En ciberseguridad, la identidad es fundamental. Y con la identidad, es absolutamente necesario poder responder a las preguntas más importantes: quién accede a sus sistemas, a qué pueden acceder y si ese acceso es apropiado.
Los equipos de seguridad llevan décadas trabajando para obtener respuestas fiables. Era más fácil cuando todo el mundo trabajaba desde el mismo sitio, o al menos detrás del mismo cortafuegos. Pero hoy en día, los usuarios podrían estar trabajando desde casi cualquier lugar, y pueden necesitar acceso a aplicaciones y recursos en la nube, a través de múltiples nubes o en un centro de datos.
Tratar de asegurar, gobernar y gestionar a los usuarios en estos entornos puede ser complicado. En las secciones siguientes, trataremos las preguntas que deben plantearse los equipos de seguridad sobre la identidad y el acceso, y explicaremos cómo el gobierno de la identidad le ayuda a convertir esas respuestas en controles más sólidos, riesgos reducidos y pruebas de cumplimiento más claras.
Gobernanza de la identidad es importante porque le ayuda a controlar y demostrar quién tiene acceso a qué, por qué lo tiene y cómo cambia ese acceso con el tiempo. En los entornos híbridos, es la diferencia entre asumir el mínimo privilegio y aplicarlo realmente.
Sin gobernanza, la proliferación de accesos crece silenciosamente a medida que los usuarios cambian de función, aparecen nuevas aplicaciones y las excepciones se hacen permanentes. Esto aumenta el impacto de las infracciones, ralentiza las investigaciones y dificulta las auditorías.
Antes de poder reducir el riesgo de identidad, necesita respuestas fiables sobre la confianza del inicio de sesión y la visibilidad del acceso. Empiece por separar la verificación de la identidad de la comprensión del acceso existente en los sistemas y entornos.
¿Son los usuarios quienes dicen ser?
La gestión de identidades y accesos (IAM) verifica la identidad de un usuario al iniciar sesión y decide si se le debe permitir el acceso a un sistema. En la práctica, esto significa autenticar al usuario y autorizarle el acceso a los recursos adecuados, a menudo mediante autenticación multifactor (AMF).
IAM es esencial, pero es solo el primer paso. Una vez que un usuario está dentro, los equipos de seguridad siguen necesitando visibilidad sobre a qué puede acceder ese usuario a través de aplicaciones SaaS, infraestructura multi-nube, dispositivos IoT y sistemas de terceros. Sin esa visibilidad, es más difícil detectar los accesos de riesgo, priorizar las amenazas a la identidad y cumplir los requisitos de seguridad y privacidad.
¿Quién está en el sistema y a qué puede acceder?
El gobierno y la administración de identidades (IGA) proporcionan visibilidad y control sobre quién tiene acceso a qué, en entornos en la nube y locales. Ayuda a los equipos a determinar qué acceso existe, si es apropiado y cómo debería cambiar con el tiempo.
La mayoría de los programas IGA se centran en cuatro capacidades básicas:
- Gobernanza de la identidad: Comprenda y revise quién tiene acceso a qué, incluidos los usuarios, funciones y aplicaciones de alto riesgo.
- Ciclo de vida de la identidad: Automatice los procesos de altas, bajas y traslados, incluidas las solicitudes, aprobaciones, aprovisionamiento y aplicación de políticas.
- Gobernanza del acceso a los datos: Identifique quién puede acceder a los datos no estructurados, detecte los accesos problemáticos y corríjalos rápidamente.
- Gestión de funciones empresariales: Defina funciones y políticas, reduzca la proliferación de funciones y automatice la certificación de funciones.
Cuando la identidad se utiliza indebidamente o se ve comprometida, el acceso excesivo o poco claro aumenta el impacto. Una visión centralizada del acceso ayuda a los equipos a detectar antes los problemas, a cumplir las normativas (como SOX, HIPAA y GDPR) y a reducir el trabajo manual relacionado con certificaciones, solicitudes y aprovisionamiento.
Saber quién tiene acceso es sólo una parte del problema. El siguiente paso es asegurarse de que el acceso está justificado, es apropiado para la función y está limitado por la política y el riesgo.
¿Por qué los usuarios necesitan acceder a determinados recursos?
Los usuarios necesitan acceder a los recursos para desempeñar responsabilidades laborales definidas, no porque tengan una cuenta o pertenezcan a un departamento. El gobierno de las identidades le ayuda a vincular el acceso a una justificación empresarial clara, a una función y a una política aprobada por el propietario.
