CISO Insights: Por qué no se pueden ignorar las identidades de máquina en la estrategia IAM

Este blog destaca las principales conclusiones para CIO y CISO del Informe sobre el estado de la gestión de identidades de máquinas 2021.

Independientemente del tamaño de su empresa y de su posición en el negocio (CISO, arquitecto, ingeniero o desarrollador), no cabe duda de que su forma de trabajar ha cambiado. En un año marcado por la disrupción, todos nos hemos visto empujados al trabajo remoto, lo que ha obligado a nuestros equipos a dejar de lado los enfoques de transformación digital de "andar, arrastrar y correr" y a acelerar, tanto si estábamos preparados como si no.

Esto ha supuesto más dispositivos, más conectividad y, en última instancia, más retos para los CIO y los CISO.

En un reciente post de Smarter with Gartner, los analistas destacaban que, "A medida que el número de dispositivos aumenta -y sigue creciendo-, establecer una estrategia a nivel empresarial para gestionar las identidades, certificados y secretos de las máquinas permitirá a la organización asegurar mejor la transformación digital."

¿Qué son exactamente las identidades automáticas?

La gestión de identidades y accesos (IAM) es un ingrediente clave de la seguridad empresarial. Eso ya lo sabemos. Sin embargo, durante la última década, las estrategias de IAM empresariales se han centrado casi por completo en las identidades humanas, es decir, las credenciales que los empleados utilizan para acceder a los dispositivos y las aplicaciones que utilizan a diario.

Sólo hay un problema: las identidades humanas son sólo un engranaje de la máquina IAM.

Hoy en día, su fuerza de trabajo digital es en parte humana y en parte máquina. De hecho, el número de máquinas, como contenedores, servicios, dispositivos móviles y IoT , supera con creces al de humanos en la empresa típica. Estas máquinas se han convertido en fundamentales para las operaciones empresariales: ejecutan sitios web y aplicaciones, conectan a los usuarios con los productos e incluso toman decisiones en fracciones de segundo con RPA y bots basados en IA.

Al igual que los humanos, cada una de estas máquinas necesita una identidad (es decir, claves criptográficas, certificados y secretos), y cada identidad necesita ser gestionada. La gestión de identidades de máquinas.

Lanzamos el primer Informe sobre el estado de la gestión de identidades de máquinas con un objetivo en mente: concienciar a los ejecutivos sobre la importancia de gestionar las identidades de máquinas en los negocios digitales.

Tanto si eres un CISO que persigue activamente una estrategia de gestión de identidades automáticas, como si apenas estás familiarizado con el concepto, los puntos clave a continuación arrojan luz sobre por qué las identidades automáticas son importantes y cómo afectan a tus iniciativas de transformación digital.

Conclusión nº 1: La nube y las estrategias de confianza cero encabezan las listas de éxitos

Primero las buenas noticias: A medida que las empresas cambian a estrategias de nube primero y confianza cero, los equipos están aprovechando las identidades de máquina para permitir el crecimiento y la transformación digital segura. A medida que los negocios se vuelven más digitales cada día, las identidades de máquina están asegurando miles de conexiones y transacciones cada segundo, lo que nos permite movernos a una escala y velocidad sin precedentes.

Según el estudio, las principales tendencias que impulsan el despliegue de la infraestructura de clave pública (PKI) y las identidades de máquina son los servicios basados en la nube, las estrategias de confianza cero y las plantillas remotas. A medida que la tendencia continúe, el volumen de identidades de máquina aumentará significativamente.

Conclusión nº 2: Las interrupciones de los certificados son generalizadas

Esto nos lleva a las malas noticias. A medida que se dispara el número de identidades de máquinas, se hace mucho más difícil gestionarlas. Mientras tanto, la menor duración de los certificados SSL / TLS ha duplicado la carga de trabajo de los equipos de PKI y de seguridad, aumentando el riesgo de interrupciones.

Las conclusiones del informe muestran que el problema está muy extendido y no hace más que empeorar:

• Las empresas sufrieron una media de tres interrupciones causadas por certificados caducados en los dos últimos años; el 41% sufrieron cuatro o más interrupciones.
• Al 59% de los encuestados le preocupa el aumento del riesgo de apagones debido a la menor duración de SSL/TLS
• El 40% de los encuestados afirma que es muy probable que se produzcan cortes en los próximos 24 meses.

Ya este año hemos visto lo perjudiciales y costosas que pueden ser estas situaciones, con Microsoft y Google experimentando cortes generalizados debido a claves y certificados mal gestionados.

Conclusión nº 3: Los mayores riesgos están bajo la superficie

Las interrupciones de certificados de alto impacto pueden acaparar los titulares, pero en realidad no son más que un síntoma superficial de un problema mucho mayor: la falta de visibilidad y gobernanza.

Cuando los equipos de seguridad no tienen control sobre las identidades de las máquinas, se abre la puerta a posibles ataques y fallos de auditoría que pueden ser mucho más costosos que una interrupción del servicio. El informe de este año reveló el alto riesgo y la frecuencia de estos incidentes:

• El 53% de las organizaciones no saben exactamente cuántas claves y certificados tienen
• Las auditorías fallidas y el robo o uso indebido de claves y certificados son las amenazas más frecuentes
• El 75% de los encuestados afirma que las auditorías fallidas son un incidente muy grave, frente a sólo el 34% de los encuestados que señalan las interrupciones no planificadas como un incidente muy grave.

Conclusión nº 4: Las identidades automáticas son ahora una prioridad en IAM

¿Qué significa todo esto? Las identidades de máquinas se han convertido en una parte vital de la estrategia de seguridad. En un informe reciente, Gartner destaca que "ahora es imprescindible una estrategia de gestión de identidades de máquinas en toda la empresa". Los CISO y los responsables de TI están tomando nota, pero aún queda trabajo por hacer.

En el estudio, el 40% de los encuestados afirma contar con una estrategia a escala empresarial para gestionar las identidades de las máquinas. Sin embargo, la mayoría de las empresas no tienen ninguna estrategia (18%) o tienen una estrategia limitada que se aplica solo a determinadas aplicaciones o casos de uso (42%).

Conclusión nº 5: La falta de competencias, herramientas y procesos frena a los equipos

Ya se ha dicho antes, pero merece la pena repetirlo: hay que gestionar y proteger la identidad de cada máquina. Reconocerlo es un paso en la dirección correcta, pero se necesitan personas, procesos y tecnología para implantar una estrategia eficaz en toda la empresa.

Por desgracia, las organizaciones se enfrentan a una serie de retos que les impiden poner en marcha sus planes. He aquí algunos de los obstáculos más comunes para el éxito identificados en el estudio:

• El 55% afirma no tener suficiente personal dedicado a la implantación de PKI.
• El 64% afirma que realiza el seguimiento de los certificados en hojas de cálculo, soluciones propias o herramientas de proveedores de CA.
• El 57% no dispone de un inventario preciso de contraseñas, claves y certificados SSH.
• El 60% carece de controles de acceso y flujos de trabajo formales para las claves de firma de código.

Descubra por qué la gestión de las identidades de máquinas es la próxima prioridad para los responsables de seguridad e IAM. Obtenga información de más de 1100 profesionales de TI y seguridad en el primer informe State of Machine Identity Management y compártalo con su equipo.