visibilidad, sólo para descubrir que no se ha traducido en una reducción significativa del riesgo.
¿Quiere ver en la práctica cómo se reduce el riesgo? Participe en nuestro próximo seminario web, Por qué la gestión de identidades falla a gran escala y cómo lo soluciona la IA, donde explicaremos cómo analizar los datos de identidad, priorizar los riesgos y actuar con confianza.
