¿Has oído hablar de la importancia de utilizar la autenticación multifactor, o MFA? Entre los requisitos internacionales, las campañas anuales y las exhortaciones del personal de ciberseguridad a utilizar la AMF, no creo que haya nadie que trabaje en tecnología y no apreciar lo crítico que es el AMF.
Estamos de acuerdo. Sin embargo, aunque nuestro sector ha sido excelente a la hora de articular la importancia de la AMF y de implantarla, hemos sido más bien mediocres en otros componentes de ciberseguridad que son igual de importantes. Todo el mundo se ha centrado tanto en instalar el cerrojo en la puerta principal que hemos olvidado quién tiene llaves, cómo las consiguió y qué desbloquea.
Necesita la AMF para estar seguro. Pero también necesita la Gobernanza y Administración de Identidades (IGA).
Por eso creo que Gartner® IAM Leaders' Guide to Identity Governance and Administration (IGA) es un activo tan importante. El informe detalla las funciones básicas que debe ofrecer IGA, los retos que pueden encontrar las organizaciones al implantarla, cómo evaluar su programa de IGA y mucho más.
Es importante destacar que el informe es sólo eso: un asesoramiento independiente del proveedor que analiza la importancia y el papel de la AGI, en lugar de documentar soluciones específicas.
Según Gartner® Informe, IAM Leaders' Guide to Identity Governance and Administration, "La disciplina IGA existe para garantizar que las personas adecuadas obtengan el acceso adecuado a los recursos adecuados en el momento adecuado y por las razones adecuadas".
Gartner afirma que "IGA conduce a una mayor madurez del proceso de identidad, facilita el cumplimiento y reduce el riesgo de acceso no autorizado, y también proporciona controles más visibles y eficientes a los procesos de administración del ciclo de vida de la identidad." Además, "IGA también proporciona varias funciones auxiliares, que suelen incluir la gestión de contraseñas, capacidades de autoservicio para la gestión de perfiles y gestión de casos para auditar y remediar las infracciones de las políticas, como el SOD."
En resumen, IGA puede ayudar a las organizaciones a aumentar la seguridad, reducir los riesgos y ser más productivas, pero sólo si lo hacen bien.
Acertar con el IGA es más fácil de decir que de hacer. Una de las razones por las que el IGA es tan difícil es que debe tener visibilidad sobre todos usuarios, incluidos usuarios humanos, cuentas de máquinas, cuentas de servicios y dispositivos.
Es mucho terreno que cubrir. Y creo que es porque el alcance de los datos puede llegar a ser tan grande que el informe subraya la importancia de la analítica; de hecho, el informe sitúa la analítica de identidades "en el centro de toda iniciativa IGA". El informe también señala que la analítica de identidades "ha ido ganando más tracción en IGA en los últimos cinco años para proporcionar informes de apoyo a la toma de decisiones humanas, tradicionalmente utilizados para la minería de roles, por ejemplo, o el cálculo de una puntuación de riesgo que podría utilizarse para explicar qué pasó y por qué".
Siempre he pensado que la seguridad es cuestión de contexto, y la integración de análisis en las soluciones IGA puede proporcionar a los equipos de seguridad ese contexto: los análisis pueden comparar los derechos de una cuenta individual con usuarios similares de su organización. Además, con más información, las soluciones IGA pueden proporcionar alertas y recomendaciones en tiempo real que ayuden a fomentar una mejor seguridad y un cumplimiento continuo a pesar del crecimiento del parque informático. Es por ello que RSA ha incorporado más análisis y visualizaciones en nuestras soluciones IGA. última solución IGA.
¿Quiere más pruebas de que la IGA importa? Mira el informe de CISA Modelo de madurez de confianza cero, que señala que los organismos "deben garantizar y hacer cumplir el acceso de los usuarios y las entidades a los recursos adecuados en el momento adecuado y con el fin adecuado, sin conceder un acceso excesivo".
El modelo también dice que un organismo ha alcanzado capacidades óptimas de gobernanza de la identidad cuando "implanta y automatiza completamente políticas de identidad en toda la empresa para todos los usuarios y entidades en todos los sistemas".
###
Gartner, IAM Leaders' Guide to Identity Governance and Administration, Brian Guthrie, David Collinson, Rebecca Archambault, Actualizado el 16 de agosto de 2023 | Publicado originalmente el 5 de abril de 2021
GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE.UU. e internacionalmente y se utiliza aquí con permiso. Todos los derechos reservados.
