Gestión de identidades, un factor fundamental para la protección de activos empresariales
La identidad incluye características únicas que distinguen a un individuo del resto de todos los demás: a lo largo de su vida, la persona se enriquece con su experiencia y conocimiento. En la era digital, a lo anterior se suman elementos que la complementan como contraseñas, autenticación, biometría, privilegios y mecanismos que pueden darle acceso a recursos críticos propios o de su empresa.
Como un rasgo netamente humano, su integridad puede verse afectada por la actividad cibercriminal que acecha constantemente en las dimensiones físicas y virtuales a fin de cometer acciones ilícitas. Y es que el robo de identidad desemboca en accesos no autorizados, robo y divulgación de información sensible, fraude, robo de dinero o violaciones a la propiedad intelectual, así como prácticas más peligrosas como secuestrar sistemas y/o afectar el funcionamiento de infraestructuras críticas.
Por tanto, la gestión de la identidad es hoy un elemento crítico en los activos de TI y en los procesos de negocio que ha incrementado su relevancia por la adopción de estrategias y el uso de tecnologías en la nube. Es por ello que la manera en la que se administren los accesos y los privilegios tendrá un impacto real directo en el negocio en aspectos como la seguridad, el cumplimiento, la operación y, por supuesto, el desempeño comercial de la compañía.
Como base para las transacciones digitales, la gestión de identidad abarca mecanismos como la autenticación dinámica, la gestión de control de cuentas privilegiadas, el aprovisionamiento de cuentas, gobierno de identidad y la gestión de los accesos, y se llega a complementar con innovaciones como la biometría y la inteligencia artificial (IA).
¿En qué consisten estos y otros mecanismos que contribuyen a lograr una estrategia de gestión de identidades efectiva? Específicamente, el gobierno de identidades sienta las bases necesarias que sirven como el punto de partida para lograrlo. Aquí, factores como el aprovisionamiento de cuentas, la gestión de contraseñas, el autoservicio de aplicaciones, recursos y recuperación de contraseñas, así como los informes para auditorías, procesos certificación de usuarios y el establecimiento de roles y perfiles son altamente relevantes.
La autenticación dinámica, por su parte, permite identificar y controlar el acceso de usuarios o clientes a partir de políticas que consideran su nivel de riesgo en función de las aplicaciones a las que tienen acceso, qué dispositivos utilizan y desde dónde. En una plataforma de autenticación se combinan los procesos efectivos para autenticar tanto a usuarios como dispositivos para tomar decisiones a partir de la identidad, los riesgos y otros parámetros.
Un aspecto importante de la gestión de identidades es el denominado Single Sign On, o inicio de sesión unificado, un procedimiento de autenticación que permite a un usuario acceder a varios sistemas mediante una sola instancia de identificación. Este componente se refuerza con sistemas de seguridad y autenticación altamente robustos como WS Security, el estándar XACML y una arquitectura orientada a objetos (SOA).
El manejo de usuarios y cuentas privilegiadas es también esencial ya que son los principales blancos de distintos tipos de ataques provenientes tanto del interior como del exterior de la organización, de ahí que se requieran mecanismos de protección y control mucho más robustos.
La identidad de los individuos con altos privilegios debe protegerse constantemente, apoyada en acciones como la grabación de sesiones, la identificación de usuarios de aplicaciones críticas o sensibles, o la gestión de contraseñas para aplicaciones o servicios, entre otros. Cabe mencionar que la gestión efectiva de los usuarios y las cuentas privilegiadas es un requisito para cumplir con normativas de seguridad básicas como la ISO 27000, por ejemplo.
En un plano más avanzado, la administración de identidades se complementa a su vez con la biometría, tecnología que permite relacionar el rol y los privilegios que tiene un individuo con sus rasgos físicos, únicos e intransferibles, como son: la huella digital, el rostro, el iris y la voz. A medida que se perfecciona, es capaz de combinar otras innovaciones tecnológicas a fin de asegurar nuevos niveles de seguridad o autenticación.
Incorporar módulos de Machine Learning e Inteligencia Artificial a la gestión de identidades es una tendencia que cobra fuerza, ya que permite tener un perfil de referencia para cada individuo mediante el análisis de sus atributos contextuales específicos: ubicación, sistema operativo, red, solicitudes, tiempo de acceso o privilegios por nivel, entre otros indicadores. Los valores contextuales implican riesgos calculados en cada solicitud de acceso y generan políticas dinámicas que reconocen y actúan proactivamente. No solo administra mejor los requisitos de un alto grado de seguridad de la identidad, además mejora la experiencia del usuario final.
El resultado es un gobierno de identidades altamente efectivo que observa todas y cada una de las variables clave de un esquema de protección y seguridad, desde la nube y el perímetro hasta los sistemas críticos y el factor humano.
La identidad, por tanto, se extiende del individuo a la organización y se convierte en un activo crítico para hacer negocio y un factor poderoso para impulsar a la organización hacia su transformación digital.
por Erik Moreno, director de Ciberseguridad de Minsait en México
