¿Qué es la gobernanza y la administración de identidades (IGA)?

A medida que las organizaciones gestionan miles de cuentas de usuario en sistemas on premises, servicios en la nube y aplicaciones de software como servicio (SaaS), el seguimiento de quién tiene acceso a qué se vuelve cada vez más complejo.

Cada identidad digital, ya sea que represente a un usuario, un dispositivo o una aplicación, es una puerta de acceso potencial a sistemas críticos y datos confidenciales. Sin una gobernanza adecuada, este ecosistema en expansión genera importantes riesgos de seguridad y retos de cumplimiento normativo.

Según el Informe del costo de una filtración de datos de IBM, las credenciales robadas o comprometidas son el vector de ataque inicial más común, responsable del 16 % de las filtraciones de datos. Cuando los hackers consiguen credenciales legítimas, pueden moverse libremente por las redes, accediendo a datos y sistemas confidenciales.

Las soluciones de gobernanza y administración de identidades ayudan a proteger contra ataques basados en identidad y a prevenir posibles filtraciones de datos.

Las herramientas de IGA pueden automatizar el aprovisionamiento de usuarios, implementar políticas de acceso y realizar comentarios periódicos de acceso a lo largo de todo el ciclo de vida de la identidad, desde la incorporación hasta la baja. Estas funciones brindan a las organizaciones más supervisión sobre los permisos y la actividad de los usuarios, lo que facilita detectar y detener el uso indebido y el abuso de privilegios.

Las soluciones de IGA también ayudan a garantizar el cumplimiento normativo continuo con mandatos como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley Sarbanes-Oxley (SOX). IGA ayuda a garantizar que el acceso a sistemas y datos confidenciales se asigne correctamente y se revise periódicamente, al tiempo que genera pistas de auditoría para respaldar auditorías internas y externas.

IGA y la gestión de identidad y acceso (IAM) son marcos relacionados pero distintos dentro de la seguridad de identidades. IAM se ocupa de cómo los usuarios acceden a los recursos digitales, mientras que IGA ayuda a garantizar que las personas utilicen su acceso de manera adecuada. 

IAM maneja los aspectos operativos de la seguridad de la identidad, como la gestión de contraseñas, la autenticación, la autorización del acceso diario y la gestión de cuentas. IGA amplía la IAM al agregar capacidades de gobernanza, incluidas funciones de supervisión, aplicación de políticas y cumplimiento.

Se puede pensar en que IAM e IGA abordan un conjunto de preguntas complementarias:

• IAM: ¿Cómo acceden los usuarios a los Recursos y qué pueden hacer con ellos?

• IGA: ¿Deberían los usuarios tener este acceso y podemos probar que nuestros controles cumplen con los requerimientos de cumplimiento de normas?

En la práctica, las organizaciones implementan herramientas IAM e IGA juntas. Por ejemplo, si un analista financiero se transfiere a marketing, IAM maneja los aspectos técnicos del cambio de privilegios de acceso, mientras que IGA ayuda a garantizar que esos cambios se alineen con las políticas de la compañía.

Las soluciones de IGA surgieron para ayudar a las organizaciones a gestionar la creciente complejidad de los entornos de TI empresariales, los cambiantes ámbitos de amenazas cibernéticas y los mandatos de cumplimiento en evolución.

Las redes empresariales ahora abarcan sistemas on premises, proveedores de la nube privados y públicos , estaciones de trabajo remotas y numerosas aplicaciones. Esta complejidad hace que la gobernanza manual de identidades sea casi imposible y aumenta los riesgos de seguridad.

Las soluciones IGA ayudan a dar dirección a entornos de TI complejos mediante visibilidad centralizada, conectores que vinculan sistemas dispares y Automatización de flujos de trabajo.

Muchas soluciones de gobernanza de identidades proporcionan paneles unificados y consolas de gestión que permiten una visibilidad y un control centralizados en diversos entornos.

Por ejemplo, las organizaciones utilizan con frecuencia herramientas IGA para ver todos los permisos de usuario en servicios en la nube, sistemas on premises y aplicaciones de terceros desde una única interfaz. Esto ayuda a garantizar que las organizaciones puedan mantener políticas de acceso coherentes independientemente de dónde se alojen las aplicaciones.

