En ciberseguridad, la identidad es fundamental. Y con la identidad, es absolutamente necesario conocer las respuestas a dos preguntas clave:
- ¿Son realmente los usuarios quienes dicen ser?
- ¿Quiénes son los usuarios de su sistema y a qué tienen acceso?
Las empresas de seguridad llevan décadas trabajando para dar respuesta a estas dos preguntas. Aunque responder a esas preguntas a escala puede no ser fácil, era más sencillo cuando todo el mundo trabaja desde el mismo sitio (o al menos detrás del mismo cortafuegos). Pero hoy en día, los usuarios pueden trabajar prácticamente desde cualquier sitio. Pueden estar trabajando desde casa, una oficina, su coche, una cafetería o un aeropuerto. Puede que necesiten acceder a aplicaciones y recursos ubicados en la nube, en varias nubes o en una oficina o centro de datos.
Tratar de asegurar, gobernar y gestionar usuarios a través de múltiples redes y ecosistemas de acceso puede ser complicado. Pero independientemente de dónde se encuentren físicamente los usuarios y de a qué estén intentando acceder, usted sigue necesitando respuestas.
El objetivo de la gestión de identidades y accesos (IAM) es responder a la primera pregunta. Las organizaciones utilizan las soluciones IAM para conceder o denegar el acceso a sus sistemas autenticando a los usuarios y autorizándoles a utilizar los recursos. La mayoría de la gente está familiarizada con el lado público de IAM. Si se conecta a un ordenador del trabajo, es posible que utilice algún tipo de autenticación multifactor (MFA) para demostrar que realmente es quien dice ser.
Obviamente, IAM es importante. Pero saber qué ocurre una vez que un usuario tiene acceso a la red también es fundamental. Obtener la respuesta a la segunda pregunta "¿a qué puede acceder este usuario?" es la forma en que los equipos de seguridad rastrean a los usuarios una vez que han obtenido acceso. Determinar qué está y qué no está permitido puede resultar difícil debido a la rápida expansión de las aplicaciones de software como servicio (SaaS), las infraestructuras multicloud, los dispositivos del Internet de las Cosas (IoT) y las diversas relaciones con terceros.
En un entorno de red complejo, puede resultar difícil para los gestores de identidades hacerse una idea completa de los recursos a los que puede acceder cada usuario. Esta falta de visibilidad también les dificulta identificar y priorizar los riesgos de identidad y garantizar el cumplimiento de los requisitos de seguridad y privacidad internos y externos.
Las soluciones de gobierno y administración de identidades (IGA) están diseñadas para ofrecer a sus equipos de seguridad y TI visibilidad de las identidades y los privilegios de acceso de los usuarios, de modo que tenga una mayor visibilidad y pueda gestionar mejor quién tiene acceso a qué sistemas, cuándo deberían tener acceso y qué pueden hacer con ese acceso. Poder ver tanto en la nube como en los entornos locales permite abordar situaciones de acceso de riesgo y garantizar el cumplimiento de la normativa.
Una plataforma IGA se compone de cuatro áreas críticas:
- Gobernanza de la identidad le ayuda a determinar quién tiene acceso a qué. Puede gestionar usuarios, funciones y aplicaciones de alto riesgo.
- Ciclo de vida de la identidad tiene que ver con el ciclo de vida de los usuarios, para que pueda determinar cómo obtuvieron acceso, cuándo se incorporaron, cómo cambia su acceso cuando cambian de función y cómo finaliza su acceso cuando se marchan. Una buena solución de gestión del ciclo de vida debería permitirle automatizar las solicitudes, las aprobaciones, el aprovisionamiento y el cumplimiento. Las soluciones de ciclo de vida también pueden aplicar políticas y detectar cambios no autorizados.
- Gobernanza del acceso a los datos le ofrece visibilidad de los datos no estructurados para que pueda determinar quién tiene acceso. Puede detectar rápidamente los accesos problemáticos y solucionar los problemas.
- Gestión de funciones empresariales establece funciones, sus políticas y automatiza la certificación de funciones
El uso indebido o comprometido de la identidad es una amenaza grave. Pero disponer de una única visión centralizada de quién tiene acceso a qué y dónde permite detectar problemas y riesgos antes de que se conviertan en algo mucho peor. Las soluciones IG&L pueden ayudar a las organizaciones a cumplir las normativas y requisitos de seguridad y privacidad, como la Ley Sarbanes Oxley (SOX), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (GDPR).
Las soluciones IGA también pueden reducir los costes al disminuir los procesos que requieren mucha mano de obra, como las certificaciones de acceso, las solicitudes de acceso, la gestión de contraseñas y el aprovisionamiento, que pueden tener un impacto significativo en los costes operativos de su equipo de TI.
El uso de herramientas IGA puede ayudar a las organizaciones a garantizar que a los empleados no se les concede demasiado acceso. Al tener sólo la menor cantidad de privilegios necesarios para hacer su trabajo, una cuenta de empleado comprometida no podrá moverse lateralmente a través de un entorno o ampliar su acceso con tanta facilidad. El mínimo privilegio es uno de los principios del modelo de seguridad de confianza cero, por lo que la eliminación del exceso de privilegios supone un paso más en el camino hacia la confianza cero.
