[22/04/2020] Un panorama de datos cambiante, la proliferación de amenazas basadas en credenciales y un ambiente normativo más difícil, están creando presión para que las organizaciones implementen sistemas de gestión de acceso e identidad (IAM, por sus siglas en inglés), a pesar de que los sistemas pueden ser un obstáculo para hacerlo bien.
Entre las cosas que pueden crear problemas al implementar un sistema IAM, se incluyen:
- Problemas de propiedad y colaboración. Un programa IAM exitoso requiere que se recopilen, manipulen y transformen datos de identidad para realizar funciones específicas de gobernanza y automatización. "Cuando los propietarios de datos no colaboran, o no pueden colaborar y estandarizar los atributos y procesos básicos, las funciones de IAM se vuelven poco claras, complejas y, en última instancia, disfuncionales”, explica Arun Kothanath, jefeestratega de seguridad de Clango, una firma independiente de asesoramiento de seguridad cibernética y proveedor de identidad y soluciones de gestión de acceso.
- La amplitud de la cooperación necesaria para el éxito. Todos los integrantes de una organización deben participar en la revisión, aprobación y despliegue operativo del sistema. "IAM toca prácticamente todas las facetas de una organización, desde el CEO hasta el practicante, y dada la dificultad general de instalación, integración y operación, requiere una mano de obra sostenida considerable y largos períodos de implementación”, señala Jack Mannino, CEO de nVisium, proveedor de seguridad para aplicaciones.
- Un enfoque miope en la tecnología. "Las organizaciones tienden a enfocarse rápidamente en la tecnología, en lugar de concentrarse en los humanos que la usarán”, observa Joseph Carson, científico jefe de seguridad de Thycotic, proveedor de soluciones de administración de cuentas privilegiadas. "Eso creará fricción entre los empleados y una mala adopción que dificultará o retrasará los despliegues”.
- Una infraestructura desordenada. La infraestructura de muchas organizaciones puede extenderse a través de múltiples ubicaciones tanto físicas como virtuales y, a menudo, se malinterpreta y configura mal. "Las iniciativas de IAM son difíciles de implementar debido al caos que es la industria moderna. La base sobre la que IAM necesita erguirse está fundamentalmente rota”, sostiene Adam Laub, CMO de Stealthbits, una compañía de software de ciberseguridad.
La importancia de la gobernanza de la identidad
A pesar de estos desafíos, las compañías continúan gastando en sistemas IAM. La compañía de investigación de mercado IDC estima que el mercado de IAM creció casi un 7% en el último año a ocho mil millones de dólares y continuará creciendo en dígitos dobles bajos durante los próximos años. Entre los impulsores detrás de ese crecimiento estará la transformación digital. "A pesar de toda la emoción asociada con la transformación digital, al menos del 60% al 70% de todas las cargas de trabajo informáticas se encuentran on premises”, afirma Jay Bretzmann, director de investigación de IDC para productos de seguridad cibernética. "Cuando esas cargas de trabajo se muevan, tendrán que cambiar su manera de concebir la identidad”.
Un componente fundamental de la estrategia de IAM de cualquier organización es la gobernanza y la administración de identidad (IGA, por sus siglas en inglés). Si IGA funciona como es debido, puede mejorar el proceso de identidad, facilitar el cumplimiento y reducir el riesgo de acceso no autorizado. "Sin IGA se vuelve muy difícil agregar y correlacionar datos dispares de identidad y derechos de acceso que se distribuyen en todo el panorama de TI para mejorar el control sobre el acceso de los usuarios”, afirma Henrique Teixeira, director de investigación de gestión de identidad y acceso en Gartner, unaempresa de investigación y asesoramiento.
"IGA es la disciplina responsable de las decisiones de tiempo de administración para la creación, modificación y suspensión de credenciales, que es una pieza fundamental para habilitar otras iniciativas de IAM, como la gestión de acceso y la gestión de acceso privilegiado”, agrega.
A menudo, la gobernanza es imprescindible para satisfacer a los reguladores. "La razón principal por la que la mayoría de las organizaciones comienzan a implementar IAM es para cumplir con alguna necesidad de cumplimiento o normativa”, señala Carson de Thycotic.