Las soluciones IGA incluyen conectores, interfaces predefinidas que vinculan aplicaciones y plataformas dentro de la pila tecnológica de una organización para ayudar a habilitar la gobernanza unificada de identidades. Los conectores ayudan a sincronizar los datos de los usuarios , convertir las políticas de acceso entre sistemas y mantener controles coherentes en aplicaciones previamente aisladas.

Por ejemplo, una empresa de servicios financieros puede utilizar conectores para integrar su sistema bancario central, su plataforma de gestión de relaciones con los clientes (CRM) y su base de datos de RR. HH. con una herramienta central de IGA. Esta integración facilita el ajuste de los derechos de acceso en todos los sistemas cuando cambia el rol de un empleado.

Las soluciones IGA utilizan la Automatización para optimizar los flujos de trabajo de administración de identidades, eliminar los procesos manuales que consumen mucho tiempo y reducir la cantidad de tickets de help desk que los equipos de TI deben presentar. Las herramientas IGA comúnmente soportan:

• Solicitudes de acceso de autoservicio, que permiten a los usuarios aplicar acceso a datos y sistemas confidenciales a través de portales intuitivos.
  
  
• Flujos de trabajo de aprovisionamiento automatizados, eliminando los procesos manuales para flujos de trabajo rutinarios, como la creación de cuentas, las asignaciones de permisos y los comentarios de acceso.
  
  
• Optimización de roles, sugiriendo mejoras en las definiciones de roles y los derechos de acceso predeterminados en función de cómo los usuarios emplean realmente sus licencias.

Sin una solución IGA, el personal de TI debe crear manualmente cuentas de usuario en múltiples sistemas al incorporar nuevos empleados. Las herramientas de IGA pueden agilizar este proceso mediante el aprovisionamiento automático de cuentas en todos los sistemas necesarios en tiempo real en función del rol del usuario.

Los ciberataques evolucionaron, y los actores de amenazas se dirigen cada vez más a las identidades en lugar de a la infraestructura de red. La seguridad tradicional basada en el perímetro ya no es suficiente cuando los usuarios pueden acceder a los recursos corporativos desde cualquier lugar y en cualquier dispositivo.

Según el IBM® X-Force Threat Intelligence Index, el abuso de cuentas válidas es una de las formas más comunes en que los hackers irrumpen en las redes empresariales, representando el 30 % de los ciberataques.

Las soluciones de IGA pueden ayudar a reducir la superficie de ataque y limitar los daños al aplicar el principio de privilegio mínimo. Es decir, los usuarios solo tienen el acceso necesario para realizar sus funciones laborales, ni más ni menos.

Las soluciones IGA también pueden ayudar a mejorar la postura de seguridad de una organización de otras maneras:

• Desaprovisionamiento automatizado y aplicación de políticas: eliminación inmediata del acceso cuando los usuarios abandonan la organización o infringen las políticas de seguridad.
  
  
• Comentarios regulares de acceso: identificar y revocar permisos excesivos, como descubrir que los desarrolladores aún tienen acceso administrativo a los sistemas de producción después de la finalización del proyecto.
  
  
• Implementación de confianza cero: admitir arquitecturas de confianza cero al garantizar que los usuarios solo tengan el acceso que necesitan para sus roles.
  
  
• Acceso a paneles de riesgo: visualizar posibles vulnerabilidades de seguridad para mejorar la toma de decisiones, como resaltar cuándo un usuario accede a datos financieros confidenciales fuera del horario comercial normal.

Para proteger aún más las cuentas privilegiadas de alto riesgo con derechos de acceso elevados, las organizaciones suelen integrar IGA con herramientas de gestión de acceso privilegiado (PAM), que se centran específicamente en proteger las cuentas privilegiadas, como las cuentas de administrador.

Algunas soluciones IGA también proporcionan capacidades de detección y corrección de amenazas en tiempo real para ayudar a prevenir violaciones de cumplimiento de normas y filtraciones de datos.

