Lectura oscura | Seguridad | Proteja el negocio



Casi de la noche a la mañana, la pandemia de COVID-19 dejó a los líderes empresariales en 2020 luchando por apoyar a una fuerza laboral que de repente se había vuelto casi completamente remota. Simultáneamente, a medida que crecía el número de teletrabajadores, también lo hacía el gasto en la nube, lo que aceleró dos de las principales tendencias tecnológicas de la última década. La foundation de todo fue la capacidad de proporcionar una gestión segura de identidades y accesos (IAM).

La gestión de la identidad y el acceso resurgió como un enfoque estratégico durante la pandemia porque es una consecuencia all-natural de la adopción de la nube, una fuerza laboral cada vez más remota y la desaparición del perímetro de la purple tradicional. Dado que muchos trabajadores operan completamente fuera de la oficina, la capacidad de utilizar de forma segura las soluciones en la nube era aún más crítica de lo que había sido anteriormente, por lo que la protección y la prueba de la identidad del usuario en el entrance-stop period fundamental.

Pero la cuarentena también expuso cuán centrales son los sistemas IAM para la transformación electronic. IAM proporciona la seguridad y la confianza que los usuarios, los sistemas y las aplicaciones necesitan para las iniciativas tecnológicas que impulsan el negocio. A pesar de todo el caos que causó las operaciones de TI, la pandemia también provocó una mayor conciencia de lo importante que es un enfoque centrado en la identidad para proteger las organizaciones de hoy.

Y todavía hay desafíos de identidad que deben resolverse. El ecosistema de identidades de trabajadores o «entidades» humanas y no humanas que requieren un acceso seguro a las redes corporativas está creciendo. Más allá de los empleados, hay usuarios de terceros, como socios, proveedores y contratistas que necesitan acceso a datos y sistemas, incluido el acceso privilegiado. Pero esto abre su propio conjunto de riesgos. Como ejemplo, no busque más allá de la infracción Standard Electric powered experimentado el año pasado, en el que un ataque a uno de sus proveedores de servicios expuso información personal perteneciente a empleados actuales y anteriores.

Muchas organizaciones, desafortunadamente, todavía están atrasadas en lo que respecta a los aspectos básicos de la seguridad de las identidades. En una encuesta realizada a los responsables de la toma de decisiones de identidad y seguridad de TI en 2020, el 79% de los participantes dijeron al Alianza de seguridad definida por identidad (IDSA) que habían experimentado una violación relacionada con la identidad durante los dos años anteriores. Sin embargo, menos de la mitad había implementado por completo cualquiera de las tecnologías y prácticas clave necesarias para lograr los resultados de seguridad relacionados con la identidad propugnados por IDSA, como exigir la autenticación multifactor para el acceso privilegiado y aplicar el principio de privilegio mínimo.

Sin embargo, la pieza técnica es solo un aspecto del desafío. En el mismo estudio de IDSA, muchas de las organizaciones encuestadas habían realizado cambios organizativos en la propiedad de la gestión de identidades durante los últimos cinco años. La mayoría de estos cambios se realizaron para alinear las funciones de riesgo e identidad de manera más efectiva. Las decisiones sobre controles de acceso, cuentas privilegiadas y el aprovisionamiento y desaprovisionamiento de usuarios no se pueden tomar en silos. Es por eso que facilitar la colaboración entre las funciones de identidad y riesgo dentro de una organización debe ser una prioridad máxima.

En cierto modo, es equivalent al conflicto que suele existir entre la seguridad y DevOps. Me gusta bromear diciendo que los desarrolladores organizan la fiesta y que la gente de operaciones de seguridad se despierta con resaca. Lograr el equilibrio adecuado entre las diferentes partes de la TI es una necesidad empresarial, pero la armonía todavía se nos escapa a muchos de nosotros. Si hay un objetivo que toda TI debería tener para 2021, debería ser reconocer la relación simbiótica entre la seguridad y el resto de TI. Es un cliché (pero cierto no obstante) que la seguridad debe ser un facilitador, no una señal de alto, y las organizaciones que mejor apliquen esa idea tendrán la agilidad operativa necesaria para enfrentar los desafíos futuros.

Un pensamiento final sobre la importancia de proteger la identidad: la controversia de las elecciones presidenciales de Estados Unidos de 2020 destacó el papel que pueden desempeñar las redes sociales en la formación de las opiniones públicas. La importancia de controlar de cerca la identidad relacionada con las cuentas de redes sociales seguirá siendo una parte importante de la protección de la reputación en línea de una empresa. No se trata solo de opiniones políticas controvertidas también se trata de protegerse contra el secuestro de cuentas y otras acciones que podrían conducir a la difusión de información errónea que sea perjudicial para la empresa.

Al last, la implementación de una seguridad eficaz en los entornos empresariales y de TI modernos de hoy en día implica una combinación de herramientas, procesos y personas, al igual que en el pasado. Pero todo comienza con quién o qué obtiene acceso y desde dónde. Con suerte, todos podemos aprovechar las lecciones que aprendimos de nuestras experiencias en 2020 para aumentar la eficacia de nuestros sistemas IAM.



Enlace a la noticia initial