[06/05/2022] La gestión de identidades y accesos (IAM, por sus siglas en inglés) ha sido durante mucho tiempo un campo de pruebas clave en las carreras de los responsables de seguridad, con muchas decisiones decisivas sobre la implantación de tecnologías de identidad. Garantizar un acceso seguro y gestionar las identidades es la base de las posturas de ciberseguridad. Al mismo tiempo, las formas en que las personas, las aplicaciones y los sistemas se conectan y se integran entre sí son también puntos de contacto visibles para las partes interesadas del negocio. Los profesionales de la seguridad caminan por la cuerda floja de la usabilidad y la seguridad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Los controles de IAM y los mecanismos de autenticación débiles ponen a la empresa en riesgo de sufrir ataques, comprometer las cuentas, y limitar la visibilidad de la seguridad. Al mismo tiempo, los estrictos interrumpen el flujo del negocio.
Cómo han cambiado las herramientas de IAM
El escenario de buenas y malas noticias para las organizaciones que buscan tecnología IAM es que el espacio se ha vuelto significativamente más matizado y capaz, especialmente en la última media década. Las herramientas han facilitado mucho la gestión de la identidad en entornos híbridos y multi-nube, el control de las cuentas privilegiadas, una mayor visibilidad de los patrones de inicio de sesión, la autenticación basada en factores de riesgo, y la automatización del aprovisionamiento y otros elementos del ciclo de vida del usuario.
"Hemos observado una convincente segmentación del mercado entre las soluciones IAM. Ya sea que las soluciones puedan agilizar la experiencia del usuario a través de la IA, integrarse con los proveedores de servicios en la nube para mejorar la gestión de la carga de trabajo, u ofrecer una mejor visión de las operaciones de IAM a través de análisis avanzados, hay tantas funcionalidades disponibles hoy en día como nunca antes para que las organizaciones aprovechen para construir programas sólidos", sostiene Naresh Persaud, director gerente en los Servicios de Identidad Cibernética, Deloitte Risk and Financial Advisory.
Al mismo tiempo, como el mercado ha visto una explosión de nuevas capacidades, ha creado un número vertiginoso de submercados, con funciones que a veces son productos independientes, y a veces forman parte de una plataforma más amplia. Esto último es cada vez más probable a medida que los proveedores convergen rápidamente en este espacio, creando un alto grado de polinización cruzada de submercados y funcionalidad cruzada. En resumen, hay toneladas de opciones que pueden llevar a la parálisis del análisis de IAM.
"Muchas empresas de productos se centran por completo en el gobierno y la administración de la identidad (IGA, por sus siglas en inglés), mientras que otras se centran en la gestión de los accesos privilegiados (PAM, por sus siglas en inglés), siendo ambos dos elementos críticos de un programa de identidad eficaz. La autenticación es probablemente el área con mayor distribución de productos, con muchos jugadores en la industria que proporcionan tecnologías de autenticación de múltiples factores (MFA, por sus siglas en inglés)", explica JR Cunningham, CSO del proveedor de servicios gestionados Nuspire. "Es importante que una organización defina sus capacidades y requisitos actuales para asegurarse de que elige los productos que satisfacen sus necesidades".
Construir un programa de identidad
Cunningham explica que la construcción de un programa de identidad y la elección de una plataforma es una serie de decisiones de la plataforma, que generalmente ve el mayor éxito si una organización los toma en el orden correcto. Por ejemplo, las organizaciones que no cuentan con sólidas capacidades de autenticación básica -como la autenticación multifactor (MFA) y las capacidades de inicio de sesión único (SSO)- tendrán problemas con PAM.
"Igualmente, una organización que no tenga esos dos componentes, así como unos buenos procesos de gestión de identidades de empleados definidos, no va a obtener todo el valor de una plataforma de Gobierno y Administración de Identidades", anota Cunningham. "Las organizaciones exitosas van 'en orden': Autenticación, PAM/PIM, IGA".
A medida que las organizaciones evalúan las tecnologías de autenticación, Persaud también recomienda tener en cuenta la cuestión de escalar los despliegues a través de la cartera de aplicaciones, las líneas de negocio y las bases de usuarios de una organización. "Uno de los mayores retos al desplegar una plataforma IAM es hacerlo a escala. Aunque las herramientas de IAM pueden proporcionar absolutamente más valor cuando se integran y se conectan a más aplicaciones, dicho valor es difícil de conseguir a menos que la organización adopte un enfoque predecible y repetible para escalar las operaciones", afirma. "En particular, ayuda cuando utilizan un modelo operativo orientado al servicio para escalar el uso de la plataforma IAM, de modo que los propietarios de las aplicaciones, las partes interesadas y los líderes de la línea de negocio reciban apoyo mientras trabajan para escalar el uso de IAM y obtener su valor".
¿Cuáles son las principales herramientas de IAM?
Los siguientes proveedores son algunos de los principales contendientes de toda la gama de madurez de la identidad para que los CISOs los evalúen cuando lleven su juego de IAM al siguiente nivel.
