A medida que el mundo continúa adoptando la transformación digital y el trabajo distribuido, las empresas seguirán desplegando aplicaciones SaaS, sin dejar de utilizar herramientas locales. Como resultado, los ecosistemas híbridos son cada vez más comunes. Por desgracia, las prácticas actuales de gestión de identidades y accesos (IAM) simplemente no están a la altura de la tarea de gestionarlos.
La empresa media utiliza al menos 20 productos que gestionan y mantienen la identidad. El control de acceso a estos productos puede ser un caos, ya que las credenciales suelen estar repartidas por toda la organización. Es un verdadero tesoro para los hackers malintencionados.
¿Qué se puede hacer entonces? En la reciente Conferencia sobre Protección de Identidad Híbrida, moderé una mesa redonda del sector que empezó precisamente con esa pregunta. Discutimos los problemas de las prácticas actuales de gestión de identidades y cómo pueden las empresas actualizar sus prácticas para ser más eficientes, eficaces y seguras.
En este post, encontrarás los puntos clave del debate, en el que participaron Ricky Allen, CISO de Critical Start; Brian Desmond, director de Ravenswood Technology Group; Brandon Nolan, líder global de Identidad Digital y Recuperación de Avanade; y yo, fundador y CEO de TAG Cyber.
1. Las identidades y los puntos finales ya no pueden gestionarse por separado
El primer paso que deben dar las empresas es reconceptualizar su forma de abordar la IAM.
"Hay que considerar al mismo tiempo la seguridad de los puntos finales y la de las identidades", afirma Desmond. "Ya no hay diferencia entre ellas. Los días en que los dispositivos y la gestión de identidades eran gestionados por diferentes departamentos se han acabado; simplemente ya no funciona, especialmente si se tiene en cuenta la orientación establecida en torno a un modelo de confianza cero."
La IAM no es algo que un producto pueda proporcionar sin más. En su lugar, las empresas deben empezar por la gestión de identidades o de puntos finales y, a continuación, combinar ese elemento con su homólogo. Como parte de este proceso, es crucial establecer la propiedad de activos como secretos y bóvedas de claves, definir las identidades privilegiadas frente a las no privilegiadas y determinar niveles de acceso concretos.
En un entorno Microsoft, las empresas pueden lograr mejor este equilibrio cambiando a Azure Active Directory (Azure AD) porque permite funcionalidades críticas, como la autenticación multifactor (MFA).
2. La consolidación es el primer paso para resolver el reto de la seguridad híbrida
La complejidad es el principal obstáculo para una seguridad híbrida eficaz. Como muchas empresas han descubierto, un enfoque integrado es clave para abordar este obstáculo. Las organizaciones pueden trabajar con un proveedor de servicios de identidad para desmantelar gradualmente las soluciones de punto final existentes y consolidar su funcionalidad en una única plataforma. Dicho proveedor de identidades puede entonces conectarse a Azure, mejorando la eficiencia y reduciendo al mismo tiempo la dispersión.
"A los actores de amenazas les encanta su complejidad", afirma Nolan. "Como resultado, estamos viendo que muchas organizaciones exploran cómo alejarse de esa complejidad. Estamos empezando a ver mucho más movimiento hacia el juego de plataformas en lugar de soluciones de punto final."
3. Es necesaria la visibilidad en tiempo real
Una empresa sin una imagen clara de sus activos es un objetivo primordial para la explotación. Por desgracia, los entornos empresariales centrados en la nube se mueven con demasiada rapidez para las técnicas de auditoría tradicionales. Las instantáneas son igualmente inadecuadas, ya que ofrecen una imagen estática de un entorno dinámico.
"El inventario es un blanco móvil", afirma Desmond. "Cuando terminas una auditoría, la información que tienes ya está desfasada".
Las empresas pueden abordar este problema adoptando herramientas de detección automatizada. Las herramientas basadas en inteligencia artificial y aprendizaje automático pueden supervisar activamente la infraestructura y categorizar las alertas para que los equipos humanos de seguridad se ocupen de ellas. De este modo, las empresas pueden gestionar, detectar y corregir las amenazas en tiempo real.
"La visibilidad tiende a ser muy compleja", afirma Nolan. "En nuestro caso, dividimos un ecosistema en una capa de identidad, punto final, red y automatización, respectivamente. La idea es que la visibilidad va más allá de los activos o el inventario: Se trata tanto de telemetría de autenticación como de servicios de federación".
4. La cultura del legado es un punto de parada importante
Para que las empresas adopten la IAM híbrida, primero deben deshacerse de sus viejos hábitos, ideas y creencias sobre la autenticación y el control de acceso. Los sistemas heredados son un síntoma de esta vieja forma de pensar. Son, al mismo tiempo, la mayor amenaza para la seguridad a la que se enfrentan muchas empresas y el ancla que las sujeta durante la transformación digital.
"Creo que todo el tema de esta conversación aquí es establecer el mayor riesgo", dijo Allen. "Y me parece que son los equipos heredados. Siempre hemos adoptado un enfoque inverso, compatible con el pasado, aunque avancemos cada vez más rápido. No llevamos el mínimo común denominador con nosotros. Como resultado, básicamente tenemos que rebajar toda nuestra autenticación".
Salir de este paradigma y desprenderse de hábitos acumulados durante más de 20 años no es tarea sencilla. Requiere una importante colaboración entre TI y otros segmentos de la empresa. También exige que las empresas acepten el principio de "menos es más": cuantos menos sistemas distintos tenga una organización, mejor.
El futuro
Microsoft lleva mucho tiempo desempeñando un papel destacado en la seguridad empresarial. Sin embargo, en lo que respecta a la IAM híbrida, Azure AD tiene el potencial de desempeñar un papel aún más fundamental. Para cualquier empresa que trabaje con la pila de Microsoft, las licencias E5 son especialmente importantes, ya que proporcionan un mejor control de acceso, visibilidad y detección de amenazas.
"Creo que, en última instancia, la atención debe centrarse en lo que Microsoft está haciendo en el ámbito de la seguridad", concluyó Allen. "El enfoque de la compañía hacia sus productos ha cambiado, convergiendo en un único SKU de producto que ahora gestiona el correo electrónico al endpoint a la identidad en todos los ámbitos. Definitivamente merece la pena tenerlo en cuenta y estudiar las licencias de E5".
Mientras tanto, nuevas tecnologías como blockchain podrían redefinir cómo gestionamos el cifrado. Al almacenar un depósito de claves en un libro de contabilidad distribuido, no solo se puede proteger ese depósito, sino también garantizar que conserva su integridad. Dicho esto, esta tecnología es todavía muy teórica y es poco probable que la veamos antes de 2023.
Para la seguridad híbrida, las asociaciones son el camino a seguir
Proteger un entorno híbrido es una tarea compleja que exige muchos recursos y que obliga a las empresas a replantearse no sólo su infraestructura, sino toda su cultura. La actual escasez de talento representa quizás el mayor impedimento para la transformación. En última instancia, la identidad híbrida significa que no sólo será aconsejable asociarse con otras organizaciones, sino que será necesario.
"Según mi experiencia, una organización no puede hacerlo sola", añade Nolan. "Simplemente no hay suficientes recursos de seguridad híbrida cualificados para hacer el trabajo. Va a hacer falta una aldea: la asociación adecuada entre el vendedor, el proveedor de servicios y la empresa."