Un informe realizado por la Cloud Security Alliance revela que las herramientas y procesos de gestión de identidad son clave para mitigar la amenaza de brechas de seguridad. El informe revela cuáles son las herramientas más populares y cuáles están subutilizadas. Aunque muchas empresas tienen medidas de seguridad de acceso de usuarios tanto en las instalaciones como en la nube, es posible que no tengan suficientes, advierte la Cloud Security Alliance en un nuevo informe.

El informe, “Identity Solutions: Security Beyond the Perimeter”, fue publicado el 21 de abril y se basa en 325 entrevistas en línea realizadas en todo el mundo por la CSA. Los hallazgos revelaron “diferencias significativas en las soluciones de seguridad utilizadas” entre los encuestados que informaron de una brecha y aquellos que no lo hicieron, según el informe, que fue patrocinado por Centrify, fabricante de herramientas de seguridad de identidad para la empresa.

Cuando se les preguntó en la encuesta de la CSA si su empresa había informado alguna vez de una brecha de datos, el 17% de los encuestados respondió que sí, el 26% dijo que no estaba seguro y el 57% dijo que no. De aquellos que dijeron que su empresa había informado de una brecha, el 22% dijo que la brecha fue causada por credenciales comprometidas.

Las brechas de datos, el secuestro de cuentas y los empleados malintencionados fueron identificados por la CSA a principios de este año como algunos de los 12 problemas críticos para la seguridad en la nube. El informe de la CSA, “The Treacherous Twelve: Cloud Computing Top Threats in 2016”, fue publicado en febrero y patrocinado por Hewlett-Packard Enterprise. Concluyó que estas principales amenazas ocurren porque los sistemas existentes de gestión de acceso e identidad no siempre se adaptan a todos los sistemas que los necesitan. En algunos casos, ni siquiera se utilizaban contraseñas, según el informe de los Doce Traicioneros. Ese informe recomendaba la implementación extensiva de la autenticación multifactorial y recomendaba que las claves criptográficas, las contraseñas y los certificados se rotaran con más frecuencia de lo que se hace comúnmente.

En su informe, Yeoh y Baron dijeron que la rápida adopción de los servicios en la nube había llevado el límite de la empresa a centros de datos adicionales, lo que permitía a socios, terceros y clientes acceder a los sistemas y datos corporativos. Si bien esto es beneficioso para la economía de la empresa, la adición de la nube “agrega complejidad, con más personas que tienen acceso a los datos de la empresa”, señaló el informe. Y el costo de una brecha es tan alto que las ganancias económicas derivadas del perímetro empresarial ampliado se ven contrarrestadas en cierta medida por las amenazas ampliadas. “Además del valor de los datos perdidos, la reputación de la empresa, las acciones legales, las sanciones financieras y los empleos están en juego”, dijo el informe.

Es obvio que es necesario pensar más allá del perímetro de seguridad tradicional. Menos obvio es cuánto “controlar el acceso a los datos” contribuirá a que las empresas puedan adoptar servicios y tecnologías en la nube de manera más segura, continuaron Yeoh y Baron.

El informe mostró una disparidad entre las empresas grandes y pequeñas en cuanto a los productos utilizados. Los encuestados cuyas empresas tenían entre uno y 1,000 empleados eran menos propensos a tener Mobile Device Management (MDM) o Enterprise Mobility Management (EMM) en su lugar que sus contrapartes más grandes. Estas organizaciones también eran menos propensas que las grandes empresas a tener firewalls de próxima generación, VPN y firewalls de aplicaciones web, según el informe.

Entonces, ¿qué tipos de controles de acceso y procesos tienen los encuestados en su lugar? La mayoría de los encuestados (73%) dijo que utilizaban tokens y gestión de autenticación multifactorial, que a menudo se emplean con aplicaciones críticas para la misión que utilizan datos sensibles. Más de la mitad (55%) de los encuestados dijo que utilizaban inicio de sesión único (SSO) para permitir que los empleados accedan a aplicaciones web y de Software-as-a-Service. SSO también se utiliza para acceder a aplicaciones empresariales por el 53% de los encuestados. Sin embargo, parece haber escasez de sistemas específicos para gestionar el creciente número de Macs de Apple en la empresa. Solo el 18% de los encuestados informó que utilizaba dicho sistema.

En cuanto a las medidas de control de acceso diseñadas para proteger a los usuarios, el 32% de los encuestados dijo que tenía gestión de contraseñas de cuenta compartida y el 50% tenía gestión de contraseñas de superusuario. El 80% de los encuestados citó la gestión de acceso privilegiado, mientras que el 38% dijo que utilizaba gestión de sesiones privilegiadas, según el informe.

Cuando la pregunta se refiere a qué medidas de acceso están en su lugar para socios, TI externalizada y otros terceros, la imagen cambia bastante. Solo el 62% de los encuestados dijo que tenía gestión de acceso privilegiado en su lugar para dichos usuarios; el 25% tenía gestión de contraseñas de aplicación a aplicación; y el 32% tenía almacenamiento seguro de contraseñas.

Entonces, ¿qué tipos de organizaciones tienen las mejores prácticas en su lugar? Según el informe, las empresas que utilizan big data y tienen 50,000 o más empleados tienen las mejores medidas de protección de datos. “Aquellas que adoptaron esta tecnología (big data) también utilizaron consistentemente más soluciones de seguridad en general”, escribieron Yeoh y Baron. Una solución adicional citada por los autores fue una plataforma completa de gestión de identidad, que proporciona los medios para controlar el acceso a la red, los recursos informáticos empresariales, los puntos finales, los entornos alojados en la nube y las aplicaciones en la nube. Esta defensa en profundidad de la identidad y la autenticación no resolverá todos los problemas, pero aborda la exposición más frecuente que se encuentra tanto en las instalaciones como en los entornos en la nube, dijeron los autores.