Los requisitos de cumplimiento como RGPD, HIPAA, SOX y otros mandatos imponen reglas sobre cómo las organizaciones manejan los datos. Las sanciones por incumplimiento pueden ser significativas. Por ejemplo, las infracciones del RGPD pueden dar lugar a multas de hasta 22 millones de dólares o el 4 % de los ingresos anuales globales, lo que sea mayor.

Las soluciones de IGA proporcionan controles y documentación que las organizaciones pueden utilizar para agilizar el cumplimiento:

• Aplicación automatizada de políticas: garantizar que los permisos y autorizaciones de acceso se alineen con los requisitos normativos.
  
  
• Pistas de auditoría integrales: registro de todas las actividades relacionadas con el acceso para obtener pruebas de cumplimiento para su uso en auditorías.
  
  
• Certificaciones de acceso regulares: revisión de los derechos de acceso de los usuarios para ayudar a garantizar que sigan configurados adecuadamente para el rol y las responsabilidades de cada usuario.
  
  
• Paneles de cumplimiento de normas: proporcionan visibilidad en tiempo real del estado de cumplimiento de normas de las cuentas de usuario.

Un proveedor de atención médica, por ejemplo, puede utilizar herramientas IGA para garantizar el cumplimiento de la HIPAA, restringiendo el acceso a los historiales de los pacientes en función de las responsabilidades laborales y manteniendo registros detallados de quién accede a ellos.

Las herramientas y prácticas de IGA se centran en gobernar las identidades digitales y los permisos de acceso a lo largo del ciclo de vida del usuario, desde la incorporación hasta la baja.

Los dos componentes principales de IGA incluyen la gestión del ciclo de vida de la identidad y la gobernanza del acceso.

La gestión del ciclo de vida de la identidad implica crear, modificar y desactivar identidades de usuario a medida que los empleados se unen, se mueven dentro y abandonan una organización. Puede garantizar que los nuevos usuarios reciban el acceso adecuado desde el primer día y que el acceso se elimine rápidamente durante la baja.

Si un empleado cambia de rol, las herramientas de IGA pueden revocar automáticamente los permisos obsoletos y asignar nuevos en función de sus responsabilidades actualizadas. 

Los procesos clave de gestión del ciclo de vida de la identidad incluyen:

• Incorporación: aprovisionamiento de cuentas de usuario y acceso inicial.
  
  
• Cambios de atributos: actualización de los derechos de acceso cuando cambian los atributos del usuario, como la autorización de seguridad, el departamento o la asignación del proyecto.
  
  
• Desconexión: dar de baja el acceso cuando los usuarios abandonan la organización.

La gobernanza del acceso monitorear quién tiene acceso a qué recursos y ayuda a garantizar que el acceso siga siendo apropiado a lo largo del tiempo. Proporciona la capa de supervisión para la gestión de identidad, centrándose en la aplicación de políticas, los comentarios de acceso y el cumplimiento.

Las funciones clave de gobernanza de acceso incluyen:

• Control de acceso basado en roles (RBAC)
• Aplicación de la separación de funciones (SoD)
• Acceder a la certificación y a los comentarios
• Gestión de derechos

El control de acceso basado en roles (RBAC) asigna permisos a los usuarios en función de los roles de la organización en lugar de asignar permisos individuales a cada usuario. Por ejemplo, un rol de finanzas podría autorizar a un usuario a realizar compras, mientras que un rol de recursos humanos podría autorizar a un usuario a ver archivos de personal.

Las capacidades de administración de roles en las soluciones IGA ayudan a las organizaciones a definir, administrar y mantener roles a lo largo del tiempo.

Con RBAC, las soluciones IGA pueden gestionar el acceso de miles de usuarios sin tener que asignar permisos individuales uno por uno. Cuando un empleado se une, transfiere departamentos o se va, los administradores pueden simplemente asignar o eliminar roles estandarizados en lugar de reconfigurar docenas de permisos del sistema por separado.

La separación de funciones (SoD), también llamada segregación de funciones, es un principio de seguridad que evita conflictos de intereses al garantizar que ninguna persona tenga privilegios de acceso excesivos.

Las soluciones de IGA ayudan a hacer cumplir la SoD al identificar y prevenir combinaciones de derechos que pueden conducir a fraude o uso indebido.

