¿Qué es un tejido de identidad?

En la era de transformación digital, la mayoría de las organizaciones empresariales gestionan entornos híbridos y multinube que contienen activos on premises, aplicaciones heredadas y diversos servicios basados en la nube. Es habitual que cada uno de estos sistemas tenga su propia solución de IAM, lo que significa que las organizaciones deben gestionar múltiples directorios de usuarios y sistemas de identidad.

La proliferación de sistemas de identidad desconectados puede degradar la experiencia del usuario y crear brechas de visibilidad y seguridad que pueden usar los actores maliciosos. Según el IBM X-Force Threat Intelligence Index, los ataques basados en la identidad son uno de los vectores de ataque más comunes, y representan el 30 % de las intrusiones.  

Un tejido de identidad ayuda a unificar los sistemas de identidad desconectados en todo el ecosistema digital de una organización. Esta unificación facilita la monitorización de la actividad y la aplicación de medidas coherentes de gobernanza de identidades, autenticación y autorización para todos los usuarios en todas las aplicaciones y plataformas.

Este Approach centralizado mejora la visibilidad de la actividad del usuario, fortalece la postura de seguridad y la eficiencia operativa de la organización y respalda una Experiencia de usuario más optimizada.

Los tejidos de identidad permiten a las organizaciones integrar los sistemas de identidad Dispar de diferentes aplicaciones, activos y servicios. La organización puede aplicar políticas de acceso unificadas, supervisar la actividad de los usuarios, dirección vulnerabilities e implementar controles de seguridad coherentes en todos los sistemas. 

Los sistemas de gestión de identidad y acceso son herramientas críticas de seguridad de identidad. Ayudan a proteger las identidades digitales, bloquean la actividad no autorizada y garantizan que las personas adecuadas puedan acceder a los recursos adecuados por los motivos correctos.

Sin embargo, la mayoría de las organizaciones se encuentran administrando múltiples soluciones IAM conectadas a múltiples directorios de usuarios. Como mínimo, la mayoría de las organizaciones utilizan una solución de IAM para los usuarios internos y una solución de gestión de identidad y acceso del cliente (CIAM) independiente para los clientes y otros usuarios externos.

Pero muchas organizaciones se ocupan de más de dos sistemas de identidad. Cada aplicación heredada, proveedor de servicios en la nube y sistema local puede tener su propia solución IAM y servicio de directorio.

Estos silos de identidad proporcionan una experiencia de usuario inconsistente, ya que cada sistema puede requerir credenciales, niveles de permiso y medidas de seguridad independientes.

Además, los sistemas de identidad desconectados plantean riesgos de seguridad significativos. Las identidades de los usuarios son uno de los principales objetivos de los ciberataques. El X-Force Threat Intelligence Index informa que el robo de credenciales es el impacto más común que enfrentan las víctimas de filtraciones.

Sin un enfoque centralizado, puede ser difícil aplicar medidas de ciberseguridad sólidas, como la autenticación sin contraseña con claves de acceso FIDO, la autenticación basada en riesgos (RBA) y la gestión de amenazas de identidad en tiempo real . Es posible que algunos sistemas de IAM ni siquiera admitan algunas de estas medidas.  

Una solución de tejido de identidad ofrece una capa unificada para gestionar y proteger las identidades digitales en aplicaciones, activos y proveedores de la nube. Proporciona a las organizaciones una mayor visibilidad de las cuentas y la actividad de los usuarios, y un control más coherente sobre las políticas y procesos que protegen a los usuarios en todos los sistemas, aplicaciones y plataformas.

Considere cómo un proveedor de atención médica podría emplear una arquitectura de tejido de identidad para crear un sistema más seguro y eficiente para los profesionales médicos.

Un proveedor de atención médica típico depende de una serie de herramientas de Tecnología, por ejemplo, un sistema de programación, un sistema de registros de pacientes, una plataforma de telesalud y un sistema para compartir datos con otros proveedores de atención médica.  

Un tejido de identidad permitiría a los profesionales acceder a todos estos sistemas a través de una única identidad. Esto no solo es más conveniente que requerir múltiples inicios de sesión, sino que también permite a la organización aplicar los mismos niveles de acceso y controles de seguridad en todas las plataformas. Por ejemplo, un médico podría acceder a todos los datos de sus pacientes en cada sistema, pero no a los datos de pacientes que no son suyos.  

