Una tormenta perfecta de eventos este año ha llevado a la rápida aceleración de proyectos de transformación digital ya planificados y a la adopción de iniciativas de trabajo desde cualquier lugar, lo que ha dejado obsoletos los límites corporativos tradicionales. En este nuevo mundo, todos (y cada “cosa”) son ajenos a la organización, ya sea que trabajen de forma remota o en la oficina.
El papel de la identidad en nuestra forma de trabajar e interactuar
Ya lo ha escuchado antes: el concepto de “los de dentro son los buenos, los de fuera son los malos” es un legado del pasado. La confianza se ha convertido en una vulnerabilidad. Los atacantes pueden aprovechar fácilmente credenciales comprometidas o robadas para infiltrarse en redes corporativas y moverse lateralmente sin ser detectados.
De hecho, el reciente Informe de Investigaciones de Brechas de Datos (DBIR) de la Versión 2021 muestra que el 61 % de las brechas de datos involucraron credenciales, mientras que el 70 % de todos los casos de uso indebido fueron por abuso de privilegios.
En una era donde las estrategias de seguridad se están adaptando al mantra de “no confiar en nadie, verificar en todas partes y en todo momento”, validar que solo las personas y los dispositivos autorizados y autenticados puedan acceder a datos e infraestructuras críticas es una necesidad.
En otras palabras… La identidad no es el nuevo perímetro, sino el fundamento de la seguridad en un mundo sin perímetros.
La seguridad identity-first es una tendencia destacada.
Las empresas necesitan evolucionar su programa de gestión de identidades para “permitir que las personas adecuadas accedan a los recursos adecuados en los momentos adecuados por las razones adecuadas”, según señala Gartner. Por esta razón, Gartner ha destacado la seguridad identity-first como una tendencia principal en seguridad y riesgo para 2021.
“El ataque a SolarWinds demostró que no estamos haciendo un buen trabajo en la gestión y el monitoreo de identidades. Aunque se ha invertido mucho dinero y tiempo en la autenticación multifactor, el inicio de sesión único y la autenticación biométrica, se ha invertido muy poco en el monitoreo efectivo de la autenticación para detectar ataques contra esta infraestructura”, señala Peter Firstbrook, vicepresidente de investigación en Gartner.
Aunque las organizaciones han invertido en la evolución de sus soluciones de seguridad de acceso para incluir elementos como la autenticación sin contraseña, la identificación multifactor (MFA) y el inicio de sesión único (SSO), la realidad es que solo se están enfocando en una fracción de su fuerza laboral.
Hoy en día, las máquinas constituyen una parte mucho mayor de su “fuerza laboral digital” que los humanos. Sin embargo, las inversiones en la gestión y protección de identidades de máquinas, como los certificados X.509, a menudo palidecen en comparación con las inversiones en la gestión de identidades y accesos humanos (IAM).
En resumen, las identidades de máquinas deben formar parte de su estrategia de IAM, especialmente a medida que avanzamos hacia una fuerza laboral más digital, donde los equipos que hacen crecer y operan el negocio dependen completamente de las máquinas que sustentan nuestra infraestructura (es decir, servidores, contenedores, dispositivos móviles, etc.).
La identidad es el pilar fundamental de Zero Trust.
En la Sección 3 de la reciente Orden Ejecutiva (OE) de Biden, el documento establece directrices para “Modernizar la Ciberseguridad del Gobierno Federal” y destaca específicamente los avances en “servicios en la nube y la Arquitectura Zero Trust.”
La OE describe que la Arquitectura Zero Trust “permite a los usuarios acceso completo, pero solo al mínimo indispensable que necesitan para realizar sus tareas.” Un componente crítico para la Arquitectura Zero Trust es la emisión y gestión de identidades digitales, tanto para humanos como para máquinas.
NIST SP 800-207 define la Infraestructura de Clave Pública (PKI) como un componente esencial para lograr la Arquitectura Zero Trust. De hecho, una encuesta ejecutiva reciente mostró que el 96% de los líderes de seguridad de TI están de acuerdo en que la PKI y los certificados digitales son esenciales para Zero Trust.
Evolucionando su estrategia de IAM para máquinas
Gartner señala que “la seguridad identity-first sitúa la identidad en el centro del diseño de seguridad y exige un cambio importante con respecto al pensamiento de diseño tradicional del borde de la LAN.” El problema es que los equipos de seguridad tienen dificultades para aplicar las mejores prácticas en la gestión y protección de estas credenciales.
Esto es crucial, ya que el número de identidades digitales se está disparando en todo el ecosistema empresarial – las identidades ya no se centran únicamente en los humanos, sino que ayudan a autenticar y autorizar una amplia gama de dispositivos, procesos DevOps y servicios.
Sin embargo, la investigación muestra que:
- El 55% de las organizaciones no cuenta con suficiente personal de seguridad de TI dedicado a su PKI.
- El 60% de las organizaciones no tiene controles de acceso formales para las claves de firma de código.
- El 40% de las organizaciones todavía utiliza hojas de cálculo para rastrear manualmente los certificados digitales.
Confiar en procesos manuales propensos a errores y que consumen mucho tiempo deja muchos puntos ciegos y crea agujeros de seguridad que los adversarios continúan explotando para comprometer datos. Los ataques de suplantación de identidad, las interrupciones relacionadas con certificados y el malware que se hace pasar por Software legítimo son solo algunos de los ejemplos que deberían convencer a cada CISO de que es hora de evolucionar sus prácticas de IAM para involucrar tanto a humanos como a máquinas.
Más información
La criptografía es ahora una infraestructura crítica para el negocio digital y las identidades de máquinas son el fundamento de la confianza digital. A medida que el mundo se transforma digitalmente, las máquinas seguirán desempeñando un papel cada vez mayor en los negocios y la sociedad.
Obtenga más información sobre cómo integrar eficazmente las máquinas en su estrategia de IAM en nuestro seminario web con el vicepresidente y analista de Gartner, David Mahdi, sobre “Cómo la PKI, la criptografía y las máquinas hacen girar el mundo digital.” Véalo aquí.