Con los drásticos cambios en el volumen de transacciones, la intermediación social de la identidad, el acceso a la carta y la ampliación de los tipos de usuarios, el siguiente paso es que la seguridad responda a una tercera pregunta:
Quién debe ¿tener acceso a qué?
En el contexto de la gobernanza, preguntarse quién debe tener acceso tiene el potencial de hacer que el IGA pase de ser reactivo a proactivo, de modo que los equipos de seguridad puedan centrarse en actividades preventivas en lugar de forenses.
La industria de la ciberseguridad está aprovechando más la inteligencia artificial (IA) y el aprendizaje automático (ML), ya que esta tecnología puede aplicarse a la gobernanza de la identidad. Por ejemplo, actualmente, IGA utiliza análisis e información contextual para determinar las diferentes clases de acceso y privilegios, la amplitud de uso de los recursos y su criticidad o niveles de riesgo. La categorización del acceso utilizando ponderaciones de riesgo y normas internas ayuda a los revisores a centrarse en el acceso que tiene mayor impacto en la organización; llama su atención sobre las necesidades que deben abordar de inmediato.
IGA puede beneficiarse de la IA y el ML en estas áreas:
- Proporcionar contexto a un revisor en relación con un acceso previamente revocado. En otras palabras, un usuario tenía acceso a algo, pero en la última revisión se le retiró porque no debía tenerlo, pero luego se le volvió a conceder. ¿Se trata de una actividad de TI en la sombra? ¿Es algo que el usuario necesita esporádica o periódicamente para realizar una tarea?
- Puntuación del riesgo. La IA y el ML pueden utilizarse para ayudar a calcular derechos específicos y las acciones que se pueden realizar sobre ellos, como Leer, Escribir, Actualizar, Mover, Eliminar y Añadir. La IA puede utilizarse para actuar o notificar de forma proactiva cuando se concede acceso más allá de los controles prescritos. O incluso para examinar el contenido de los roles y grupos y luego sugerir proactivamente el acceso a determinadas personas basándose en el título, la función, la puntuación actual de riesgo / criticidad del usuario, o la inclusión en roles existentes para reducir la proliferación de roles.
- Incorporación de solicitudes. La IA y el ML pueden utilizarse para proporcionar información sobre atributos específicos, denotaciones e información del propietario que debe incorporarse a los controles antes de lanzar o poner en servicio una aplicación. La comprensión del servicio en relación con sus usuarios, el riesgo de los datos, las restricciones de uso y las normativas puede utilizarse para aplicar automáticamente las políticas, normas y objetivos de control adecuados.
- Aprovisionamiento a la carta. La IA y el ML se utilizan para seguir las tendencias de uso de los derechos, las carteras de controles de servicios, el catálogo de servicios o derechos disponibles, los comportamientos de los usuarios junto con los historiales de uso de los derechos anteriores y los títulos de las funciones de los usuarios, para proporcionar acceso cuando sea necesario para que ese usuario sea más eficiente. A medida que aprende lo que un usuario necesita a continuación, puede eliminar derechos inadecuados y evitar el proceso de solicitud y modificación gracias a la combinación de información.
- Evitación del riesgo. La IA y el ML pueden aprender de las actividades registradas por un sistema de gestión de eventos e información de seguridad (SIEM) o un gestor de sesiones. A continuación, puede eliminar una sesión de usuario o incluso suspender los puntos de acceso (cuentas) del usuario basándose en la actividad y comparándola con otras variables.
Cuando se aprovecha la IA y el ML en todas estas áreas, finalmente se puede lograr un modelo de cumplimiento continuo autónomo, o al menos acercarse a él.
RSA cuenta con décadas de experiencia y soluciones maduras tanto para IAM como para IGA. Nuestra amplia cartera de autenticadores, integraciones y opciones de autenticación sin conexión proporcionan la seguridad que necesita cuando y donde la necesite. Nuestras soluciones IAM aprovechan los análisis de comportamiento, el contexto empresarial y la inteligencia de amenazas para trazar una imagen completa del usuario y crear una puntuación de riesgos en tiempo real asociada a su acceso.
RSA Identity Governance & Lifecycle ofrece una garantía de acceso continua para que las organizaciones se aseguren de que sus usuarios tienen el nivel adecuado de acceso a sistemas, datos y aplicaciones. Proporciona visibilidad a través de islas de identidad en entornos mixtos de nube y locales. Esta plataforma automatizada de gobierno de identidades y cumplimiento de normativas proporciona un gobierno de accesos simplificado y una gestión del ciclo de vida de los usuarios optimizada con una interfaz de usuario fácil de utilizar. A diferencia de otras soluciones, la plataforma de RSA proporciona visibilidad en el nivel más bajo de acceso para detectar infracciones de cumplimiento, accesos inapropiados y cuantificar el riesgo de identidad en la organización. Los sofisticados análisis de riesgos priorizan la corrección de accesos y las acciones para que la empresa reduzca el riesgo de identidad.
Al combinar el control de identidades con análisis avanzados, RSA ayuda a su equipo de seguridad a comprender los riesgos relativos que plantean los distintos problemas de acceso y a priorizarlos para la acción.
Más información sobre las soluciones de identidad de RSA en RSA.com/productos