La aplicación centralizada de políticas ayuda a garantizar el cumplimiento de las leyes de privacidad de datos y a evitar el acceso no autorizado, incluidas las situaciones en las que los usuarios legítimos tienen más permisos de los que realmente necesitan.

Un tejido de identidad funciona integrando y sincronizando los muchos servicios de identidad Dispar que existen en la red de una organización en una infraestructura de IAM unificada.

Muchos tejidos de identidad dependen en gran medida de las interfaces de programación de aplicaciones (API). Las API permiten que los sistemas desconectados se comuniquen de forma segura, intercambien datos de identidad y apliquen políticas coherentes de gestión de identidad y acceso. Algunas estructuras también utilizan protocolos de comunicación estandarizados, como OAuth o lenguaje de marcado de aserción de seguridad (SAML) para conectar sistemas IAM.

Existen diferentes opciones para implementar un tejido de identidad. Algunos proveedores ofrecen plataformas de tejido de identidad que proporcionan a las organizaciones capacidades completas para conectar sistemas de identidad listos para usar. Otras organizaciones adoptan el mejor enfoque de su clase integrando varias soluciones puntuales. Las organizaciones con necesidades especializadas pueden crear sus propios tejidos de identidad con código personalizado y API.

Si bien la naturaleza y la estructura de los tejidos de identidad pueden variar, la mayoría de las organizaciones emplean alguna combinación de estos elementos para crear sus tejidos:

El software de orquestación de identidades coordina sistemas IAM dispares para crear flujo de trabajo de identidades cohesivos y sin problemas, como el inicio de sesión de los usuarios, la incorporación y el aprovisionamiento de cuentas, que abarcan varios sistemas.

Las plataformas de orquestación de identidades pueden actuar como planos de control centrales para todos los sistemas de identidad de una red. Cada herramienta de identidad se integra con la plataforma de orquestación, creando un tejido unificado.

Las herramientas de Identity orchestration se emplean a menudo para crear sistemas de inicio de sesión único (SSO) que permiten a los usuarios acceder a múltiples aplicaciones con un único conjunto de credenciales.

Las soluciones de detección y respuesta a amenazas de identidad (ITDR) monitorean los sistemas para descubrir y corregir las amenazas basadas en la identidad, como la escalada de privilegios y el secuestro de cuentas, que pueden conducir a filtraciones de datos y otros problemas. 

Cuando una solución ITDR detecta un comportamiento potencialmente malicioso, alerta al equipo de seguridad y activa una respuesta automatizada, como el bloqueo inmediato del acceso de la cuenta a datos confidenciales.

Las aplicaciones heredadas no siempre admiten medidas de seguridad modernas, como la autenticación multifactor (MFA) o las arquitecturas de confianza cero. Muchas plataformas de orquestación de identidades y soluciones de tejido de identidades ofrecen herramientas de código bajo y sin código para poner al día estas aplicaciones. Estas herramientas proporcionan interfaces visuales de arrastrar y soltar para configurar flujos de trabajo de identidad sobre aplicaciones existentes. Por ejemplo, si una aplicación no admite MFA, una herramienta de orquestación de identidades puede conectar esa aplicación a una solución MFA separada, creando un flujo de trabajo entre los dos sistemas. 

También conocida como autenticación adaptativa, la autenticación basada en riesgos (RBA) evalúa en tiempo real el nivel de riesgo de cada usuario que intenta acceder a los activos de la organización. RBA ajusta dinámicamente los requisitos de autenticación en función de estas evaluaciones de riesgos.

RBA evalúa el comportamiento de los usuarios, como la velocidad de escritura, el uso del dispositivo y la ubicación física, para determinar el nivel de riesgo del usuario. Un usuario que muestre comportamientos típicos (usar un dispositivo conocido, hacer registro desde la misma ubicación) se considera de menor riesgo. Es posible que solo necesiten ingresar una contraseña para confirmar su identidad.

