En 2023, los jefes de seguridad de la información (CISO) y los directores de gestión de identidades y accesos (IAM) están invirtiendo mucho en soluciones de identidad unificadas con una fuerte seguridad en su núcleo.
Hacen este cambio porque las soluciones de identidad fragmentadas ya no son capaces de proteger a un número creciente de usuarios, dispositivos, derechos y entornos, ni los costes, riesgos y complejidad cada vez mayores que se derivan de ese crecimiento. La identidad satisface múltiples casos de uso en las organizaciones: previene riesgos de seguridad, tomas de control de cuentas y brechas de seguridad con la autenticación multifactor (MFA). Proporciona una mejor experiencia de usuario con capacidades de directorio e inicio de sesión único (SSO) que facilitan la gestión del acceso. La identidad puede proporcionar un acceso seguro en todo el entorno de TI, incluidos los dispositivos móviles y las aplicaciones en la nube, y acelerar la transformación digital.
Esta tendencia hacia soluciones de plataformas de identidad unificadas marca un ajuste respecto a la pauta de los últimos tres años, centrada en la autenticación robusta de empleados remotos, y amplía la seguridad a todos los componentes de la identidad. Los CISO, los expertos en seguridad y los equipos de TI afirman que se enfrentan a cambios drásticos en la cultura y la seguridad a medida que el trabajo desde casa da paso a la vuelta a la oficina, todo ello mientras los empleados cambian de chaqueta y de trabajo en un abrir y cerrar de ojos. Estos cambios significan que las credenciales de todos los usuarios son una vía de acceso a violaciones de datos devastadoras: todos los usuarios son usuarios con acceso privilegiado.
Proveedores como Microsoft y empresas de inversión como Thoma Bravo han respondido añadiendo rápidamente gestión de accesos, servicios de directorio, autenticación sin contraseña y otras funcionalidades de identidad a sus respectivas carteras. Sin embargo, los CISO entrevistados para este informe, con pocas excepciones, buscan proveedores centrados en la seguridad para prevenir ataques basados en la identidad de seguridad, detectar amenazas a la seguridad y producir una plataforma, tejido o experiencia de identidad unificada y centrada en la seguridad.
Impact Leaders, en nombre de RSA Security, entrevistó detenidamente a 25 ejecutivos de grandes empresas sobre sus planes de gasto para 2023 y sus percepciones de la estrategia de identidad, la transformación digital, el espacio de gestión de acceso, los ataques basados en identidad, las tecnologías y las tendencias.
Además, en enero de 2023, Impact Leaders consultó por teléfono a seis altos ejecutivos de grandes empresas con unos ingresos medios de $40.000 millones de dólares para conocer sus opiniones sobre la identidad unificada y centrada en la seguridad.
Los CISO consideran que un único proveedor centrado en la seguridad es el socio de identidad adecuado para el futuro. La investigación de Impact Leaders muestra que los CISO tienen opiniones firmes sobre por qué la identidad es su centro de atención ahora, por qué es importante una experiencia unificada y por qué es primordial que sus proveedores de identidad preferidos se centren en la seguridad.
Los ejecutivos de TI se sienten presionados para ampliar la protección de datos de la simple defensa del perímetro de seguridad a la defensa en profundidad. Con el trabajo remoto, la identidad se ha convertido posiblemente en la extensión más lejana de ese concepto: es el nuevo perímetro a medida que los empleados trabajan desde casa, espacios de co-working, cafeterías y otros lugares públicos.
Según el Informe de Verizon sobre investigaciones de violaciones de datos (DBIR) de 2022, en 82% de las violaciones se utilizaron credenciales robadas, suplantación de identidad y otras vulnerabilidades de origen humano como punto de partida de las violaciones de seguridad.1
Ninguna organización está a salvo sin un plan para gestionar de forma segura riesgos de seguridad como las credenciales, el phishing, la apropiación de cuentas y otras vulnerabilidades.2 El DBIR también mostró que los delincuentes están aumentando su explotación de las credenciales de los usuarios a un ritmo equivalente al de los últimos cinco años juntos.3
Tanto si una organización se está sumergiendo en el estanque de la "autenticación robusta" como si está renovando el control de accesos para apoyar un cambio repentino a una plantilla remota, la identidad representa algo más que otro proyecto de seguridad. Es el barómetro más preciso de la salud general de un programa de gestión de riesgos.
100% de los CISO y líderes tecnológicos encuestados valoran más la rentabilidad que el coste por sí solo.
Cuando una empresa está creciendo -orgánicamente o por adquisición- puede confiar en la identidad para facilitar la integración de las empresas adquiridas, integrar los servicios en la nube y ayudar a los empleados que se incorporan a tener una transición más fácil y un tiempo más rápido para alcanzar la plena productividad. También ayuda con los despidos; el desaprovisionamiento es más fácil porque se puede automatizar. En resumen, la identidad es la base de la gestión de riesgos técnicos.
Los ejecutivos de TI y seguridad entrevistados para este informe detallaron sus estrategias para conseguir apoyo para una identidad unificada y centrada en la seguridad. Afirmaron que consiguen más presupuesto, más personal y un apoyo más duradero de la alta dirección para las iniciativas de identidad si se centran en el valor tanto en la parte superior como en la inferior del balance. La línea inferior muestra el valor de los costes evitados, como la reducción de riesgos, la reducción de personal, el cumplimiento normativo, la prevención de brechas de seguridad, etc., mientras que la línea superior muestra el valor de los beneficios recibidos, como ingresos, nuevos negocios, tasas de renovación, experiencias de usuario mejoradas, etc. La identidad unificada, centrada en la seguridad, hace un seguimiento tanto de la línea superior como de la inferior del balance en cuatro temas (Figura 1).