En un proceso de adquisición, por ejemplo, la misma persona no debería poder agregar un nuevo proveedor al sistema y aprobar los pagos a ese proveedor. Una solución IGA puede marcar este arreglo como una violación de SoD y bloquearlo por completo o requerir aprobaciones adicionales.

La certificación de acceso implica revisar periódicamente los derechos de acceso de los usuarios para garantizar que sigan siendo adecuados a lo largo del tiempo. Estos comentarios suelen implicar que los gerentes o propietarios de recursos confirmen que los miembros del equipo aún necesitan sus privilegios de acceso actuales.

Las soluciones de IGA pueden ayudar a agilizar las revisiones de acceso mediante la iniciación automática de revisiones periódicas. Los derechos de acceso de alto riesgo, como el acceso a los sistemas financieros, pueden revisarse con más frecuencia que los permisos de menor riesgo.

Algunas soluciones de IGA también pueden hacer recomendaciones para cambios de acceso basados en patrones de uso, como marcar permisos no utilizados que un usuario podría no necesitar.

La gestión de derechos es el componente más granular de la gobernanza de acceso y se centra en los permisos que los usuarios tienen dentro de los sistemas. Dicho de otra manera: la gobernanza de acceso supervisa a qué pueden acceder los usuarios, mientras que la gestión de derechos supervisa lo que los usuarios pueden hacer con ese acceso.

Por ejemplo, en un sistema de contabilidad, la administración de derechos se ocuparía de controles detallados como qué usuarios pueden ver los registros financieros, qué usuarios pueden editarlos y qué usuarios pueden eliminarlos.

Las capacidades adicionales de gestión de derechos incluyen:

• Catalogación de derechos: mantenimiento de un inventario de permisos de usuario.
  
  
• Evaluación del riesgo de acceso: evaluación del riesgo asociado con derechos específicos, como la capacidad de modificar los límites de crédito de los clientes.
  
  
• Controles basados en políticas: aplicación de políticas de seguridad durante las solicitudes de acceso para mantener los principios de privilegios mínimos, como exigir la aprobación del supervisor para acceder a datos financieros confidenciales.
  
  
• Análisis de acceso: proporciona insights sobre los patrones de acceso para ayudar a las organizaciones a abordar de forma proactiva los posibles riesgos de seguridad, como detectar cuándo los usuarios tienen permisos excesivos para sistemas críticos.

Los avances en inteligencia artificial (IA) están trayendo nuevos desafíos y nuevas oportunidades a IGA.

Los actores de amenazas están utilizando nuevas herramientas de IA generativa para apuntar a los flujos de trabajo y controles de IGA. Por ejemplo, mediante el uso de IA para generar deepfakes y mensajes de phishing convincentes, los atacantes pueden engañar a los usuarios legítimos para que entreguen sus credenciales. Los actores más sofisticados podrían incluso utilizar machine learning (ML) herramientas para analizar las estructuras de permisos e identificar oportunidades de evasión de políticas para eludir los controles de IGA.  

Al mismo tiempo, los proveedores están utilizando la IA para transformar sus soluciones IGA de puntos de control de cumplimiento estáticos en sistemas de gestión de riesgos adaptativos. Algunos ejemplos de cómo las soluciones IGA están utilizando la IA incluyen:

• Recomendaciones de acceso inteligente: uso de herramientas de aprendizaje automático (ML) para analizar los roles de los usuarios, las funciones laborales y los grupos de pares para sugerir automáticamente los derechos adecuados durante la incorporación y las transferencias, mejorando los procesos tradicionales de RBAC.
  
  
• Detección de anomalías impulsada por IA: establecimiento de patrones de comportamiento de usuario de referencia a través de algoritmos de IA para marcar automáticamente actividades sospechosas que los controles estándar de IGA podrían pasar por alto.
  
  
• Acceso mejorado por IA: evaluación y puntuación de los derechos en función del nivel de privilegio, el uso y el impacto de la SoD, de modo que los sistemas IGA puedan priorizar el acceso de alto riesgo para la revisión manual y automatizar las decisiones de bajo riesgo.