La gestión de identidad y acceso (IAM) es un conjunto de prácticas empresariales, políticas y herramientas tecnológicas que otorgan el nivel adecuado de acceso al permitir a los usuarios acceder solo a lo que necesitan para realizar su trabajo. El marco IAM confirma que el usuario tiene acceso autorizado a la información empresarial propietaria y los recursos internos al autenticar las credenciales del usuario, como un nombre de usuario y contraseña combinados con una respuesta de texto o correo electrónico o una huella dactilar.
Las mejores prácticas de IAM deben ayudar a identificar, autenticar y autorizar a los usuarios. Un usuario autorizado necesita acceso a computadoras, aplicaciones de software y recursos de TI empresariales para realizar un conjunto de tareas definidas en función de un nivel de acceso. Estas mejores prácticas de IAM son tecnologías o prácticas empresariales implementadas que ayudan a minimizar o eliminar cualquier acceso no autorizado a todos los recursos de TI empresariales.
Las prácticas de seguridad de confianza cero se refieren a una estrategia empresarial en la que ningún usuario, aplicación o los datos producidos por una aplicación se consideran confiables por defecto. Cada usuario, aplicación y dato en la red se considera hostil. Después de verificar la identidad de un usuario o confirmar los datos de una aplicación, se pone a disposición el acceso solicitado a los recursos de la red.
Los controles de acceso basados en roles (RBAC) son derechos de acceso predefinidos que otorgan permiso a un usuario para ejecutar acciones específicas. Un rol de RBAC puede ser privilegios de escritura, y otro puede ser solo lectura.
La autenticación multifactor (MFA) implica que un usuario proporcione dos formas de verificar quién es antes de que se conceda el acceso a un sistema de TI. Un ejemplo es un inicio de sesión exitoso con contraseña que genera un correo electrónico al mismo usuario para ingresar un código de 5 dígitos. Si se ingresa correctamente el código de 5 dígitos, entonces la autenticación multifactor es exitosa.
El inicio de sesión único (SSO) valida a los usuarios una vez y, una vez validados, los usuarios pueden acceder a todos los sistemas de TI sin tener que iniciar sesión en cada sistema individualmente. Con SSO, la contraseña del usuario debe ser compleja y no fácil de adivinar.
Algunas de las características clave que debe tener todo software IAM incluyen la autenticación de dos factores (2FA), la gestión dinámica de contraseñas, la configuración de aplicaciones, los registros de auditoría y la identidad empoderada del usuario.
La gestión de contraseñas dinámicas elimina la tarea de crear contraseñas de los empleados al crear una contraseña distintiva y robusta para aplicaciones web corporativas que se cambia de forma rutinaria. Los empleados no conocen las contraseñas de las aplicaciones web y utilizan su inicio de sesión SSO para acceder a los sitios web corporativos.
La configuración de aplicaciones permite limitar el acceso de un usuario a una aplicación empresarial a lo que necesita hacer para completar una tarea. Además, la configuración de aplicaciones puede ocultar campos específicos, deshabilitar funciones o hacer que una aplicación sea de solo lectura.
Los registros de auditoría permiten a los usuarios realizar un seguimiento de más que solo quién inicia sesión y a qué hora. Las soluciones IAM más sofisticadas pueden rastrear qué función específica se utilizó en una aplicación, enviar alertas por actividad inusual y capturar capturas de pantalla de actividad sospechosa o maliciosa.
La identidad empoderada del usuario brinda al usuario la capacidad inmediata de tomar medidas apropiadas si sospecha que alguien está intentando utilizar ilegalmente su información de inicio de sesión. Por ejemplo, el usuario puede desactivar la cuenta o cambiar la contraseña.
La gestión de identidad y acceso (IAM) es una solución integral que consiste en las mejores prácticas de ciberseguridad para la gestión de identidad y acceso, las herramientas IAM que ayudan en la gestión de acceso privilegiado (PAM) y el principio de privilegio mínimo para proteger la información empresarial confidencial. Un administrador de contraseñas puede ser una de las muchas características incluidas en una solución IAM para asegurar de manera confiable la información relacionada con el negocio. Un administrador de contraseñas proporciona la conveniencia de permitir que un usuario recuerde una contraseña generada de alta seguridad. La contraseña generada se almacena como una credencial de inicio de sesión en un repositorio centralizado y encriptado, y permite al usuario iniciar sesión en múltiples sistemas de TI empresariales para completar tareas relacionadas con la organización. Además, la contraseña generada se cambia en un período predefinido según las mejores prácticas de IAM. Dicho esto, la función de administración de contraseñas es simplemente otra herramienta, al igual que PAM y SSO, para administrar los permisos y privilegios de los usuarios.
