Cómo crear un grupo de trabajo sobre gestión de identidades de máquinas

Las identidades de máquina están explotando en la empresa. No busque más Cumbre IAM 2022 de Gartner para comprobarlo.

Y al igual que las identidades humanas, estas identidades de máquina requieren una gestión adecuada de secretos, claves y certificados para mantener la seguridad. Pero a diferencia de las identidades humanas, estas identidades de máquina requieren un enfoque adicional en la propiedad, automatización, descubrimiento y mejores relaciones con los desarrolladores.

Sencillamente, las organizaciones necesitan una estrategia clara a nivel de toda la empresa para la gestión de la identidad de los equipos. Sin embargo, los distintos equipos tendrán necesidades y preferencias diferentes en cuanto a herramientas y mejores prácticas. Entonces, ¿cómo deben tomarse estas decisiones?

La respuesta es un grupo de trabajo sobre gestión de identidades de máquinas.

Un grupo de trabajo de gestión de identidades de máquinas es un grupo multifuncional con partes interesadas de los equipos de IAM, Seguridad, DevOps, Infraestructura y Operaciones y Nube que se reúnen periódicamente para establecer la propiedad, tomar decisiones sobre políticas y herramientas y crear directrices en torno a las políticas de identidades de máquinas.

Este grupo de trabajo es la siguiente iteración de un Crypto Center of Excellence (CCOE) y está diseñado para superar la idea de que un equipo puede gestionar con éxito esta estrategia para toda la organización. En su lugar, un grupo de trabajo reconoce que ningún equipo tiene la experiencia necesaria para gestionar todas las identidades de las máquinas o representar intereses variados en toda la organización.

Uno de los principales retos a la hora de desarrollar una estrategia de gestión de identidades de máquinas es la alineación organizativa.

Un grupo de trabajo de gestión de identidades de máquinas puede ayudar a superar este reto creando un único grupo que represente intereses variados de todos los equipos y tenga una autoridad clara sobre:

• Mejores prácticas, desarrollo de procesos y herramientas
• Toma de decisiones cuando surgen conflictos relacionados con la identidad de las máquinas
• Respuestas a las preguntas de los usuarios de toda la empresa

Como resultado, otorgar a este grupo la responsabilidad de dirigir la gestión de identidades de máquinas ayuda a crear alineación sin centralizar la autoridad en un único departamento.

Entre las principales responsabilidades de un grupo de trabajo de gestión de identidades de máquinas se incluyen:

• Establecer una misión: El grupo debe alinearse sobre cómo apoyarán la gestión de identidades de máquinas en toda la organización. Su misión debe esbozar cómo centralizarán la toma de decisiones al tiempo que trabajan de forma más descentralizada para compartir nuevas directrices en toda la organización a lo largo del tiempo. Una parte importante de esta misión debe ser el establecimiento de expectativas con los equipos pertinentes sobre cómo funcionará el grupo, cuáles son sus responsabilidades y cómo y cuándo involucrar al grupo.
  
  
• Definir las mejores prácticas: Definir las mejores prácticas para toda la organización permitirá a los equipos individuales moverse con rapidez en torno a la gestión de identidades de máquinas, ya que podrán remitirse a dichas prácticas en lugar de tener que consultar al grupo de trabajo cada vez que surja una pregunta o iniciativa. Además, estas mejores prácticas garantizarán que cada equipo adopte un enfoque estandarizado. Las áreas clave para las mejores prácticas son:

• Decisiones sobre herramientas
• Procesos de descubrimiento
• Definiciones de propiedad
• Requisitos de conformidad
• Uso de bibliotecas para interactuar con identidades de máquinas

