Cómo establecer un grupo de trabajo de gestión de identidades de máquinas

Las identidades de máquinas están proliferando en la empresa. Para prueba, no hay más que ver la Cumbre IAM 2022 de Gartner.

Y al igual que las identidades humanas, estas identidades de máquinas requieren una gestión adecuada de secretos, claves y certificados para mantener la seguridad. Pero a diferencia de las identidades humanas, estas identidades de máquinas requieren un enfoque adicional en la propiedad, la automatización, el descubrimiento y una mejor relación con los desarrolladores.

En pocas palabras, las organizaciones necesitan una estrategia clara a nivel empresarial para la gestión de identidades de máquinas. Sin embargo, los distintos equipos tendrán diferentes necesidades y preferencias en cuanto a herramientas y mejores prácticas. Entonces, ¿cómo deben tomarse estas decisiones?

La respuesta es un grupo de trabajo de gestión de identidades de máquinas.

Un grupo de trabajo de gestión de identidades de máquinas es un grupo multifuncional con partes interesadas de los equipos de IAM, Seguridad, DevOps, Infraestructura y Operaciones y Nube que se reúnen periódicamente para establecer la propiedad, tomar decisiones sobre políticas y herramientas y crear directrices en torno a las políticas de identidades de máquinas.

Este grupo de trabajo es la siguiente iteración de un Centro de Excelencia en Criptografía (CCOE) y está diseñado para superar la idea de que un solo equipo puede gestionar con éxito esta estrategia para toda la organización. En cambio, un grupo de trabajo reconoce que ningún equipo tiene la experiencia para gestionar todas las identidades de máquinas o representar los diversos intereses de toda la organización.

Uno de los principales desafíos para desarrollar una estrategia eficaz de gestión de identidades de máquinas es la alineación organizacional. 

Un grupo de trabajo de gestión de identidades de máquinas puede ayudar a superar este desafío al crear un único grupo que represente los diversos intereses de los equipos y tenga una autoridad clara sobre:

• Las mejores prácticas, el desarrollo de procesos y las herramientas
• La toma de decisiones cuando surjan conflictos relacionados con la identidad de las máquinas
• Las respuestas a las preguntas de los usuarios de toda la empresa

Como resultado, otorgar a este grupo la responsabilidad de liderar la gestión de identidades de máquinas ayuda a crear alineación sin centralizar la autoridad en un único departamento.

Las responsabilidades clave de un grupo de trabajo de gestión de identidades de máquinas incluyen:

• Establecer una misión: El grupo debe acordar cómo apoyará la gestión de identidades de máquinas en toda la organización. Su misión debe describir cómo centralizarán la toma de decisiones mientras trabajan de manera más descentralizada para compartir nuevas directrices en toda la organización a lo largo del tiempo. Una parte importante de esta misión debe ser establecer expectativas con los equipos pertinentes sobre cómo funcionará el grupo, cuáles son sus responsabilidades y cómo y cuándo interactuar con el grupo.
  
  
• Definir las mejores prácticas: Definir las mejores prácticas para toda la organización permitirá a los equipos individuales avanzar rápidamente en la gestión de identidades de máquinas, ya que podrán consultar esas prácticas en lugar de tener que consultar al grupo de trabajo con cada pregunta o iniciativa que surja. Además, estas mejores prácticas garantizarán que cada equipo adopte un enfoque estandarizado. Las áreas clave para las mejores prácticas son:

• Decisiones sobre herramientas
• Procesos de descubrimiento
• Definiciones de propiedad
• Requisitos de cumplimiento
• Uso de bibliotecas para interactuar con identidades de máquinas