Una solución IAM aborda cada uno de los cinco pilares con las mejores prácticas, políticas o una herramienta IAM para proporcionar una protección completa de una red empresarial, información y cualquier espacio físicamente seguro. Al revisar los cinco pilares, también identificaremos algunas de las herramientas IAM o prácticas empresariales para abordar cada pilar.
El primer pilar se refiere a las políticas, procesos y tecnologías utilizadas para ayudar a aprovisionar, desaprovisionar y modificar identidades digitales desde una perspectiva de gestión del ciclo de vida. Todas las identidades digitales deben revisarse periódicamente para asegurarse de que la cuenta sea válida y que aún se requiera un acceso específico. El consejo de gobierno define las políticas y requisitos para los tipos de cuentas creadas y el propósito de la cuenta creada. El acceso basado en roles ayuda a cumplir con este requisito.
Las herramientas IAM de SSO y MFA autentican una identidad digital para un solo usuario. Esto crea una forma confiable de asegurarse de que la persona adecuada esté autenticada para ciertas solicitudes y, en caso de que la cuenta se vea comprometida, los actores malintencionados no podrán acceder a datos no autorizados o sensibles.
El control de acceso a la red es un enfoque centralizado para asegurar el acceso a la red utilizando un modelo de acceso de confianza cero que requiere una verificación continua de todos los dispositivos, datos y usuarios. Además, evita que dispositivos y usuarios no autorizados accedan a la red empresarial.
La gestión de cuentas privilegiadas (PAM) administra y supervisa cualquier usuario con una cuenta elevada para acceder a recursos de TI o información confidencial de empleados. Los administradores de TI y el personal de recursos humanos pueden tener cuentas elevadas para realizar sus tareas asignadas. Los equipos de seguridad de la información pueden rastrear cualquier actividad maliciosa por parte de un empleado que abuse de los privilegios y tomar medidas inmediatas para desactivar la cuenta.
Las claves de cifrado se utilizan de muchas formas. La clave simétrica de datos en reposo se utiliza para cifrar y descifrar datos. En contraste, las claves asimétricas involucran claves públicas y privadas y se utilizan para datos en movimiento, como el movimiento a través de una red. Las claves de cifrado deben almacenarse en un módulo de seguridad de hardware (HSM) ya que los ciberdelincuentes suelen atacar estas claves.
Las herramientas de gestión de identidad y acceso (IAM) son aplicaciones de seguridad que identifican, autentican y autorizan el acceso de los usuarios a redes de TI, servidores, servicios y recursos relacionados con la empresa para realizar sus tareas empresariales requeridas. Combinar las herramientas IAM con las mejores prácticas y políticas empresariales se convierte en la base de cómo las empresas aseguran y protegen su red de usuarios no autorizados. Aquí hay algunas de las principales herramientas IAM para controlar y monitorear el proceso de autenticación para otorgar el uso autorizado de recursos y datos de la red.
Auth0 autentica la identidad de un usuario y autoriza al usuario a acceder a los recursos o datos de TI solicitados. Auth0 ofrece una función de gestión de identidad y acceso del cliente (CIAM) para empresas con un alto volumen de clientes que requieren acceso a una extranet. La herramienta CIAM facilita la experiencia de inicio de sesión del cliente con una autenticación multifactor sencilla que aún protege las identidades de los clientes y la extranet contra accesos no autorizados.
Entrust es una identidad como servicio (IDaaS) en la nube IAM que proporciona acceso seguro a dispositivos, aplicaciones y recursos utilizados en múltiples negocios específicos de la industria. Entrust ofrece un sitio web con una identidad sólida para usuarios y máquinas, pagos seguros con credenciales financieras verificadas e infraestructura confiable utilizando criptografía, PKI y tecnología de gestión de seguridad. El producto del proveedor ofrece aprovisionamiento con un solo clic con integración lista para usar que puede funcionar con aplicaciones locales o en la nube. Entrust IDaaS es fácil de implementar y se puede configurar y poner en funcionamiento en menos de una hora.