• Actuar como punto de contacto único: El grupo de trabajo debe ser un único punto de contacto para los usuarios de diversos equipos de toda la organización para cualquier pregunta o problema que surja en torno a la gestión de identidades de máquinas. Independientemente de dónde se originen las preguntas, el grupo debe dar una respuesta única a través de un proceso estandarizado para evitar discrepancias en toda la organización.
• Investigar: El espacio de gestión de identidades de máquinas evoluciona rápidamente, con protocolos y tecnologías que cambian con mucha regularidad. Corresponde al grupo de trabajo investigar periódicamente estos cambios y comprender su impacto para poder ajustar las mejores prácticas y procesos según proceda para mantenerse al día o incluso adelantarse a las tendencias del mercado.
• Ofrezca liderazgo intelectual: La gestión de identidades de máquinas es cada vez más importante para la práctica general de seguridad de una organización. Por ello, el grupo de trabajo debe hacer algo más que ofrecer recomendaciones prácticas. También debe mantenerse a la vanguardia de las tendencias para ofrecer liderazgo intelectual en torno a prácticas innovadoras y próximos cambios en este ámbito.
• Toma de decisiones estratégicas propias: El grupo de trabajo deberá encargarse de la toma de decisiones estratégicas en torno a las políticas de gestión de la identidad de las máquinas, sobre todo en lo que respecta a las herramientas. Por ejemplo, el grupo deberá proporcionar orientaciones claras sobre qué tipo de herramientas aplicar en diferentes situaciones y cómo gestionar los sistemas heredados antiguos.
• Asignar la propiedad: Es importante destacar que el grupo de trabajo no tiene por qué ser el propietario de todas las herramientas de gestión de identidades de máquinas, sino que sólo tiene que ser el propietario de las políticas y la toma de decisiones en torno a esa tecnología. Esto incluye determinar qué equipos deben ser propietarios de las diferentes soluciones y cómo deben gestionar dichas herramientas.

Establecer un grupo de trabajo de gestión de identidades de máquinas es un paso importante en el desarrollo de una estrategia para toda la empresa, y formar parte de él es una responsabilidad que los miembros deben tomarse en serio.

Teniendo esto en cuenta, las consideraciones clave para iniciar con éxito un grupo de este tipo incluyen encontrar a las personas con las aptitudes necesarias y garantizar la representación de varios equipos y unidades de negocio, muchos de los cuales pueden tener objetivos contrapuestos. Al reunir a estas personas, el objetivo debe ser reunir a un grupo de representantes que ofrezcan una buena combinación de competencias, experiencias y conocimientos de las distintas partes de la organización.

Más allá de las personas que compondrán el grupo de trabajo, también es esencial tener en cuenta los entornos híbridos y multi-nube, así como cualquier otro marco de seguridad (como la confianza cero) ya implantados y las identidades que se utilizan actualmente en la empresa.

En general, es importante facultar al grupo para que oriente de forma proactiva la estrategia y la toma de decisiones, en lugar de servir de órgano reactivo.

Una estrategia estrategia de gestión de identidades de máquinas es aquella que evoluciona junto con las necesidades de la organización y las tendencias del entorno. El grupo de trabajo de gestión de identidades de máquinas puede ayudar a guiar esta estrategia a través de las siguientes fases clave:

• Iniciar: Introducir una estrategia para mejorar la orientación, cumplir los requisitos de seguridad y ampliar de forma coherente la adopción de herramientas de seguridad en toda la organización.

• Definir: Definir claramente qué es una identidad de máquina (frente a una identidad humana), incluyendo categorizaciones para identidades de dispositivo e identidades de carga de trabajo.

• Establecer: Designar un equipo responsable de la estrategia de gestión de identidades de máquinas, es decir, un grupo de trabajo con representantes de toda la organización.
• Decidir: Elegir las herramientas adecuadas para gestionar las identidades de las máquinas para cada caso de uso que encuentre la organización.

Más allá de estas fases iniciales, hay otras fases a considerar para cada caso de uso:

• Descubrir: Identificar las máquinas que necesitan ser gestionadas y controladas.
• Evaluar: Utilizar datos para medir el éxito, informar sobre esos esfuerzos y realizar los ajustes necesarios.
• Alinear: Definir las mejores prácticas para que las sigan todos los miembros de la organización.
• Arreglar: Ajustar los sistemas no conformes y eliminar las identidades de máquina no utilizadas.
• Automatizar: Introducir la automatización para la gestión del ciclo de vida de las identidades.
• Habilitar: Capacitar a las partes interesadas para que sigan las mejores prácticas establecidas para ampliar la gestión de identidades de máquinas.

La gestión de identidades de máquinas será aún más importante el año que viene. Por ello, es fundamental asegurarse de que su organización cuenta con una estrategia claramente definida y bien alineada cuanto antes. Y el mejor lugar para empezar es con un grupo de trabajo de gestión de identidades de máquinas.

Por supuesto, la gestión de las identidades de las máquinas a largo plazo implica muchas cosas. Para saber más sobre lo que está en juego y cómo puede ayudarle Keyfactor , empiece, póngase en contacto con nosotros aquí.