Por otra parte, un usuario que inicie sesión desde un dispositivo desconocido o una nueva ubicación podría considerarse de mayor riesgo. El sistema RBA podría someter al usuario a medidas de control de acceso adicionales, como un escaneo de huellas dactilares.

Los servicios de directorio son repositorios que almacenan y gestionan información sobre los usuarios de sistemas y aplicaciones. La sincronización de los servicios de directorio en todo el entorno de TI de una organización le da a la organización una vista única y autorizada de cada usuario. Esto permite a la organización aplicar políticas de seguridad de identidad uniformes a cada usuario en todos los sistemas, en lugar de necesitar conjuntos de políticas separados para cada directorio. 

Las herramientas degobernanza y administración de identidades (IGA) ayudan a gestionar las identidades de los usuarios a lo largo de sus ciclos de vida, desde la incorporación hasta el desaprovisionamiento y la baja. El objetivo de IGA es garantizar que las políticas de acceso y la actividad de los usuarios cumplan con regulaciones como el Reglamento General de Protección de Datos (RGPD) y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

Las herramientas de IGA ayudan a automatizar y agilizar actividades, como el aprovisionamiento de usuarios, la implementación de políticas de acceso y la realización de comentarios de derechos de acceso. 

Las herramientas de gestión de acceso privilegiado (PAM) gobiernan y protegen las cuentas privilegiadas (como las cuentas de administrador) y las actividades privilegiadas (como trabajar con datos confidenciales).

Las cuentas privilegiadas requieren una protección más estable que las cuentas estándar, ya que son objetivos de gran valor que los piratas informáticos pueden emplear para causar graves daños. PAM aplica medidas de seguridad avanzadas, como el almacenamiento seguro de credenciales y el acceso justo a tiempo, para controlar estrictamente cómo obtienen los usuarios privilegios elevados y qué hacen con ellos.

Los sistemas de IAM fragmentados y los directorios de usuarios pueden crear silos de identidad, lo que permite a las organizaciones gestionar diferentes identidades y controles de acceso para cada sistema distinto. La implementación de un tejido de identidad puede ayudar a derribar estos silos y optimizar la gestión de identidad y acceso. 

Una arquitectura de tejido de identidad unifica los servicios de identidad desconectados, creando una única identidad digital para cada usuario. Esto permite a la organización establecer y aplicar permisos y políticas uniformes que siguen a cada usuario que accede a nube, sistemas heredados y aplicación. Esto ayuda a garantizar una experiencia de usuario coherente, independientemente de la aplicación o el sistema al que acceda el usuario.

Los tejidos de identidad también admiten la escalabilidad del sistema. Las organizaciones no necesitan preocuparse por si la introducción de nuevas herramientas o activos en una red podría interrumpir sus sistemas de identidad. Cada nuevo recurso se integra en el mismo tejido.

Las organizaciones suelen utilizar un tejido de identidad como punto de control centralizado para implementar las últimas tecnologías y prácticas de ciberseguridad. Por ejemplo, una organización puede querer aplicar la autenticación multifactor (MFA) o aplicar un enfoque zero trust, en el que no hay confianza inherente para ningún usuario.

En medio de un sistema fragmentado de múltiples soluciones de IAM y directorios de usuarios, sería difícil para la organización implementar constantemente estas medidas de ciberseguridad. Pero con un tejido de identidad, la organización obtiene visibilidad y control unificados de las políticas de seguridad de identidad. Puede aplicar de forma centralizada el acceso seguro a los recursos, y rastrear y analizar los comportamientos de los usuarios en todos los sistemas para detectar posibles amenazas. 

Las organizaciones suelen aprovechar una estructura de identidad centralizada para simplificar las iniciativas de protección de datos y cumplimiento normativo. Pueden aplicar políticas de acceso a los datos confidenciales en función de los roles de los usuarios, realizar un seguimiento de lo que estos hacen con dichos datos y garantizar que se respete el principio del privilegio mínimo.

Al gestionar las identidades digitales con un sistema unificado, las organizaciones pueden aplicar estándares de cumplimiento y registrar la actividad de los usuarios en todos los sistemas y aplicaciones simultáneamente. Esta capacidad facilita proporcionar registros de auditoría e reportes de cumplimiento a las agencias reguladoras.