Fausto Oliveira, arquitectoprincipal de seguridad de Acceptto, empresa de seguridad cibernética centrada en la autenticación cognitiva, agrega que un buen sistema de gobernanza puede contribuir a una mejor aceptación de una solución IAM. "Las partes interesadas tienen diferentes puntos de vista, objetivos y problemas cuando se enfrentan a un proyecto transformador, como un sistema IAM”, afirma. "La gobernanza adecuada garantiza que este tipo de iniciativa conduzca a resultados bien definidos y que los problemas y desafíos planteados por las diversas partes interesadas se aborden, remedien o expliquen de una manera que se fomente la adopción”.
Métricas de identidad que importan
Una vez que se ha implementado un sistema IAM, es importante controlar su efectividad mediante el uso de métricas. El monitoreo es importante no solo para los gerentes del sistema, sino también para sus partes interesadas, que son casi todos. A continuación, 10 métricas clave a las que debe prestar mucha atención.
Restablecimientos de contraseña: "Junto al cumplimiento, los restablecimientos de contraseña son la razón por la cual las personas comienzan a justificar nuevas inversiones de identidad”, afirma Bretzmann de IDC. "En algunas organizaciones, hay entre siete y diez personas que restablecen sus contraseñas semanal o mensualmente”.
Él estima que un reinicio puede costarle a una organización entre 10 y 70 dólares. "Imagine hacer eso para la mitad de sus empleados cada mes”, observa.
Credenciales distintivas por usuario:Cuantas más credenciales necesite recordar un empleado, más probable será que tome atajos que puedan poner en peligro la seguridad. "El número de aplicaciones con las que se enfrentan las personas ha aumentado de 10 a más de 50”, afirma Bretzmann. "Los empleados no pueden hacer malabares con todas esas contraseñas, por lo que comienzan a reutilizarlas”.
"Verá a los atacantes rellenar sus credenciales”, continúa, "y usan una contraseña robada en un montón de aplicaciones porque las posibilidades de que funcione más de una vez son bastante buenas”.
Cuentas no correlacionadas: También conocidas como cuentas huérfanas, las cuentas no correlacionadas a menudo ocurren cuando hay un cambio en el estado de un empleado, generalmente cuando dejan la empresa. Un buen sistema IAM debería poder identificar tales cuentas porque mostrarán una cantidad anormal de inactividad. Es importante cerrarlas porque representan un riesgo de seguridad. "Están listos para el ataque si no están controladas”, advierte Morey Haber, CTO de BeyondTrust, fabricante de soluciones de gestión de cuentas privilegiadas y gestión de vulnerabilidades.
"Muchos programas de IAM han logrado un alto nivel de dominio en el abastecimiento de acceso a recursos”, agrega Laub de Stealthbits. "Pocos, en comparación, han logrado el mismo nivel de competencia para eliminar el acceso de manera completa o transferir los derechos de acceso cuando cambian las asignaciones de trabajo”.
Porcentaje de recursos propios:Los recursos sin un propietario representan una amenaza similar a las cuentas huérfanas. "El haber identificado, asignado y certificado la propiedad sobre cualquier recurso dado es una indicación de que el recurso está realmente en un estado gobernable”, explica Laub. "Para facilitar una revisión de derechos o una solicitud de acceso de autoservicio, un propietario de recursos debe estar presente para facilitar la transacción. Los recursos sin propietarios representan una brecha”.
Nuevas cuentas provisionadas: Es importante revisar estas cuentas porque a menudo están excesivamente provisionadas. "La razón por la que lo hacen es porque no están realmente seguros de qué sistemas puede necesitar el empleado”, explica Bretzmann. "Si contrato a alguien y le impido hacer su trabajo, yo estoy en falta. Deberíamos permitir que las personas hagan las tareas para las que han sido contratadas. Si no le da acceso a nada y le tienen que pedir acceso todo el tiempo, usted sobrecarga la mesa de ayuda. Eso es costoso y puede generar demoras”.
Un sistema IAM puede monitorear nuevas cuentas y determinar qué privilegios está utilizando un empleado y recomendar a un administrador los privilegios que no se están utilizando y que se deben eliminar.
