Las 6 principales tendencias en gestión de identidades y accesos del Gartner IAM Summit.

Ha llegado el momento de planificar la próxima generación de estrategias de gestión de identidades y accesos (IAM).

No es de extrañar que este fuera uno de los temas clave de la Cumbre IAM 2022 de Gartner, celebrada en Las Vegas. El evento prometía compartir valiosos conocimientos sobre la gestión de acceso privilegiado (PAM), los programas y la estrategia de IAM, el inicio de sesión único, la autenticación multifactor (MFA), los métodos sin contraseña y mucho más, y cumplió con creces. 

Tuve la suerte de asistir al evento y de tener la oportunidad de hablar con varios líderes de IAM. Basándome en mis conversaciones y en los conocimientos compartidos por Gartner, a continuación, se presentan las principales tendencias de IAM para el próximo año.

Muchas empresas están renovando su enfoque de la gestión de identidades, y uno de los mayores cambios en los que se centran es la inclusión de identidades de máquinas en su estrategia general de IAM. 

Esto representa un gran cambio en la forma en que concebimos las identidades de máquinas, con las conversaciones en esta área pasando de los dominios técnicos y centrados en la seguridad al contexto más amplio de IAM (piense en: aprovisionamiento, desaprovisionamiento, movimiento, cambio, etc.).

En general, la inclusión de identidades de máquinas es una parte significativa de la “estrategia de IAM de próxima generación”, e incluso se refleja en el cambio de Gartner del Hype Cycle for IAM al Hype Cycle for Digital Identity.

Todo el mundo sabe que la identidad es fundamental para la seguridad, pero la Cumbre IAM de Gartner dejó claro que, en un mundo post-COVID, la identidad se ha trasladado al centro de la infraestructura de seguridad.

De hecho, según Erik Wahlstrom, director analista sénior de Gartner, la próxima evolución en la estrategia de identidad no es solo emitir identidades, sino proteger esas identidades y la infraestructura que las respalda contra los ataques.

En adelante, esto significa que podemos esperar un enfoque aún mayor en todo el ciclo de vida de la identidad (incluidas las identidades de máquinas) para garantizar la protección en cada paso del proceso.

A medida que el mercado de IAM evoluciona, los equipos ya no tienen que elegir entre soluciones "best of breed" o "todo en uno", y en su lugar pueden adoptar un enfoque de "best in suite". Este cambio se impulsa por una convergencia significativa en las capacidades de las distintas herramientas de IAM y una creciente superposición entre los proveedores de IAM.

Dicho esto, todavía queda camino por recorrer. Muchas organizaciones han tenido que desarrollar herramientas propias para sincronizar entre diversos gestores de secretos, herramientas PAM y herramientas proporcionadas por IaaS, lo que evidencia la necesidad de una mayor interoperabilidad entre plataformas y una convergencia continua.

La seguridad descentralizada centralizada (CeDeSec) se basa en la idea de que los equipos de seguridad e IAM deben adoptar el concepto de control centralizado y aplicación descentralizada. Cuando se implementa correctamente, esto da como resultado una Arquitectura de Malla de Ciberseguridad (CSMA).

CeDeSec surge del hecho de que, en un mundo donde la TI está descentralizada, los equipos necesitan una forma de mantener un único punto de control, al tiempo que permiten a los diferentes equipos utilizar las herramientas y los flujos de trabajo que mejor se adapten a sus necesidades.

Afortunadamente, CeDeSec es fácilmente alcanzable: este enfoque se presta bien a la PKI y la gestión de identidades de máquinas, áreas en las que los equipos de seguridad ya están familiarizados con el mantenimiento de la visibilidad y la gestión centralizadas en una variedad de herramientas diferentes.

La intermediación de acceso Just in Time (JIT) está ganando impulso. Con este enfoque, las empresas siguen utilizando certificados como forma de autenticación para los usuarios, pero cada vez que los usuarios inician sesión en un sistema, obtienen un nuevo certificado.

De este modo, la intermediación de acceso JIT reduce significativamente las posibilidades de credenciales comprometidas o robadas, ya que esas credenciales tienen una vida útil muy corta y, por lo general, solo pueden utilizarse una vez. Por supuesto, para que la intermediación de acceso JIT funcione —especialmente sin causar inconvenientes a los usuarios— se requiere un enfoque altamente eficiente y escalable para la emisión y desaprovisionamiento de esas identidades.

Finalmente, muchas organizaciones están dejando de lado los Centros de Excelencia en Criptografía y, en su lugar, están estableciendo grupos de trabajo de identidades de máquinas.

Gartner señala dos problemas con el modelo más tradicional de CCoE: (1) El término "cripto" ha perdido su significado como término de seguridad de TI, ya que ahora se asocia a las criptomonedas, y (2) la idea de que un solo equipo (a menudo el de seguridad o IAM) pueda gestionar todos los aspectos criptográficos para toda la organización no es realista.

En su lugar, las organizaciones se benefician más al crear un grupo de trabajo interfuncional con partes interesadas clave de los equipos de IAM, Seguridad, DevOps, Infraestructura y Operaciones, y Cloud, que se reúnen regularmente para establecer la propiedad, tomar decisiones sobre políticas y herramientas, y crear directrices. La reunión de este grupo interfuncional extiende la responsabilidad de las identidades de máquinas a más equipos dentro de la organización y garantiza que los puntos de vista de todos esos equipos estén representados en las estrategias.

La Cumbre IAM 2022 de Gartner dejó claro que la próxima generación de IAM ya está aquí, y que es el momento de replantearse las estrategias, soluciones y la gestión.

Tendencias como la inclusión de identidades de máquinas en las estrategias de IAM, la implementación de seguridad identity-first y la creación de un grupo de trabajo de identidades de máquinas son solo algunos de los pasos que las organizaciones pueden dar para seguir el ritmo de la próxima generación y evitar quedarse atrás.

¿Está su equipo preparado para realizar estos cambios? Es el momento de tener estas conversaciones.