This post is also available in: Português Español
En el mundo de la seguridad digital, uno de los temas más discutidos en la actualidad es la gestión de identidades y accesos. En inglés aparece el término IAM, que sintetiza el concepto: definir y gestionar los roles y privilegios de acceso de usuarios y dispositivos a diversas aplicaciones en la nube y on-premise. La idea es crear una identidad digital por individuo o artículo. Una vez que se establece esta identidad, debe mantenerse y monitorearse durante todo el ciclo de vida de acceso de cada usuario o dispositivo.
Por lo tanto, IAM otorga acceso a los activos de una empresa a los que los usuarios y dispositivos tienen derecho y/o necesidad. Esto incluye incorporar usuarios y sistemas, permitir autorizaciones y eliminar usuarios y dispositivos de manera oportuna.
Luego, los sistemas IAM brindan a los administradores las herramientas y tecnologías para cambiar el rol de un usuario, rastrear sus actividades, crear informes sobre esas actividades y aplicar políticas de manera continua. Estos sistemas están diseñados para proporcionar un medio de administrar el acceso de los usuarios en toda la empresa, asegurando el cumplimiento de las políticas corporativas y los requisitos legales.
Con el concepto de “home office” cada vez más presente, IAM fue redefinido. Cada vez más empresas añaden usuarios remotos a sus rutinas, y además les dan mayor acceso a sus sistemas internos. Es algo que, en algunos casos, reveló debilidades en la arquitectura IAM de muchas empresas, acelerando el crecimiento del uso y evolución de esta metodología.
¿Cómo funciona IAM?
En resumen, los sistemas IAM tienen cuatro elementos básicos
- Un directorio o almacén de identidad de datos personales que el sistema utiliza para definir usuarios individuales.
- Un conjunto de herramientas para agregar, modificar y eliminar estos datos (relacionados con la gestión del ciclo de vida del acceso)
- Un sistema que regula y hace cumplir el acceso de los usuarios.
- Un sistema de auditoría e informes.
La regulación del acceso de los usuarios ha implicado tradicionalmente métodos de autenticación destinados a verificar la identidad de un usuario o dispositivo, incluidas contraseñas, certificados digitales, tokens de hardware y software de teléfonos móviles. Estas últimas formas de tokens surgieron hace casi 20 años y ahora se pueden encontrar en teléfonos inteligentes iOS y Android con aplicaciones de varias compañías. Los enfoques más modernos incluyen elementos biométricos y soporte para Fast Identity Alliance (FIDO).
En entornos informáticos más complejos, junto con las crecientes amenazas de seguridad, un nombre de usuario y una contraseña seguros ya no son suficientes. El cambio más notable ha sido la adición de Multi-Factor Authentication (MFA) a los productos de IAM. Hoy en día, los sistemas de gestión de identidad a menudo incorporan elementos de biometría, aprendizaje automático e inteligencia artificial, y autenticación basada en riesgos.
Funciones del IAM
El concepto desempeña una serie de funciones críticas en varios lugares de la seguridad digital de una empresa. Sin embargo, no siempre se piensa de esta manera porque estos roles se distribuyen entre diferentes grupos, como equipos de desarrollo, infraestructura de TI, gerentes de operaciones, departamento legal, etc. Como resultado, los equipos de IAM ya no toman todas las decisiones de metodología.
Una de las razones es que las técnicas de IAM son solo el comienzo de la gestión de una red segura. Requieren que las empresas definan sus políticas de acceso, especificando quién tiene acceso a qué datos y recursos de aplicaciones y bajo qué condiciones pueden hacerlo.
Muchas empresas han evolucionado sus políticas de control de acceso con el tiempo. Una de las consecuencias de esto es que tienen reglas superpuestas y definiciones de funciones que a menudo están desactualizadas y, en algunos casos, se aprovisionan incorrectamente. Entonces es necesario “limpiar” las identidades y revocar cualquier a href=»https://ostec.blog/es/nao-disponivelacceso-seguro/principio-de-minimo-privilegio/»>privilegio extra que los usuarios no necesiten, lo que significa dedicar más tiempo a la planificación inicial.
En segundo lugar, IAM necesita conectarse con todas las partes del negocio, como la integración con análisis, inteligencia empresarial, portales de clientes y socios y soluciones de marketing. De lo contrario, se vuelve irrelevante. De hecho, se recomienda que IAM adopte el mismo modelo de entrega de valor continuo que muchos equipos de DevOps en la nube usan para su software.
Otro punto es que IAM va más allá de proteger a los usuarios, incluyendo así la autenticación de entidades no humanas, como claves de aplicación y APIs. Estos elementos deben administrarse adecuadamente con equipos multifuncionales que reúnan a todas las partes interesadas.
Entonces, IAM debe estar estrechamente relacionado con la autenticación adaptativa y las herramientas MFA. La autenticación solía considerarse como una decisión binaria de ir/no ir al momento de iniciar sesión, como iniciar sesión en una VPN, por ejemplo. Actualmente, IAM necesita más dedicación para evitar la apropiación de cuentas y los ataques de phishing.