Avatier: Con una larga historia en el mundo de la gestión de servicios de TI (ITSM) y del servicio de asistencia, Avatier se apoya en sus fuertes raíces en el aprovisionamiento automatizado de usuarios y la gestión de contraseñas para ofrecer su plataforma IGA. Últimamente, la compañía ha invertido mucho en esfuerzos de modernización que han construido su plataforma Identity Anywhere como una solución en contenedores que puede ser alojada en la nube o no. Su actualización más reciente ha añadido compatibilidad con el SSO sin contraseña y una experiencia de usuario universal en plataformas móviles, en la nube y de colaboración, como Slack, Teams y ServiceNow. Admite conectores a más de 90 aplicaciones y plataformas empresariales y cinco mil en la nube, así como un conector genérico de bajo código/sin código para integraciones personalizadas. Se trata de una plataforma que suele volar bajo los radares de los analistas, facturándose como una solución más asequible a los líderes del mercado en matrices como Forrester Wave o el Cuadrante Mágico de Gartner.
BeyondTrust: BeyondTrust, un pilar en el nicho de PAM, ha seguido reforzando sus capacidades para la gestión de cuentas privilegiadas, derechos en la nube y secretos de TI con funcionalidades añadidas a través de una fuerte acción de fusiones y adquisiciones e innovación interna. Además de PAM, la plataforma de la empresa ofrece una gestión centralizada para el acceso remoto, la gestión de privilegios de puntos finales en Windows y Mac, así como en Unix y Linux a través de su tecnología Active Directory Bridge.
Ahora también participa en el campo de la gestión de derechos de la infraestructura en la nube (CIEM) -una rama natural de PAM- a través de su nueva tecnología Cloud Privilege Broker, que gestiona los derechos en entornos de múltiples nubes. Se trata de un proveedor muy vinculado al mundo de la conformidad y la auditoría, y uno de sus elementos diferenciadores es su capacidad de generación de informes y visualización, según los analistas de Gartner; los clientes pueden incorporar análisis avanzados a través del paquete analítico BeyondInsight de la empresa. Un punto en el que los analistas sí advierten a los clientes es en la debilidad de la empresa en cuanto a las integraciones, tanto externas como incluso dentro de algunas de las funcionalidades de sus productos que se solapan.
CyberArk: CyberArk, el mayor proveedor de PAM por ingresos según Forrester Research, combina el PAM con la entrega de identidad como servicio (IDaaS). Reforzó su reputación de SaaS en el 2020 con la adquisición de Idaptive, que llevó al despliegue de SSO de la fuerza de trabajo y MFA de punto final, funciones de gestión de identidad de clientes, opciones sin contraseña y capacidades de autoservicio para la gestión de cuentas. Los analistas de Gartner señalan que los precios pueden estar muy por encima de la media para algunos casos de uso de la fuerza de trabajo. Cuenta con sólidas capacidades de análisis para alimentar programas de métricas de seguridad más maduros. También ofrece autenticación basada en el riesgo (RBA, por sus siglas en inglés) que los administradores pueden ajustar para tolerancias de riesgo alto-medio-bajo.
CyberArk también ofrece una funcionalidad CIEM madura, que incluye la puntuación de riesgo de la exposición a los permisos, a través de su Cloud Entitlements Manager, adecuado para entornos a gran escala y multi-nube. En el frente de IDaaS, Forrester señala que CyberArk es un competidor serio para aquellos que quieren "aplicar un enfoque basado en el riesgo a IDaaS" y sincronizarlo con las capacidades de gestión de identidades privilegiadas. Por otro lado, sus analistas advierten que "el rendimiento puede ser un problema", citando recientes eventos de degradación del servicio y la "falta de un historial probado de escalabilidad del producto".
ForgeRock: ForgeRock, un ejemplo del valor de los productos de identidad convergentes, reúne la gestión de acceso para la fuerza de trabajo, los clientes y las identidades de los dispositivos IoT en un conjunto de productos que pueden agruparse o desacoplarse a través de su modelo de entrega de plataforma de identidad como servicio (IDPaaS). La plataforma incluye fuertes componentes de gobierno de la identidad para aquellos que buscan capacidades IGA, como la gestión del ciclo de vida de la identidad. Es una de las favoritas entre los desarrolladores con visión de futuro y la multitud de DevOps, no solo por su mentalidad de prioridad a la nube, sino también por su sólido marco de API REST, herramientas para desarrolladores, comunidad y control de acceso a la API. Los analistas de Gartner han criticado últimamente a Forgerock por sus capacidades analíticas por debajo de la media, en comparación con el resto de la multitud de gestión de acceso, en gran parte debido a su incapacidad hasta ahora para servir las capacidades de Análisis de Comportamiento de Usuarios y Entidades (UEBA, por sus siglas en inglés) que se han prometido en su hoja de ruta desde el 2020.