Tácticamente, esto suele significar establecer modelos de acceso basados en funciones o políticas, exigir un propósito declarado para las excepciones y asignar propietarios de aplicaciones y datos que puedan aprobar el acceso en función del riesgo y la necesidad. Con el tiempo, la gobernanza reduce la “deriva del acceso” al revalidar si el acceso sigue siendo necesario cuando los usuarios cambian de función o de proyecto.
¿Qué harán los usuarios con determinados accesos?
El acceso no es sólo una decisión de sí o no. Determina qué acciones puede realizar un usuario, a qué datos puede acceder y cuánto daño podría causar una cuenta comprometida.
La gestión de identidades ayuda a los equipos a evaluar el acceso en función del riesgo, incluidas las acciones privilegiadas, la exposición a datos confidenciales y las combinaciones tóxicas de acceso que nunca deberían existir juntas. En la práctica, aquí es donde se introducen los privilegios mínimos, la separación de funciones, las certificaciones de acceso y los flujos de trabajo de corrección específicos para los derechos de alto riesgo. Aquí es también donde las capacidades de garantía de acceso continuo, como las de Gobernanza y ciclo de vida de RSA, y permiten una detección y corrección más rápidas.
¿Cómo se define en la práctica el mínimo privilegio?
Mínimo privilegio significa que los usuarios sólo tienen el acceso que necesitan para hacer su trabajo, durante el tiempo que lo necesitan, y nada más. No se trata de una decisión puntual. Es una disciplina continua.
Los equipos definen el acceso basado en funciones y los paquetes de acceso “por defecto”, y luego tratan cualquier cosa que se salga de la norma como una excepción que necesita justificación y aprobación. Las revisiones continuas de los accesos, las comprobaciones de la separación de funciones y la limpieza selectiva de los derechos de alto riesgo evitan que los privilegios se desplacen a medida que cambia el entorno.
El acceso cambia constantemente a medida que las personas se incorporan, cambian de función y se marchan. Una gobernanza sólida mantiene la precisión de los derechos mediante flujos de trabajo repetibles, actualizaciones puntuales y revisiones que conducen a una corrección real.
¿Cómo reducen el riesgo los procesos de incorporación, traslado y salida?
Los procesos de incorporación, traslado y cese reducen el riesgo al alinear el acceso con el estado del empleo y los cambios de función, de modo que el acceso no permanece cuando ya no es necesario. Cuando estos flujos de trabajo fallan, las cuentas huérfanas y los permisos obsoletos se convierten en vías fáciles para el uso indebido.
El objetivo práctico es la coherencia y la rapidez. Un buen proceso de ciclo de vida automatiza las solicitudes, aprobaciones, aprovisionamiento y desaprovisionamiento en todos los sistemas, y registra qué ha cambiado y por qué. Esto reduce la proliferación de accesos, limita el impacto de las infracciones y facilita las investigaciones y auditorías.
¿Cómo funcionan realmente las revisiones de acceso y las certificaciones?
Las revisiones y certificaciones de acceso funcionan haciendo que los revisores adecuados confirmen si el acceso de un usuario sigue siendo apropiado, en función de la función, la política y el riesgo. El resultado es un conjunto de decisiones, aprobar, revocar o ajustar, que deberían dar lugar a una corrección real.
Si se hacen bien, las revisiones tienen un alcance de acceso significativo, se dirigen a los responsables y se priorizan en torno a los derechos de alto riesgo. También producen pruebas aptas para auditorías mediante el seguimiento de quién revisó qué, qué decidieron, cuándo lo decidieron y si los cambios se completaron y verificaron.
El gobierno de la identidad debe formar parte de toda estrategia de riesgos cibernéticos porque la mayoría de las decisiones de riesgo significativas son decisiones de acceso. Si no puede explicar con seguridad quién tiene acceso, por qué lo tiene y si es apropiado, no podrá reducir el riesgo de forma coherente, responder con rapidez ni presentar pruebas listas para auditoría.
La gobernanza hace operativa la estrategia de riesgos haciendo que el acceso sea medible y aplicable. Ayuda a los equipos a priorizar la corrección en función del impacto, a reducir el exceso de derechos y a evitar el acceso huérfano mediante la automatización de los procesos de incorporación, traslado y abandono. Muchos equipos también cambian su programa más allá del cumplimiento de las casillas de verificación aplicando una perspectiva de riesgo a las decisiones de acceso, como se describe en la perspectiva de RSA sobre por qué la gobernanza necesita una perspectiva de riesgo.