Como tal, una sugerencia es implementar MFA adaptable para todos los usuarios y tener un modelo de autorización en evolución, que permita el acceso remoto seguro. Esto aumenta la confianza y mejora la usabilidad general, ya que el acceso adaptable es solo el comienzo de soluciones de autenticación más inteligentes.
La mayoría de estos productos no cuentan con detección de fraude basada en recopilaciones biométricas pasivas, ni admiten firmas digitales ni orquestaciones de identidad. Dichas protecciones son necesarias debido a los nuevos y más sofisticados métodos de ataque de apropiación de cuentas.
Cumplimiento IAM
Los sistemas IAM pueden exigir el cumplimiento normativo al proporcionar las herramientas para implementar políticas integrales de seguridad, auditoría y acceso. Muchos sistemas ahora brindan funciones para garantizar que una empresa cumpla con las normas.
Esto es aún más importante en un contexto en el que varias legislaciones exigen que las empresas se preocupen por la gestión de la identidad. Regulaciones como HIPAA (un conjunto de estándares que las organizaciones de atención médica de EE. UU. deben cumplir para proteger los datos) responsabilizan a las empresas por controlar el acceso a la información de los clientes y empleados. Los sistemas de administración de identidad pueden ayudar a las organizaciones a cumplir con estas regulaciones.
Además, hay otros, como el Reglamento General de Protección de Datos (RGPD, la ley europea que inspiró la LGPD brasileña), que exige fuertes controles de seguridad y acceso de los usuarios. El RGPD exige que las empresas protejan los datos personales y la privacidad de los ciudadanos y las empresas de la UE. Para cumplir con estas leyes, es necesario automatizar muchos aspectos de IAM y garantizar que sus flujos de trabajo, procesos, derechos de acceso y aplicaciones sigan cumpliendo.
Constante atención
En el día a día con IAM, el primer punto es pensar en cómo evolucionan las políticas de “acceso a la primogenitura” de los usuarios. Estos son los derechos de acceso otorgados a los nuevos usuarios cuando comienzan a trabajar en una empresa. Las opciones sobre cómo los nuevos empleados, contratistas y socios reciben este acceso abarcan muchos departamentos diferentes. Por lo tanto, los sistemas IAM deben poder detectar cambios en los derechos de acceso automáticamente.
Este nivel de automatización es particularmente importante cuando se considera la activación y desactivación automática de usuarios, el autoservicio del usuario y la prueba continua de cumplimiento. No es factible ajustar manualmente los privilegios y los controles de acceso para cientos o miles de usuarios. Por ejemplo, no tener procesos de “salida” automatizados (y auditarlos periódicamente) casi garantizará que los derechos de acceso innecesarios no se revoquen por completo.
En segundo lugar, si bien las redes de confianza cero están de moda en este momento, el problema es poder monitorear continuamente estas confianzas a medida que se agregan nuevas aplicaciones a la infraestructura de una empresa. Es necesario estar atento a lo que hacen los empleados después de iniciar sesión, observando su comportamiento.
A continuación, la relación de IAM y el inicio de sesión único (SSO) debe organizarse cuidadosamente. El objetivo es obtener un sistema SSO integrado por un grupo de usuarios que puedan mediar el acceso a todas las generaciones de aplicaciones que utiliza la empresa. Sin embargo, esto no significa necesariamente usar una herramienta SSO para todo el sistema.
Además, los equipos de IAM deben estar familiarizados con varias arquitecturas de nube. Hay ejemplos de prácticas recomendadas de seguridad de IAM para Amazon Web Services (AWS), Google Cloud Platform y Microsoft Azure. La integración de estas prácticas con la red y la infraestructura de aplicaciones de una organización será un desafío, y cerrar las brechas de seguridad entre estos proveedores de la nube trae beneficios para el negocio.
Finalmente, los administradores de TI deben incorporar la gestión de identidad desde el principio con cualquier aplicación nueva. Se recomienda seleccionar cuidadosamente una aplicación de destino que se pueda usar como plantilla para «pilotar» cualquier IAM y gobierno de identidad, y solo luego expandirse a otras aplicaciones en toda la empresa.
¿Ya conoces OSTEC Push?
OSTEC Push es un canal de noticias y otras informaciones relevantes sobre el mundo de la seguridad digital, para que estés siempre al día.
El contenido se envía a través de WhatsApp, y para acceder solo hay que hacer dos simples y rápidas acciones.
1º Registra el número +55 (48) 3052-8526 en tus contactos como “OSTEC Push”, para que puedas recibir los mensajes;
2º Registra tu número de WhatsApp en este enlace.
Bien, ¿ves lo simple y rápido que es?
¡A partir de ese momento recibirás nuevos contenidos diariamente directo a tu celular!
Comparte con tus contactos para que ellos también puedan registrarse y recibir nuestro contenido.
This post is also available in: Português Español