Tiempo promedio para incorporar a un usuario: Cuanto más se demore en incorporar un nuevo usuario o un usuario cambiado, mayor será el impacto en la productividad de ese usuario. Cuanto más demore endar de baja a un empleado, más tiempo estará expuesto un vector de ataque potencial. "Dar de baja a los empleados que abandonan una empresa es un gran problema”, afirma Haber de BeyondTrust. "Recientemente, verifiqué mi cuenta con una compañía que abandoné hace 18 años y todavía estaba activa”.
La automatización puede ayudar a reducir el tiempo necesario para incorporar y dar de baja a los empleados. "Una vez que entiendo bien un rol, puedo hacer que un robot se encargue por completo de aprovisionar o dar de baja por mí”, explica Bretzmann. "Pero debe definir correctamente sus roles, porque si no lo hace, el robot puede abrir su ambiente a todo tipo de exposiciones”.
Cuentas privilegiadas sin propietario: "Este es un gran problema y un vector de ataque primario”, afirma Haber. "Una vez que una de estas cuentas se ve comprometida, un hacker tiene las llaves del reino”.
La administración de cuentas privilegiadas se ha convertido en un problema, ha generado una subcategoría completa de soluciones. Llamada gestión de acceso privilegiado (PAM, por sus siglas en inglés), busca imponer un estricto control y documentación de acceso privilegiado.
Un componente central de PAM es el almacenamiento de contraseñas. Cuando un usuario privilegiado necesita ejercer sus privilegios, verifica una contraseña de la bóveda y todo lo que se hace con esa contraseña hasta que se registra su retorno a la bóveda. "Eso me permite saber no solo quién tenía acceso administrativo, sino también qué hicieron, lo que me permite pasar auditorías de cumplimiento mucho más fácil que si no tuviera una solución PAM”, explica Bretzmann.
Violaciones de separación de funciones: Las políticas deben ser formuladas por una parte y aprobadas por otra. Un buen software de políticas señalará las violaciones a esa regla. "Es una cuestión de control y equilibrio”, afirma Bretzmann. "Usted no querrá que la persona que define la política tenga la capacidad de aprobar su ejecución”.
Revisiones de privilegios de acceso: Debido a que los privilegios de acceso siempre están en constante cambio y, a menudo, son demasiados privilegios, es importante comprender qué permisos están en uso, cuáles son efectivos y cuáles no se usan regularmente.
"Con regularidad, el seguimiento de dichos permisos y la automatización del análisis mediante correlación, notificación y protección proactiva es importante, ya que la mayoría de las irrupciones en la nube se producen cuando los atacantes pueden operar con privilegios elevados al comprometer las claves de acceso o las credenciales y girar lateralmente a través del ecosistema de TI”, señala Mannino de nVisium.
Número de identidades de máquina utilizadas: Un factor que contribuye a la complejidad de la gestión de la identidad moderna es que no solo los humanos tienen identidades y acceso a los recursos de la red, también los tienen las máquinas. "Tenemos algo de éxito en la protección de las identidades humanas porque las organizaciones gastan más de 10 mil millones de dólares en programas de IAM centrados en las identidades humanas”, afirma Kevin Bocek, vicepresidente de Estrategia de Seguridad e Inteligencia de Amenazas en Venafi, fabricante de una plataforma para proteger las claves y certificados digitales.
"Sin embargo”, continúa, "las mismas organizaciones gastan muy poco en proteger las identidades de las máquinas. Los atacantes lo saben, y están apuntando a las claves digitales y los certificados que las máquinas usan para autorizar las conexiones y comunicaciones de máquina a máquina”.
Las métricas clave no solo le pueden dar a una organización una buena idea de cómo está funcionando su solución IAM, sino también ayudarla a planificar el futuro al permitirle evaluar continuamente sus sistemas. Como Tim Wade, director técnico del equipo de CTO en Vectra Networks, proveedor de soluciones automatizadas de gestión de amenazas, señala: "Las organizaciones que invierten en IAM deben estar preparadas para revisar de forma iterativa la efectividad de la iniciativa y adaptarse a los requisitos emergentes mediante la creación, modificación y retiro de procesos anteriores”.
John P. Mello Jr., CSO