La gestión de identidades y accesos (IAM) no es un concepto nuevo para los líderes de TI y seguridad. Pero la IAM actual es muy diferente de hace tan solo cinco años.
Esa fue la premisa detrás del segundo Informe sobre el estado de la gestión de identidades de máquinas anual de Keyfactor y Ponemon Institute, que examina en profundidad el papel de la PKI y las identidades de máquinas, como los certificados X.509, en la seguridad de las empresas modernas. El informe se basa en las respuestas de más de 1200 líderes globales de TI y seguridad de 12 sectores.
Aquí, destacamos tres conclusiones clave que subrayan el impacto de la nube y la confianza cero en la IAM. Estos puntos cuentan una historia importante sobre hacia dónde se dirige el futuro de la IAM y las fuerzas críticas que nos impulsan hacia allí.
El 42 % tiene una estrategia general para la gestión de identidades de máquinas que se aplica de forma consistente en toda la organización.
Sencillamente, las identidades de máquinas son la próxima frontera para las estrategias de IAM.
Durante años, la IAM se ha centrado en la identidad de los usuarios (también conocidas como identidades humanas) en toda la organización. Sin embargo, en 2022 y en adelante, las identidades humanas comprenderán solo una pequeña parte de lo que la IAM necesita cubrir.
Los entornos de trabajo modernos ahora dependen de cargas de trabajo dinámicas y basadas en la nube, lo que ha introducido el concepto de identidades de máquinas. Al igual que los humanos, estas máquinas necesitan ser identificadas, autenticadas y autorizadas para mantener la seguridad; de lo contrario, se convierten en enormes vulnerabilidades. La idea de esto no es nueva, pero el número de máquinas y el ritmo al que seguirán escalando no tienen precedentes.
Como resultado, contar con una estrategia clara y global para la gestión de identidades de máquinas que se aplique de forma consistente en toda la organización será crucial en el futuro. Esto hace que no sea sorprendente que el 42 % de las organizaciones ya se estén moviendo en esta dirección, un aumento del 5 % en comparación con 2021.
A medida que más y más equipos de seguridad buscan implementar este tipo de estrategia, los mayores obstáculos suelen ser "demasiados cambios e incertidumbre" (41 %) y la "falta de personal cualificado" (41 %). Invertir en criptoagilidad puede ayudar a las organizaciones a prepararse para cambios más constantes y superar estos desafíos, razón por la cual es una prioridad estratégica principal para el 57 % de las organizaciones.
El 54 % afirma que la estrategia de seguridad de confianza cero es la principal tendencia que impulsa la implementación de PKI, claves y certificados.
El principio de seguridad de confianza cero se basa en el hecho de que el perímetro tradicional ya no existe y, por lo tanto, cada identidad debe ser validada, autenticada y autorizada regularmente para conectarse (y reconectarse) a datos y sistemas, independientemente de quién, qué o dónde se encuentren. Es importante destacar que se aplica tanto a humanos como a máquinas, y la identidad se encuentra en el núcleo de este modelo.
El aumento de la fuerza laboral remota en los últimos dos años ha acelerado esta estrategia, y más de la mitad de las organizaciones afirman que la confianza cero es la principal tendencia que impulsa su implementación de PKI, claves y certificados digitales, que permiten una fácil identificación y autenticación de las identidades de máquinas.
Otro 49 % afirma que los servicios basados en la nube son la principal tendencia que impulsa su implementación de estas identidades de máquinas. Esto se alinea profundamente con el hecho de que las empresas se están moviendo cada vez más hacia un entorno basado en la nube, y estos servicios ayudan a crear flujos de trabajo dinámicos que dependen de las máquinas.
Cabe destacar que otras tendencias, como las fuerzas de trabajo remotas (45%) y los dispositivos IoT (44%), también son factores críticos que impulsan las implementaciones de PKI, y se vinculan directamente con la necesidad de una estrategia de seguridad de confianza cero y servicios basados en la nube, lo que, en última instancia, genera más identidades de máquinas.
En general, este ciclo inevitable hace que la transición hacia la creación y autenticación de identidades de máquinas a través de PKI (incluido el uso de claves y certificados digitales) sea ineludible para las organizaciones modernas que continúan escalando estas estrategias.
Un tercio de las organizaciones está migrando a una solución PKI basada en la nube, ya sea una CA en la nube pública o una PKI SaaS totalmente gestionada.
Finalmente, la nube no solo está impactando el volumen de identidades de máquinas, sino también cómo y dónde las organizaciones implementan la PKI.
Actualmente, el 36% de las organizaciones utiliza una PKI gestionada o entregada como SaaS, mientras que otro 31% utiliza un servicio de CA privada de un proveedor de servicios de nube pública como AWS o GCP. Dicho esto, podemos esperar que estas cifras aumenten significativamente a medida que más y más cargas de trabajo se trasladen a la nube y las organizaciones se enfrenten a la escasez de habilidades en PKI; el 50% de los encuestados considera que no tiene suficiente personal dedicado a la implementación y gestión de PKI. El hecho de que el 52% tenga seis o más empleados a tiempo completo (FTE) trabajando en PKI demuestra el nivel de soporte requerido.
La migración de la PKI a la nube, particularmente con una PKI SaaS totalmente gestionada, puede ayudar a aliviar este desafío y posicionar a las organizaciones para escalar eficazmente sus programas de PKI, respaldando estrategias de confianza cero para el creciente número de identidades de máquinas.
Más allá de reducir el tiempo dedicado a la gestión del programa, esta migración de la PKI a la nube también será esencial para soportar una mayor velocidad y escala. Esta escalabilidad permitirá a las organizaciones emitir certificados para nuevas identidades de máquinas rápidamente, en contraste con las soluciones on-premises, que pueden ser más lentas y costosas de escalar.
¿Qué más le depara a la IAM en 2022 y más allá?
Estos hallazgos del Informe sobre el Estado de la Gestión de Identidades de Máquinas de 2022 ilustran claramente el impacto de la nube y la confianza cero en la IAM, ya que ambos factores no solo están aumentando la importancia de la PKI, sino también afectando dónde y cómo las organizaciones estructuran sus programas de PKI.
Este blog destaca solo algunas de las muchas tendencias que surgieron en el informe. Analizaremos varios de los hallazgos más importantes en la próxima entrada del blog, incluyendo un vistazo a la superficie de ataque de la identidad de máquinas.
¿No puede esperar a saber más? Para una mirada más profunda a estas tendencias y otras que están impactando la gestión de identidades de máquinas, haga clic aquí para descargar el informe completo.