Heimdal ofrece una solución PAM que brinda a los administradores del sistema una supervisión y visibilidad completas de los derechos de acceso de los usuarios. Por ejemplo, los administradores pueden revisar las solicitudes de los usuarios, verificar las solicitudes de historial, bloquear elevaciones de cuenta o rechazar proactivamente las solicitudes de escalada en tiempo real. Además, Heimdal proporciona una solución PAM con ejecución de confianza cero que puede reducir automáticamente los derechos de usuario si se detecta una amenaza y anular cualquier posible amenaza interna.
Ping Identity ayuda a las empresas a proteger a sus usuarios y todas las interacciones digitales al tiempo que brinda al usuario una experiencia simplificada. El producto del proveedor ofrece una plataforma en la nube PingOne que conecta de manera transparente y segura a los usuarios con cualquier sistema de TI utilizando las soluciones de identidad de Ping o un servicio de terceros. Ping Identity ayuda a las organizaciones empresariales a lograr una identidad de confianza cero utilizando un enfoque de confianza pero verificación. También utiliza la autenticación sin contraseña utilizando biometría como reconocimiento facial o huellas dactilares.
Solarwinds Access Rights Manager proporciona una forma sencilla para que los administradores puedan aprovisionar, desaprovisionar, administrar y auditar los derechos de acceso de los usuarios a la red de TI. Las características clave de Solarwinds son determinar el acceso de alto riesgo y actuar para minimizar cualquier daño potencial, minimizar la amenaza interna, identificar rápidamente los derechos de acceso del usuario y garantizar que el cumplimiento sea válido después de detectar cambios. Utiliza plantillas específicas de roles para mantenerse alineado con las políticas de seguridad establecidas y puede generar rápidamente informes que muestren el cumplimiento de los requisitos obligatorios.
SecureONE de Remediant ofrece acceso privilegiado que se asigna de manera precisa, se monitorea continuamente y se inventaría utilizando un sistema de entrega justo a tiempo. Además, SecureONE se enfoca en la gestión de acceso privilegiado que se monitorea constantemente para eliminar el acceso de cuenta de privilegio siempre disponible cuando no se necesitan cuentas de privilegio, con la capacidad de volver a activar esos privilegios cuando sea necesario.
Twingate ofrece una solución de confianza cero que valida continuamente el acceso a la red para usuarios, datos y recursos de TI, y está diseñada para ser utilizada por desarrolladores, DevOps, equipos de TI y usuarios finales. Twingate reemplaza las VPN empresariales y mejora el concepto de trabajar desde cualquier lugar al minimizar drásticamente las amenazas de ciberseguridad remotas. Además, Twingate se puede implementar en servidores locales o en la nube.
Cada gerente de ciberseguridad o oficial de seguridad de la información debe comprender las vulnerabilidades organizativas y cómo los ciberdelincuentes intentarán penetrar en la red empresarial. Además, el personal de seguridad deberá comprender qué tipo de información es más valiosa para entidades externas malintencionadas y el potencial de que un empleado interno obtenga acceso no autorizado a información empresarial valiosa. Después de realizar una revisión para identificar la información más valiosa de una organización, el personal de seguridad deberá determinar qué solución IAM es la más adecuada para proteger los datos organizativos. Por supuesto, una solución de confianza cero siempre es una buena opción. Sin embargo, si la información es lo suficientemente valiosa como para preocuparse por una amenaza interna que obtenga acceso autorizado, una herramienta de gestión de acceso privilegiado que pueda reconocer de inmediato el acceso fuera del horario laboral como una anomalía es una buena elección. Una herramienta IAM que haga ambas cosas sería ideal. Cada comprador deberá considerar casos de negocio específicos que identifiquen lo que la empresa valora y cómo detener de la mejor manera posible que una entidad externa o un empleado interno obtenga acceso no autorizado a lo que una empresa determine como información valiosa.