Figura 1: Impulsores empresariales de las soluciones de identidad
Fuente: Impact Leaders
Más de la mitad de los CISO informaron de que el aspecto "más molesto" de la identidad es trabajar con cuatro o más proveedores de identidad. Dos tercios de los CISO prefieren tener uno o dos proveedores de identidad en lugar de varios.
Aunque sólo unos pocos CISO (menos de 10%) piensan que dentro de una década el mercado de la ciberseguridad se consolidará en un puñado de grandes proveedores, como Microsoft, Palo Alto Networks, Amazon y Thoma Bravo, eso es sencillamente improbable.
La consolidación en el sector de la seguridad se ha intentado docenas de veces en los últimos cuarenta años y sencillamente no funciona.
Los grandes proveedores de recursos en la nube se apresuran hoy a crear carteras de productos e integrar en pocos años lo que las organizaciones llevan décadas poniendo a punto en sus propios centros de datos.
La prisa de estos grandes proveedores por ser "todo en TI" crea una resistencia natural en la adopción por parte de las empresas, porque los grandes proveedores de nube no seguirán el ritmo de la dinámica empresarial ni abordarán los riesgos de seguridad en rápida evolución. Además, las grandes empresas no pondrán toda la carne en el asador en un único proveedor de servicios en la nube, según el estudio de Impact Leaders.
Los grandes proveedores de nube no se centran en la seguridad. Puede que se la tomen en serio, pero eso no significa que sea su razón de ser. Hoy en día y en los próximos años, los CISO tienen previsto recurrir a proveedores especializados para abordar las mayores porciones del pastel de la seguridad informática: los riesgos de seguridad, los ataques basados en la identidad, la identidad y el acceso son porciones de las que los CISO y los equipos de TI quieren ocuparse de un solo bocado.
72% de los ejecutivos de TI afirman que la seguridad es el factor principal a la hora de elegir un proveedor de identidades.
Los CISO que buscan soluciones de identidad hoy en día quieren un socio proveedor con el que puedan contar, que integre toda la infraestructura y el ciclo de vida de la identidad y que refleje las mejores prácticas de los expertos en seguridad:
"Windows no puede ser nuestro único socio de seguridad. Simplemente no hace lo suficiente para proteger e integrarse con nuestro entorno fragmentado y cientos de aplicaciones downstream".
-CISO, $30BN EMPRESA DE PRODUCTOS DE CONSUMO
Un CISO dijo esto cuando se le preguntó por qué preferían una cartera de productos unificada de un proveedor centrado en la seguridad:
"Nuestros empleados a menudo no tienen teléfonos inteligentes en el trabajo, pero aún así necesitamos una alta seguridad en cada parte de nuestra huella de identidad y acceso. Tengo grandes esperanzas puestas en la autenticación multifactor (MFA) sin contraseña en el futuro, pero hoy necesito un socio que pueda realizar la identidad, hacerla funcionar y mantenerla segura."
-EJECUTIVO DE UN FABRICANTE DE CHIPS DE LA LISTA FORTUNE 500
Una cooperativa de crédito nacional obtuvo, según su director de información, 1,4 millones de euros en beneficios netos para la infraestructura y el riesgo en un periodo de dos años gracias a la implantación de una solución de identidad unificada y centrada en la seguridad:
"Oímos historias de terror de compañeros de otras cooperativas de crédito, y de empresas locales del sector sanitario, que habían sufrido ataques y habían tenido que pagar rescates en bitcoin o estar fuera de servicio durante días o semanas mientras restablecían las operaciones. Sabíamos que para nosotros era cuestión de tiempo que nos atacaran".
-EJECUTIVO, COOPERATIVA DE CRÉDITO NACIONAL
84% de los encuestados quieren que las soluciones de seguridad se integren con Microsoft, mientras que 92% no quieren depender totalmente de la seguridad de Microsoft.
Microsoft es un proveedor establecido y respetado de infraestructura local en la mayoría de las grandes empresas. Microsoft es también un respetado proveedor de servicios en la nube con Microsoft Azure Active Directory y una creciente cartera de aplicaciones en la nube.
El reto al que se enfrentan los CISO es que Microsoft no ofrece los mismos productos con la misma funcionalidad tanto para entornos en la nube como para recursos locales. Se trata esencialmente de dos carteras de productos que no pueden duplicar el rendimiento en sus respectivos despliegues.
Cada credencial es un objetivo para los delincuentes sofisticados; por lo tanto, cada usuario debe ser tratado como si tuviera acceso privilegiado.
Los CISO prefieren unificar la identidad en lugar de tener uno o dos proveedores. Un proveedor de identidad unificado y centrado en la seguridad produce beneficios cuantificables tanto en el desarrollo de un sistema de seguridad más sólido como en la prevención de riesgos y la mejora de la experiencia del usuario.
La identidad es el aspecto de la infraestructura de TI que más repercute en el riesgo de una organización. El enfoque de seguridad es el principal factor utilizado en la selección de un proveedor de identidad.
Este artículo se basa en el informe original de Impact Leaders. Consulte el informe original aquí.