• Actuar como punto único de contacto: El grupo de trabajo debe ser un punto único de contacto para los usuarios de diversos equipos de toda la organización en relación con cualquier pregunta o problema que surja en torno a la gestión de identidades de máquinas. Independientemente del origen de las preguntas, el grupo debe dar una única respuesta a través de un proceso estandarizado para evitar discrepancias en toda la organización.
• Realizar investigación: El ámbito de la gestión de identidades de máquinas evoluciona rápidamente, con protocolos y tecnologías que cambian con mucha regularidad. Corresponde al grupo de trabajo investigar regularmente estos cambios y comprender su impacto para poder ajustar las mejores prácticas y los procesos según sea apropiado y así mantenerse al día o incluso adelantarse a las tendencias del mercado.
• Ofrecer liderazgo de pensamiento: La gestión de identidades de máquinas es cada vez más crítica para la práctica general de seguridad de una organización. Como resultado, el grupo de trabajo debe hacer algo más que simplemente ofrecer recomendaciones prácticas. También deben mantenerse a la vanguardia de las tendencias para ofrecer liderazgo de pensamiento en torno a prácticas innovadoras y los próximos cambios en el sector.
• Asumir la toma de decisiones estratégicas: El grupo de trabajo deberá asumir la toma de decisiones estratégicas en torno a las políticas de gestión de identidades de máquinas, particularmente en lo que respecta a las herramientas. Por ejemplo, el grupo debe proporcionar una orientación clara sobre qué tipo de herramientas implementar en diferentes situaciones y cómo gestionar los sistemas heredados obsoletos.
• Asignar la propiedad: Es importante destacar que el grupo de trabajo no tiene que poseer realmente todas las herramientas de gestión de identidades de máquinas, solo tiene que poseer las políticas y la toma de decisiones en torno a esa tecnología. Esto incluye determinar qué equipos deben poseer diferentes soluciones y cómo deben gestionar esas herramientas.

Establecer un grupo de trabajo de gestión de identidades de máquinas es un paso importante en el desarrollo de una estrategia a nivel empresarial, y formar parte de uno es una responsabilidad que los miembros deben tomar en serio.

Teniendo esto en cuenta, las consideraciones clave para iniciar con éxito un grupo de este tipo incluyen encontrar a las personas con las habilidades necesarias y asegurar la representación de varios equipos y unidades de negocio, muchos de los cuales pueden tener objetivos conflictivos. Al reunir a estas personas, el objetivo debe ser conformar un grupo de representantes que ofrezcan una buena combinación de habilidades, experiencias y comprensión de las diferentes partes de la organización.

Más allá de las personas que conformarán el grupo de trabajo, también es esencial considerar los entornos híbridos y multinube, así como cualquier otro marco de seguridad (como el de confianza cero) ya implementados y las identidades actualmente en uso en toda la empresa.

En general, es importante empoderar al grupo para que guíe proactivamente la estrategia y la toma de decisiones, en lugar de que actúe como un organismo reactivo.

Una estrategia continua de gestión de identidades de máquinas es aquella que evoluciona junto con las necesidades de la organización y las tendencias del entorno. El grupo de trabajo de gestión de identidades de máquinas puede ayudar a guiar esta estrategia a través de las siguientes fases clave:

• Iniciar: Introducir una estrategia para mejorar la orientación, cumplir los requisitos de seguridad y escalar de manera consistente la adopción de herramientas de seguridad en toda la organización.

• Definir: Definir claramente qué es una identidad de máquina (frente a una identidad humana), incluyendo categorizaciones para identidades de dispositivos e identidades de cargas de trabajo.

• Establecer: Designar un equipo responsable de la estrategia de gestión de identidades de máquinas, es decir, un grupo de trabajo con representantes de toda la organización.
• Decidir: Elegir las herramientas adecuadas para gestionar las identidades de máquinas para cada caso de uso que la organización encuentre.

Más allá de esas fases iniciales, hay varias otras fases a considerar para cada caso de uso:

• Descubrir: Identificar las máquinas que necesitan ser gestionadas y controladas.
• Evaluar: Utilizar datos para medir el éxito, informar sobre esos esfuerzos y ajustar según sea necesario.
• Alinear: Definir las mejores prácticas para que todos en la organización las sigan.
• Corregir: Ajustar los sistemas no conformes y eliminar las identidades de máquinas no utilizadas.
• Automatizar: Introducir la automatización para la gestión del ciclo de vida de la identidad.
• Habilitar: Capacitar a las partes interesadas para que sigan las mejores prácticas establecidas y escalen la gestión de identidades de máquinas.

La gestión de identidades de máquinas cobrará aún más importancia el próximo año. Como resultado, es fundamental asegurar que su organización tenga una estrategia claramente definida y bien alineada lo antes posible. Y el mejor lugar para empezar es con un grupo de trabajo de gestión de identidades de máquinas.

Por supuesto, la gestión de identidades de máquinas a largo plazo implica muchos aspectos. Para obtener más información sobre lo que está en juego y cómo Keyfactor puede ayudar, comience por contactarnos aquí.