4 pasos para un programa de identidad más maduro


La seguridad ha evolucionado para evaluar los atributos, el acceso y el comportamiento de una identidad para determinar el acceso apropiado.

Ciertas coyunturas en la historia han creado dicotomías no deseadas: los que tienen y los que no, protegidos y desprotegidos. En ciberseguridad, COVID-19 nos ha mostrado si una empresa está muy por delante de la curva de transformación electronic o lamentablemente por detrás. Aquellos que se han transformado también han adoptado un enfoque de seguridad que enfatiza la defensa del perímetro y en su lugar eleva la identidad.

Muchas organizaciones se han apresurado a proporcionar servicios de TI, como una crimson privada digital u otros controles de acceso para permitir una fuerza laboral digital, pero la identidad es mucho más que simplemente proporcionar puertas de acceso a los recursos. El acceso sin supervisión simplemente aumenta la superficie de ataque para una empresa. El uso correcto de la identidad significa que la supervisión, conocida como gobernanza de la identidad, debe establecerse para garantizar que cualquier acceso proporcionado sea útil, apropiado y necesario.

Este tipo de sabiduría no es mecánica, por supuesto. La gobernanza de la identidad es más que la gestión de la identidad: simplemente administrar las cuentas y su acceso, lo que, cuando se hace de manera apresurada y utilitaria, puede garantizar un acceso innecesario y peligroso a datos y recursos confidenciales. Por lo tanto, un enfoque miope que se centra simplemente en el acceso puede hacer más daño a largo plazo que el bien a corto plazo. El gobierno de la identidad utiliza una visión integral de la identidad (tanto humana como no humana) para evaluar los atributos, el acceso y el comportamiento de esa identidad para determinar qué acceso es apropiado para un contexto dado.

Además, permite que una organización cree una política de seguridad coherente, basada en la identidad, que abarque todas las aplicaciones, datos e infraestructura. Un registro de auditoría puede documentar los éxitos y fracasos de esta política. Idealmente, el uso de la identidad de esta manera es un enfoque que aprende de este registro histórico y toma aportes tanto del aprendizaje automático como de la visión humana. En lugar de ser táctico, el gobierno de la identidad es una inversión estratégica: puede proporcionar un enfoque adaptable a medida que evolucionan las identidades, la infraestructura y las iniciativas comerciales.

La resistencia de un enfoque de gobernanza de la identidad se ha demostrado en los últimos meses, ya que ha habido un aumento en la volatilidad de la fuerza laboral: las empresas están viendo nuevas demandas para gobernar a los nuevos trabajadores remotos, para incorporar a nuevos trabajadores contingentes y pausar el empleo para aquellos furloughed. Estas son demandas impulsadas por el negocio que no se pueden cumplir, de forma segura o a escala, con acceso solo.

El desarrollo de la identidad como el núcleo de una estrategia de seguridad, implementando estratégicamente el gobierno de la identidad para una organización, otorga esta combinación única de conciencia contextual y flexibilidad. En lugar de ser un complemento opcional, es esencial para cualquier empresa que busque no solo sobrevivir en esta nueva realidad sino prosperar.

Las organizaciones pueden hacer cuatro cosas para madurar rápidamente su programa de identidad y asegurar mejor los recursos corporativos:

  • Realizar una auditoría completa. Deben auditar el acceso de las identidades a los sistemas, aplicaciones y datos en toda la empresa. Identifique áreas débiles en la visibilidad sobre el acceso de los usuarios a cualquier recurso corporativo y determine el estado real del programa de identidad hoy en comparación con su estado ideal. No olvide determinar el nivel de conectividad entre cada parte del entorno de seguridad. Y a partir de ahí, es importante asegurarse de que todos los sistemas, recursos y unidades de negocio se comprometan con la solución de gobierno de identidad de la organización.
  • Adopte la automatización para todos los procesos de identidad. Menos participación humana es más cuando se trata de la gobernanza de la identidad. Emplee innovaciones como la inteligencia artificial (IA) y las tecnologías de aprendizaje automático (ML) para automatizar y acelerar la toma de decisiones en los procesos de identidad. Cuando los usuarios se unen, se mudan dentro o abandonan la empresa, el acceso debe modificarse y compararse con las políticas de seguridad para hacer cumplir los principios de «acceso mínimo». Habilite el autoservicio cuando corresponda, incluidos los restablecimientos de contraseña y las solicitudes de acceso. Cree un canal para que los usuarios soliciten la adquisición de nuevas aplicaciones impulsadas por la facilidad de uso.
  • Obtenga command sobre los datos. Los datos confidenciales representan una de las mayores superficies de ataque para cualquier organización y, irónicamente, son un punto débil en la mayoría de los enfoques de seguridad. Una herramienta que puede descubrir datos automáticamente en sistemas estructurados y no estructurados será extremadamente beneficiosa, clasificando los datos corporativos y calificándolos en términos de riesgo, marcando ciertos archivos o repositorios como información confidencial. No puede controlar lo que desconoce, por lo que es importante encontrar y clasificar todos los datos dentro de la empresa, y ampliar el gobierno de la identidad para controlar su uso.
  • Revise y modifique regularmente, si es necesario, cada aspecto del programa de identidad. Esto incluye más que procesos estándar como cumplir con los requisitos de auditoría. La revisión periódica es crítica para el éxito del programa, dados los cambios constantes en los roles y responsabilidades de las identidades que conforman una empresa. Esta es otra área donde la tecnología AI y ML puede ayudar a tomar decisiones informadas.

El gobierno de la identidad ahora es esencial para cualquier organización. El mundo ha cambiado, y la identidad debe ser la base de todos los negocios en todo el mundo.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Mike Kiser es un profesional de seguridad con 20 años de experiencia. Ha diseñado, dirigido y asesorado sobre implementaciones de seguridad a gran escala para una clientela global. Recientemente presentó en RSA Meeting, Black Hat y DEF CON. Mike co-presenta el podcast, Mistaken Id, … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia authentic