Microsoft Azure Active Directory: Según los analistas de Forrester, Microsoft está entrando rápidamente en la lista de competidores de IAM con su producto Microsoft Azure Active Directory, que cuenta con la mayor base de instalación de IDaaS con más de 300 mil clientes de pago. Gartner atribuye el rápido crecimiento de Azure AD en este frente a su vinculación con Microsoft 365 y Microsoft Enterprise Mobility and Security (EMS) en el 2020, que, según dice, duplicó la base de instalaciones del producto. Su pan de cada día es el IAM de la fuerza de trabajo, más obviamente dentro de los entornos de TI dominantes de Microsoft. También se está poniendo al día con las capacidades de PAM e IGA a través de la innovación interna, que la empresa puso en marcha a finales del año pasado, y con las capacidades de CIEM que adquirió a través de la adquisición de CloudKnox Security. Uno de los puntos débiles que señalan los analistas de Gartner es el IAM de los clientes, para el que dicen que las capacidades de Azure AD siguen estando por debajo de las de otros líderes en la gestión de accesos.
Okta: A pesar del reciente ojo negro sufrido por Okta en su violación de datos pública revelada el mes pasado, la compañía sigue siendo una de las opciones de oro de Cadillac en el mundo de IAM. Okta ha sido una empresa centrada en la nube desde su fundación en el 2009, cuando los despliegues en la nube eran todavía casos extremos en muchas empresas. Su plataforma SaaS ofrece una amplia gama de funciones, tanto en paquete como independientes, que funcionan en entornos híbridos y complejos de múltiples nubes, como SSO, MFA, gestión de acceso a API, gestión del ciclo de vida y de usuarios, y automatización de identidades y orquestación de flujos de trabajo. Cuenta con uno de los ecosistemas de API y conectores más sólidos del mercado, y su adquisición de Auth0 el año pasado la situó firmemente en el mapa del espacio de IAM de clientes. También se adentró en el mundo PAM con el lanzamiento de Okta Privileged Access el año pasado. Los clientes pagan caro toda esa innovación, y Gartner señala que sus clientes "mencionan constantemente el alto costo de la solución de Okta".
One Identity: Antes de adquirir OneLogin el año pasado, One Identity era un proveedor de PAM e IGA con un rico conjunto de funciones para empresas, pero con un fuerte arraigo en el mundo de la IAM local.
Mientras tanto, OneLogin era una de las principales opciones de IDaaS ligeras y puras para organizaciones pequeñas y medianas sensibles a los precios que no requerían mucha funcionalidad administrativa o de gobierno.
Según una opinión de Forrester sobre el acuerdo, la incorporación de OneLogin al redil da a One Identity la oportunidad de entrar en la lucha por el IDaaS y diferenciarse de los proveedores que no tienen capacidades nativas de PAM o IGA. Dicen que la combinación se parecerá más a lo que hizo CyberArk con su adquisición de Idaptive. Sin embargo, aún es pronto para el matrimonio, por lo que queda por ver lo bien que la empresa puede integrar la tecnología de OneLogin y cruzar los puntos fuertes de las características de cada parte, ni está claro lo que la fusión significará para los precios de OneLogin y el enfoque en las organizaciones más pequeñas.
Ping Identity: Dirigida directamente a las empresas con entornos híbridos complejos, Ping Identity se sitúa a caballo entre el SaaS y el IAM local con la combinación de Ping One (plataforma IdaaS) y PingFederate (SSO federado). Además de las funciones estándar de IAM de los trabajadores y los clientes, como el SSO, la MFA y las capacidades de identidad en la nube, PingOne ha incorporado recientemente funciones de identidad descentralizada a través de una serie de adquisiciones en los últimos dos años. Ping también ha desarrollado recientemente un diseñador de flujos de bajo código y ha reforzado la RBA, así como una analítica más robusta que incluye visibilidad e inteligencia de la API. No es una plataforma completa de IAM -como explica Gartner-, Ping tiene pocas funciones de administración de identidades, lo que la hace menos útil para las organizaciones más pequeñas o para las que buscan capacidades de IGA o PAM incorporadas.
SailPoint: SailPoint, una de las potencias del mercado de IGA, ha sido creada especialmente para empresas distribuidas con entornos complejos que necesitan sofisticadas capacidades de automatización e integración para ayudar a llevar la madurez del programa de identidad al siguiente nivel con un mejor aprovisionamiento, análisis y gobierno basado en el riesgo de las carteras de identidad. Forrester afirma que la plataforma SailPoint obtiene los mejores resultados en la gestión del ciclo de vida de los usuarios, la gestión del cumplimiento, la fuerte integración con las aplicaciones y la compatibilidad con los sistemas IAM. Se ha esforzado por desarrollar su oferta de SaaS para mantenerse en línea con las cambiantes necesidades de los clientes, y sus calificaciones de los clientes son altas: fue votado como uno de los mejores proveedores de IGA en las calificaciones de Gartner Peer Insights Customers' Choice 2021.
Basado en el artículo de Ericka Chickowski (CSO) y editado por CIO Perú
Puede ver también: