[08/07/2022] Las empresas llevan décadas desarrollando y ejecutando estrategias de gestión de identidades y accesos (IAM, por sus siglas en inglés). "Comenzó con el tiempo compartido en el mainframe, así que no hay nada nuevo", comenta Jay Bretzmann, director del programa de productos de seguridad de IDC. A pesar de esa larga experiencia, sigue habiendo oportunidades de cometer errores, especialmente cuando las empresas están actualizando sus plataformas de IAM a aquellas que pueden lidiar mejor con los despliegues de TI modernos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Aquí hay seis maneras de saber que la estrategia de IAM de una empresa está fallando.
1. Los usuarios no pueden acceder a sus aplicaciones, pero los delincuentes sí
El objetivo principal de una plataforma IAM es permitir que los usuarios legítimos accedan a los recursos que necesitan, al tiempo que se mantiene fuera a los malos. Si ocurre lo contrario, entonces algo va mal. Según el último informe de Verizon sobre incidentes de filtración de datos, el robo de credenciales fue el método de ataque más común el año pasado, implicado en la mitad de las filtraciones y en más del 80% de las filtraciones de aplicaciones web.
Lo primero que intentan hacer las empresas es abandonar las combinaciones simples de nombre de usuario y contraseña, y añadir contraseñas de un solo uso por mensaje de texto, señala Bretzmann. Esto no ayuda mucho, anota, y además agrava a los usuarios. "Si se hace bien, la IAM es más que el inicio de sesión único y la autenticación multifactorial", añade. "Se trata de entender la variedad de usuarios que solicitan acceso a los sistemas de TI y resolver sus problemas de conectividad".
Según el analista de Forrester, Andras Cser, los usuarios que entran en el ámbito de los sistemas de IAM de la empresa son los empleados, los socios comerciales y los clientes finales. Todos ellos requieren enfoques diferentes. En el caso de los empleados, las empresas suelen recurrir a proveedores de identidad como servicio, como Okta o Azure Active Directory, o a sistemas de IAM locales, que, según él, siguen siendo más potentes y con más funciones que las opciones basadas en la nube. Para los clientes, algunas empresas están empezando a pasar de los nombres de usuario y las contraseñas a los inicios de sesión sociales como Google y Facebook.
Una última categoría de acceso IAM son las identidades de máquina. Según una encuesta publicada la pasada primavera por Pulse y KeyFactor, las identidades de máquina son menos prioritarias que las de usuario, pero el 95% de los CIOs dicen que su estrategia IAM puede proteger las identidades de máquina de los ataques.
Las empresas también deben prestar atención al hecho de que están teniendo que proteger a todos estos diferentes tipos de usuarios a través de una variedad de entornos -en las instalaciones, en la nube, en SaaS, en los móviles y en el trabajo desde casa-.
2. Plataformas de gestión de identidades y accesos aisladas
Muchas organizaciones utilizan diferentes soluciones para la gestión de accesos, para el gobierno y la administración de identidades y para la gestión de accesos privilegiados, sostiene el analista de Gartner, Henrique Teixeira. Los silos crean trabajo extra, anota. "Y a menudo hay lagunas entre cada solución que los atacantes pueden aprovechar".
Los proveedores están empezando a avanzar hacia sistemas unificados para abordar este problema, indica Teixeira. "Okta y Microsoft, por ejemplo, han empezado a ofrecer plataformas más convergentes". Para el 2025, Gartner estima que el 70% de la adopción de IAM será a través de esas plataformas convergentes de IAM.
La IAM de cara al cliente se está quedando aún más atrás, señala Teixeira. "La mayoría de las organizaciones están utilizando aplicaciones personalizadas de cosecha propia. Eso es problemático a la hora de abordar los nuevos requisitos de regulación para la privacidad y la protección de la infraestructura contra tipos de ataques más modernos".
3. Plan de despliegue de IAM demasiado agresivo
Puede ser tentador pensar que una plataforma IAM lo hará todo de una vez. Los ejecutivos pueden fácilmente entusiasmarse demasiado con una solución, y los proveedores prometerán demasiado, comenta Cser. "Eso es problemático para muchas organizaciones", anota. "Si intenta instalar una solución de gestión de accesos y tiene que poner en marcha todas sus 300 aplicaciones en un solo día, eso va a ser un fracaso".
Cser recomienda, en cambio, un despliegue por fases. Intentar hacerlo todo de una sola vez es poco realista. Por ejemplo, a pesar de lo que prometen los proveedores, las empresas suelen tener que hacer más trabajo de personalización y orquestación para integrar sus aplicaciones. Esto es especialmente cierto si un enfoque moderno de IAM requiere rediseñar los procesos internos. Recomienda que las empresas que realicen una actualización de IAM aprovechen la oportunidad para simplificar y racionalizar los procesos primero. "Y no implementar el desorden existente. Es como una mudanza. Cuando se mueve de un lugar a otro, primero quiere tirar las cosas y no trasladarlas a la nueva ubicación".
4. Separar la autenticación y la autorización
"El IAM es la piedra angular de cualquier programa de seguridad y TI", señala Rohit Parchuri, CISO de Yext, una empresa de tecnología de búsqueda. Sin ella, los demás controles de seguridad tienen un valor de negocio disminuido y no desarrollarán todo su potencial, añade. "Hay que saber qué usuarios y activos existen en la cartera antes de empezar a protegerlos. IAM proporciona tanto la visibilidad del panorama de acceso como la habilitación de funciones para controlar ese acceso".
En puestos anteriores, Parchuri se encontró con un par de problemas a la hora de desplegar IAM. "Cuando nos aventuramos originalmente en la ejecución de IAM, nos faltó añadir algunas cosas a nuestros criterios de éxito", comenta. El primer problema era que la autorización se trataba como una entidad separada de la autenticación. "Con un servidor de autorización separado, teníamos que rebotar entre las prácticas de autenticación y autorización en dos sistemas diferentes". Esto aumentaba el costo total de propiedad y suponía una carga adicional para el equipo a la hora de gestionar dos entidades distintas.
5. Puntos ciegos de la cobertura de autenticación
Otro problema al que se enfrentaba Parchuri era que algunos sistemas internos no estaban catalogados y seguían dependiendo de la autenticación local. "Al tener autenticación local en nuestros sistemas internos, faltaba visibilidad en cuanto a la gestión de las sesiones y a las prácticas de incorporación y exclusión de los usuarios", afirma. La herramienta IAM debería haberse encargado de estas tareas, pero no lo hizo.
La empresa detectó el error mientras realizaba un ejercicio de cobertura de su programa de gestión de activos. "Descubrimos que las aplicaciones anotadas en nuestra base de datos de gestión de la configuración no estaban capturadas en la herramienta IAM", anota Parchuri. "Una vez que identificamos esas aplicaciones, también observamos que la herramienta IAM externalizaba la validación de la autorización a los sistemas on-prem desplegados localmente, aunque existían en la herramienta IAM como una entidad".
Para solucionar el problema, lo más difícil fue averiguar si la herramienta IAM y las herramientas internas podían integrarse mediante el lenguaje de marcado de aserción de seguridad (SAML, por sus siglas en inglés) o la gestión de identidades entre dominios (SCIM, por sus siglas en inglés). "Una vez que pudimos poner eso en marcha, el resto fue la ejecución y la gestión perpetua", señala Parchuri.
6. Múltiples sistemas de IAM causan problemas de visibilidad
Las empresas a veces tienen problemas para integrar plataformas IAM dispares, sostiene Luke Tenery, socio de StoneTurn, una empresa de asesoramiento global especializada en cuestiones de regulación, riesgo y cumplimiento. "Si tienen demasiados sistemas de gestión de identidades, se hace difícil encontrar relaciones entre las anomalías de seguridad", dice. "Ahí es donde está el dolor".
Muchos ciberataques, por ejemplo, implican alguna forma de compromiso del correo electrónico. Si la misma identidad se utiliza también para, por ejemplo, acceder al sistema Salesforce de una empresa, podría haber un retraso significativo antes de que se descubra ese segundo vector de ataque. "Si se trata del mismo nombre de usuario y la misma contraseña, pero gestionados de forma descentralizada, es posible que no vean que el compromiso tiene lugar en Salesforce", anota Tenery. "Si el tiempo de permanencia es más largo, hay un mayor riesgo de impacto para la organización. Cuanto más tiempo esté el cáncer en el cuerpo, más tiempo tiene esa amenaza para hacer daño".
Tenery dice que vio un caso en el que los actores de la amenaza fueron capaces de entrar en una base de datos de Salesforce para un programa de fidelización de un proveedor global de hostelería, consiguiendo acceder a millones de registros de clientes. La solución es crear una visión holística de la gestión de identidades y accesos en toda la empresa. "Puede ser un proceso laborioso reunir ese tejido conectivo", añade, "pero hay plataformas disponibles para ayudar a las organizaciones a consolidar sus funciones de IAM".
Si la integración directa no es una opción, agrega Tenery, hay herramientas avanzadas que aprovechan el aprendizaje automático y la inteligencia artificial que pueden crear automatizaciones para construir esos vínculos. En el caso de Salesforce y Office 365, existen integraciones directas. "Y hay herramientas de terceros, como Obsidian Security, que utilizamos", anota. "Es una plataforma que aprovecha diferentes formas de automatización y aprendizaje automático para identificar vínculos de identidad para detectar anomalías de seguridad y gestionar el riesgo de identidad".
Basado en el artículo de Maria Korolov (CSO) y editado por CIO Perú
Crédito foto: gnuckx / Public Domain
Puede ver también: