Por primera vez, Gartner ha elaborado un informe Hype Cycle para uno de los ámbitos emergentes más importantes de la ciberseguridad: la identidad digital.
Los Gartner Hype Cycles ofrecen una representación gráfica de la madurez y adopción de tecnologías y aplicaciones, y cómo son potencialmente relevantes para resolver problemas empresariales reales y explotar nuevas oportunidades.
“Las tecnologías transformadoras cubiertas en este Hype Cycle giran en torno a tecnologías que establecen, intermedian y gestionan la confianza en las identidades digitales, al tiempo que permiten a los usuarios “poseer” su identidad digital.” Creemos que comprender estas herramientas emergentes y establecidas puede ayudar a los líderes de seguridad a lograr una mayor flexibilidad, agilidad y cobertura de riesgos en todo el panorama de la identidad digital.
Para nosotros, las tendencias observadas en el Gartner Hype Cycle for Digital Identity forman parte de una conversación más amplia dentro del ámbito de la Gestión de Identidades y Accesos (IAM). Los marcos de IAM dictan los procesos del sistema mediante los cuales se identifican personas y máquinas, se asignan y reconocen roles, se protegen los datos sensibles y se establecen los niveles de acceso.
Como afirma el Gartner Hype Cycle for Digital Identity, “Debido a las ciberamenazas y las leyes de privacidad, los líderes de seguridad y gestión de riesgos (SRM) deben respaldar casos de uso que permitan el negocio digital al tiempo que garantizan la protección de datos.” A continuación, nos centraremos en las principales conclusiones de dos áreas de identidad digital mencionadas en el informe: la Gestión de Identidades de Máquinas y la autenticación de IoT.
Gestión de Identidades de Máquinas y Autenticación de IoT
Las identidades de máquina son claves digitales, secretos y certificados que establecen la validez de las transacciones digitales.
La gestión de identidades de máquina (MIM) se mencionó por primera vez en el Gartner Hype Cycle for Identity Access Management de 2020 y desde entonces ha ganado relevancia como iniciativa de ciberseguridad. Aunque las organizaciones han priorizado durante mucho tiempo la seguridad de las identidades de los usuarios humanos que acceden a los sistemas, a menudo carecen de una estrategia para validar las identidades de máquina en toda la empresa.
1. El enorme volumen de identidades de máquina plantea una preocupación creciente para las organizaciones.
La definición de “máquina” se ha vuelto bastante expansiva, abarcando no solo dispositivos como ordenadores portátiles y servidores, sino también APIs, algoritmos, aplicaciones, infraestructuras en la nube, contenedores y docenas más.
No es de extrañar que las identidades de máquina hayan llegado a superar a las identidades humanas en una proporción de 10 a 1, en promedio. Las pequeñas empresas requieren miles de identidades de máquina, mientras que las compañías Global 500 requieren millones.
Aunque las herramientas para establecer identidades digitales son bastante maduras, la gestión de estas identidades presenta un desafío considerable, especialmente cuando se gestionan manualmente.
2. Los equipos de seguridad no siempre están bien versados en identidades de máquina.
Los actores maliciosos saben que las identidades de máquina son uno de los aspectos menos comprendidos de la seguridad, lo que las convierte en una vulnerabilidad favorita para explotar. El nuevo malware dirigido a las vulnerabilidades de identidad de máquina está en aumento, así como el número de ataques de malware a los certificados. Estos ataques crecieron un 400% de 2017 a 2021, y en 2020, el 50% de los fallos de seguridad en la nube resultaron de una gestión inadecuada de las identidades y permisos de máquina.
Según Gartner, “Las máquinas y los humanos tienen diferencias en sus requisitos en cuanto a observabilidad, propiedad y automatización.” Las organizaciones deben esforzarse por comprender estas diferencias para implementar eficazmente sus estrategias.
3. El IoT se ha convertido en la próxima ola para la MIM.
Los productos conectados presentan un caso de uso y un entorno completamente nuevos para la MIM, aportando las ventajas de la infraestructura digital a procesos físicos que generan datos de producción en tiempo real, alertan a los operadores sobre futuras necesidades de mantenimiento, rastrean activos y mucho más.
Según Gartner, “estos dispositivos conectados unen los mundos cibernético y físico, y abren nuevos vectores de amenaza”. Creemos que una estrategia MIM robusta resultará clave para prevenir violaciones de privacidad en industrias de alta gobernanza como las finanzas y la atención médica. Esto ayudará a proteger contra ataques a “dispositivos industriales que conducen a impactos operativos y, potencialmente, a eventos catastróficos en áreas de producción críticas para la seguridad.”
Los ámbitos del IoT presentan demandas y desafíos únicos tanto en términos de cumplimiento como de diseño. Aunque la esfera pública ha avanzado en la definición de enfoques para la autenticación de IoT, todavía queda mucho trabajo por hacer. Según Gartner, “la mayoría de los sistemas IIoT son autónomos y utilizan medios propietarios nativos para la autenticación. Además, “Algunos métodos de autenticación no son buenos candidatos debido a que ciertos dispositivos IoT están limitados en recursos o características, con baja potencia de cómputo y capacidad de almacenamiento seguro limitada,” sugiere Gartner. “Evalúe y adopte marcos de autenticación que soporten la gama de tipos de dispositivos en los ámbitos de IoT en operación.”
4. La infraestructura de soporte en torno a las identidades de máquina todavía está afianzándose.
Además de una mayor variedad y volumen de máquinas, los casos de uso entre diferentes unidades de negocio y departamentos también difieren. Este uso generalizado requiere un conjunto de estándares centralizados para mantener la MIM alineada en toda la organización, al tiempo que permite a los departamentos la flexibilidad de implementar la MIM de maneras apropiadas a sus contextos únicos.
Sin embargo, los marcos y la gobernanza que respaldan las mejores prácticas en MIM todavía están emergiendo. El Hype Cycle identifica un problema de “la pescadilla que se muerde la cola”, en “las aplicaciones objetivo esperan a ver si un estándar despega y los proveedores de IAM esperan un amplio soporte en sus aplicaciones objetivo.”
Según Gartner, “Solo existe una convergencia parcial de herramientas. Muchas herramientas tienen enfoques diferentes en cuanto a interfaces de usuario, integraciones, descubrimiento, capacidades de informes, alcance y latencia. Esto da como resultado una estrategia de "best-of-breed" utilizando múltiples herramientas.” Gartner sugiere, “Determine la interdependencia general de las identidades de máquina estableciendo procesos de descubrimiento. Evalúe una combinación de múltiples herramientas que puedan proporcionar una observabilidad continua de las máquinas en su entorno híbrido y multinube.”
Las nuevas plataformas MIM y modelos de servicio están facilitando a las organizaciones la gestión de identidades de máquina y la infraestructura de clave pública. Estas plataformas centralizadas proporcionan un centro para el estado de la MIM en toda la empresa y preparan el terreno para la automatización. También generan eficiencias de costos. En el pasado, cada unidad de negocio que gestionaba identidades de máquina requería su propia autoridad de certificación (CA), y cada CA requería su propio servidor. Las plataformas MIM modernas pueden alojar múltiples CA en un solo servidor. Estas ofertas vienen preempaquetadas con bases de datos e integraciones, lo que permite a los usuarios evitar la proliferación de proveedores. Las ofertas de PKI-as-a-Service permiten a las organizaciones externalizar completamente la MIM a través de un eficiente modelo de suscripción SaaS.
5. La MIM es fundamental para habilitar flujos de trabajo más ágiles en diseño, desarrollo y operaciones de seguridad.
Los procesos Agile y DevOps emplean en gran medida sistemas en la nube y otras plataformas descentralizadas para facilitar el desarrollo iterativo y los ciclos de retroalimentación rápidos. Desde una perspectiva de seguridad, esto significa una mayor velocidad de solicitudes y transacciones digitales que deben ser aseguradas sin convertirse en un cuello de botella.
Las fases de seguridad, pruebas de Software y cumplimiento a menudo se consideran obstáculos para la agilidad y la innovación. Pero la tendencia “shift left” redefine estas fases complejas como aceleradores al integrar a los interesados en seguridad, pruebas y cumplimiento en la conversación de diseño en las etapas más tempranas, un enfoque conocido como DevSecOps. Con las herramientas adecuadas, creemos que los principios clave de DevOps, como la automatización, pueden expandirse a la seguridad y la MIM.
6. La gestión de identidades de máquinas (MIM) sienta las bases para Zero Trust.
Zero Trust es la última tendencia en seguridad empresarial. Tradicionalmente, una vez que un usuario o una máquina atraviesa el firewall, se le “considera de confianza” y puede moverse lateralmente, sin restricciones, a través del panorama de sistemas. Un enfoque Zero Trust verifica cada solicitud como si esta proviniera de una red abierta y no segura.
Zero Trust es una estrategia, no una herramienta. Para implementar esa estrategia sin ralentizar los procesos de negocio, las organizaciones deben contar con la arquitectura y los marcos adecuados para gestionar las identidades de máquinas de manera eficiente.
Próximos pasos
En lo que respecta a las identidades de máquinas, la situación ya está en marcha. Los certificados y las claves ya están presentes en toda organización empresarial y constituyen una característica integral de cualquier infraestructura digital moderna.
Como empresa, es poco probable que su función principal sea crear un proceso MIM eficiente. Creemos que el método tradicional de gestionar las identidades de máquinas es tedioso, manual y a menudo malinterpretado, lo que puede dificultar considerablemente que su equipo de seguridad se centre en sus objetivos de mayor nivel.
El ámbito de MIM y su concepto más amplio, IAM, se ha dividido en nuevos y prometedores subcampos que posicionan a MIM no solo como sostenible, sino como un valor añadido para su organización. Ahí es donde interviene Keyfactor. Ayudamos a las organizaciones a recuperar el control y a proteger cada identidad de máquina para que puedan centrarse en impulsar el valor de negocio. Permítanos mostrarle cómo nuestra plataforma cloud-first facilita la gestión y protección de cada clave y certificado en toda su empresa — solicite una demostración para obtener más información.
Gartner, Hype Cycle para la Identidad Digital, 2022, Felix Gaehtgens, 25 de julio de 2022
Gartner y Hype Cycle son marcas registradas y marcas de servicio de Gartner, Inc. y/o sus filiales en EE. UU. e internacionalmente, y se utilizan aquí con permiso. Todos los derechos reservados. Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen únicamente a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner renuncia a todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.
