La gestión de identidades y accesos (IAM) no es un concepto nuevo para los responsables de TI y seguridad. Pero la IAM de hoy es muy diferente de la de hace cinco años.
Esta es la premisa en la que se basa el segundo informe anual State of Machine Identity Management (Estado de la gestión de identidades de máquina) de Keyfactor y Ponemon Institute, que analiza en profundidad el papel de la infraestructura de clave pública (PKI) y las identidades de máquina, como los certificados X.509, en la seguridad de las empresas modernas. El informe se basa en las respuestas a una encuesta realizada a más de 1.200 líderes mundiales de TI y seguridad de 12 sectores.
Aquí destacamos tres puntos clave que subrayan el impacto de la nube y la confianza cero en la IAM. Estos puntos cuentan una historia importante sobre hacia dónde se dirige el futuro de la IAM y las fuerzas críticas que nos conducen allí.
El 42% cuenta con una estrategia global para la gestión de identidades de máquinas que se aplica de forma coherente en toda la organización.
Sencillamente, las identidades automáticas son la próxima frontera para las estrategias de IAM.
Durante años, la IAM se ha centrado en la identidad de los usuarios (también conocidas como identidades humanas) en toda la organización. Sin embargo, a partir de 2022, las identidades humanas solo constituirán una pequeña parte de lo que debe abarcar la IAM.
Los lugares de trabajo modernos dependen ahora de cargas de trabajo dinámicas y basadas en la nube, lo que ha introducido el concepto de identidad de las máquinas. Al igual que los seres humanos, estas máquinas necesitan ser identificadas, autenticadas y autorizadas para mantener la seguridad; de lo contrario, se convierten en enormes vulnerabilidades. La idea no es nueva, pero el número de máquinas y el ritmo al que seguirán creciendo no tienen precedentes.
Como resultado, contar con una estrategia global clara para la gestión de identidades de máquinas que se aplique de forma coherente en toda la organización será crucial en el futuro. Por ello, no es de extrañar que el 42 % de las organizaciones ya estén avanzando en esta dirección, lo que supone un aumento del 5 % con respecto a 2021.
A medida que más y más equipos de seguridad buscan implementar este tipo de estrategia, los mayores obstáculos suelen ser "demasiados cambios e incertidumbre" (41%) y "falta de personal cualificado" (41%). Invertir en criptoagilidad puede ayudar a las organizaciones a prepararse para cambios más constantes con el fin de superar estos retos, razón por la cual es una prioridad estratégica máxima para el 57% de las organizaciones.
El 54% afirma que la estrategia de seguridad de confianza cero es la principal tendencia que impulsa la implantación de PKI, claves y certificados
El principio de seguridad de confianza cero se basa en el hecho de que el perímetro tradicional ya no existe y, por lo tanto, cada identidad debe ser validada, autenticada y autorizada regularmente para conectarse (y reconectarse) a datos y sistemas, independientemente de quién sea, qué sea o dónde esté. Y lo que es más importante, se aplica tanto a las personas como a las máquinas, y la identidad se sitúa en el núcleo de este modelo.
El aumento de la mano de obra remota en los últimos dos años ha acelerado esta estrategia, y más de la mitad de las organizaciones afirman que la confianza cero es la principal tendencia que impulsa su implantación de PKI, claves y certificados digitales, que permiten identificar y autenticar fácilmente las identidades de las máquinas.
Otro 49% afirma que los servicios basados en la nube son la principal tendencia que impulsa la implantación de estas identidades de máquina. Esto coincide en gran medida con el hecho de que las empresas se están moviendo cada vez más a un entorno basado en la nube, y estos servicios ayudan a crear flujos de trabajo dinámicos que dependen de las máquinas.
En particular, otras tendencias como las plantillas remotas (45%) y los dispositivos IoT (44%) también son factores críticos a la hora de impulsar la implantación de PKI, y están directamente relacionadas con la necesidad de una estrategia de seguridad de confianza cero y servicios basados en la nube, lo que acaba creando más identidades de máquinas.
En general, este ciclo inevitable hace que el cambio a la creación y autenticación de identidades de máquinas a través de PKI (incluido el uso de claves y certificados digitales) sea inevitable para las organizaciones modernas que siguen ampliando estas estrategias.
1/3 están cambiando a una solución PKI basada en la nube, ya sea una CA en la nube pública o una PKI SaaS totalmente gestionada.
Por último, la nube no sólo influye en el volumen de identidades de máquinas, sino también en cómo y dónde las organizaciones despliegan PKI.
Actualmente, el 36% de las organizaciones utiliza una PKI gestionada o SaaS, mientras que otro 31% utiliza un servicio de CA privado de un proveedor de servicios de nube pública como AWS o GCP. Dicho esto, podemos esperar que estas cifras aumenten significativamente a medida que más y más cargas de trabajo se trasladen a la nube y que las organizaciones se enfrenten a la escasez de habilidades de PKI: el 50% de los encuestados cree que no tiene suficiente personal dedicado a la implementación y gestión de PKI. El hecho de que el 52% tenga seis o más empleados equivalentes a tiempo completo (ETC) trabajando en PKI demuestra el nivel de apoyo necesario.
Trasladar la PKI a la nube, especialmente con una PKI SaaS totalmente gestionada, puede ayudar a aliviar este reto y posicionar a las organizaciones para escalar de forma eficaz sus programas de PKI con el fin de respaldar las estrategias de confianza cero para el creciente número de identidades de máquinas.
Además de reducir el tiempo dedicado a la gestión del programa, este cambio a la nube para PKI también será esencial para soportar una mayor velocidad y escalabilidad. Esta escalabilidad hará posible que las organizaciones emitan certificados para nuevas identidades de máquina rápidamente, en contraste con las soluciones locales, que pueden ser más lentas y costosas de escalar.
¿Qué más le espera a IAM en 2022 y más allá?
Estas conclusiones del Informe sobre el estado de la gestión de identidades de máquinas 2022 ilustran claramente el impacto de la nube y la confianza cero en la IAM, ya que ambos factores no sólo están aumentando la importancia de la PKI, sino que también están afectando a dónde y cómo estructuran las organizaciones sus programas de PKI.
Este blog destaca sólo algunas de las muchas tendencias que aparecen en el informe. En la próxima entrada analizaremos varias de las conclusiones más importantes, incluida la superficie de ataque a la identidad de las máquinas.
¿No puede esperar más? Para profundizar en estas y otras tendencias que están afectando a la gestión de la identidad de las máquinas, haga clic aquí para descargar el informe completo.
