Las 6 principales tendencias en gestión de identidades y accesos de la Cumbre IAM de Gartner

Ha llegado el momento de planificar la próxima generación de estrategias de gestión de identidades y accesos (IAM).

No en vano, ese fue uno de los temas clave de la Cumbre IAM 2022 de Gartner, celebrada en Las Vegas. El evento prometió compartir información valiosa sobre gestión de acceso privilegiado (PAM), programas y estrategia de IAM, inicio de sesión único, autenticación multifactor (MFA), métodos sin contraseña, etc., y ofreció todo eso y mucho más.

Tuve la suerte de asistir al evento y la oportunidad de hablar con varios líderes de IAM. Basándome en mis conversaciones y en la información que compartió Gartner, estas son las principales tendencias de IAM para el próximo año.

Muchas empresas están en proceso de renovar su enfoque de la gestión de identidades, y uno de los mayores cambios en los que se están centrando es incluir las identidades de máquinas en su estrategia global de IAM. 

Esto representa un gran cambio en la forma en que pensamos sobre las identidades de máquina, con conversaciones en esta área que se alejan de los dominios técnicos y centrados en la seguridad para entrar en el contexto más amplio de IAM (piense: aprovisionamiento, desaprovisionamiento, mover, cambiar, etc.).

En general, la inclusión de identidades automáticas es una parte importante de la "estrategia IAM de próxima generación", e incluso se refleja en el cambio de Gartner del Hype Cycle para IAM al Hype Cycle para la identidad digital.

Todo el mundo sabe que la identidad es fundamental para la seguridad, pero la Cumbre IAM de Gartner dejó claro que, en un mundo post-COVID, la identidad se ha desplazado al centro de la infraestructura de seguridad.

De hecho, según Erik WahlstromDirector Analista Senior de Gartner, la próxima evolución en la estrategia de identidad no consiste sólo en emitir identidades, sino en proteger esas identidades y la infraestructura que las sustenta contra los ataques.

De cara al futuro, esto significa que podemos esperar que se preste aún más atención a todo el ciclo de vida de la identidad (incluidas las identidades de máquina) para garantizar la protección en cada paso del camino.

A medida que cambia el mercado de IAM, los equipos ya no tienen que decidir entre las soluciones "best of breed" y las "all in one", sino que pueden adoptar el enfoque "best in suite". Este cambio se ve impulsado por una convergencia significativa en las capacidades de las diferentes herramientas de IAM y un solapamiento cada vez mayor entre los proveedores de IAM.

Dicho esto, aún nos quedan progresos por hacer. Muchas organizaciones han tenido que crear herramientas propias para sincronizar entre varios gestores de secretos, herramientas PAM y herramientas proporcionadas por IaaS, lo que deja clara la necesidad de una mayor interoperabilidad entre plataformas y una convergencia continua.

La seguridad descentralizada centralizada (CeDeSec) es la idea de que los equipos de seguridad e IAM deben adoptar el concepto de control centralizado y aplicación descentralizada. Cuando se hace bien, el resultado es una arquitectura de malla de ciberseguridad (CSMA).

CeDeSec nace del hecho de que, en un mundo en el que las TI están descentralizadas, los equipos necesitan una forma de mantener un único punto de control y, al mismo tiempo, permitir que los distintos equipos utilicen las herramientas y los flujos de trabajo que mejor se adapten a sus necesidades.

Afortunadamente, CeDeSec es fácilmente alcanzable: este enfoque se presta bien a la PKI y a la gestión de identidades de máquinasáreas en las que los equipos de seguridad ya están familiarizados con el mantenimiento de una visibilidad y gestión centralizadas a través de una variedad de herramientas diferentes.

La intermediación de acceso Just in Time (JIT) está cobrando fuerza. En este enfoque, las empresas siguen utilizando certificados como forma de autenticación de los usuarios, pero cada vez que se conectan a un sistema obtienen un nuevo certificado.

De este modo, la intermediación de acceso JIT reduce significativamente las posibilidades de que las credenciales se vean comprometidas o sean robadas, ya que son muy efímeras y normalmente sólo pueden utilizarse una vez. Por supuesto, para que la intermediación de acceso JIT funcione -especialmente sin causar dolores de cabeza a los usuarios- se requiere un enfoque altamente eficiente y escalable para emitir y desaprovisionar esas identidades.

Por último, muchas organizaciones se están alejando de los Centros de Excelencia en Criptografía y, en su lugar, están estableciendo grupos de trabajo sobre identidad de máquinas.

Gartner señala dos problemas con el modelo CCoE más tradicional: (1) Crypto ha perdido su importancia como término de seguridad de TI, ya que ahora es una moneda y (2) la idea de que un equipo (a menudo de seguridad o IAM) podría gestionar todas las cosas cripto para toda la organización no es realista.

En su lugar, las organizaciones están mejor servidas creando un grupo de trabajo interfuncional con partes interesadas clave de los equipos de IAM, Seguridad, DevOps, Infraestructura y Operaciones y Nube que se reúnen regularmente para establecer la propiedad, tomar decisiones sobre políticas y herramientas y crear directrices. Reunir a este grupo multifuncional extiende la responsabilidad de las identidades automáticas a más equipos dentro de la organización y garantiza que todos los puntos de vista de esos equipos estén representados en las estrategias.

La Cumbre sobre IAM 2022 de Gartner dejó claro que la próxima generación de IAM ya está aquí, y que ha llegado el momento de replantearse las estrategias, las soluciones y la gestión.

Tendencias como la inclusión de las identidades automáticas en las estrategias de IAM, la implantación de la seguridad basada en la identidad y la creación de un grupo de trabajo sobre identidades automáticas son sólo algunos de los pasos que pueden dar las organizaciones para seguir el ritmo de la próxima generación y evitar quedarse atrás.

¿Está su equipo preparado para realizar estos cambios? Ha llegado el momento de discutirlo.