Una sólida seguridad de la identidad requiere tanto la verificación en el momento del inicio de sesión como la gobernanza una vez concedido el acceso. RSA soluciones y productos respaldan esa visión completa, desde la autenticación hasta la garantía de acceso permanente en entornos híbridos.
Para saber más, explore Gobernanza y ciclo de vida de RSA para garantizar el acceso continuo, y las funciones de autenticación de RSA, que incluyen autenticación multifactor (MFA) y autenticación sin contraseña.
La gestión de identidades y accesos (IAM) verifica la identidad de un usuario al iniciar sesión y determina si se le debe permitir el acceso a un sistema. Autentica al usuario y autoriza el acceso a los recursos adecuados, a menudo mediante autenticación multifactor (MFA). IAM es esencial, pero es sólo el primer paso. Una vez que un usuario está dentro, los equipos de seguridad todavía necesitan visibilidad de lo que ese usuario puede acceder a través de aplicaciones SaaS, infraestructura multi-nube, dispositivos IoT y sistemas de terceros.
El gobierno y la administración de identidades (IGA) proporcionan visibilidad y control sobre quién tiene acceso a qué en entornos en la nube y locales. Ayuda a los equipos a determinar qué acceso existe, si es apropiado y cómo debería cambiar con el tiempo. La mayoría de los programas IGA se centran en el gobierno de la identidad, el ciclo de vida de la identidad, el gobierno del acceso a los datos y la gestión de roles empresariales. Una visión centralizada del acceso ayuda a los equipos a detectar antes los problemas, apoyar las necesidades de cumplimiento y reducir el trabajo manual relacionado con las certificaciones, las solicitudes y el aprovisionamiento.
Los usuarios necesitan acceder a los recursos para desempeñar responsabilidades laborales definidas, no porque tengan una cuenta o pertenezcan a un departamento. La gobernanza de la identidad vincula el acceso a una justificación empresarial clara, una función y una política aprobada por el propietario. En la práctica, esto significa utilizar modelos de acceso basados en funciones o políticas, exigir un propósito declarado para las excepciones y asignar propietarios de aplicaciones y datos que puedan aprobar el acceso en función del riesgo y la necesidad.
El acceso no es sólo una decisión de sí o no. Determina qué acciones puede realizar un usuario, a qué datos puede acceder y cuánto daño podría causar una cuenta comprometida. La gestión de identidades ayuda a los equipos a evaluar el acceso en función del riesgo, incluidas las acciones privilegiadas, la exposición a datos confidenciales y las combinaciones tóxicas de acceso que nunca deberían existir juntas. Es compatible con los privilegios mínimos, la separación de funciones, las certificaciones de acceso y los flujos de trabajo de corrección para los derechos de alto riesgo.
El mínimo privilegio significa que los usuarios sólo tienen el acceso que necesitan para hacer su trabajo, durante el tiempo que lo necesitan, y nada más. Los equipos definen el acceso basado en funciones y los paquetes de acceso por defecto, y tratan todo lo que se sale de la norma como una excepción que necesita justificación y aprobación. Las revisiones continuas de los accesos, las comprobaciones de la separación de funciones y la limpieza selectiva de los derechos de alto riesgo evitan que los privilegios se desplacen a medida que cambia el entorno.
Los procesos de incorporación, traslado y cese reducen el riesgo al alinear el acceso con la situación laboral y los cambios de función, de modo que el acceso no permanezca cuando ya no sea necesario. Un buen proceso de ciclo de vida automatiza las solicitudes, aprobaciones, aprovisionamiento y desaprovisionamiento en todos los sistemas, y registra qué ha cambiado y por qué. Esto reduce la proliferación de accesos, limita el impacto de las infracciones y facilita las investigaciones y auditorías.
Las revisiones y certificaciones de acceso funcionan haciendo que los revisores adecuados confirmen si el acceso de un usuario sigue siendo apropiado en función de la función, la política y el riesgo. Los revisores aprueban, revocan o ajustan el acceso, y las decisiones deben dar lugar a una corrección real. Si se hacen bien, las revisiones tienen un alcance de acceso significativo, se dirigen a los responsables, se priorizan en torno a los derechos de alto riesgo y se rastrean como pruebas listas para la auditoría.
