Mucho se ha dicho sobre la necesidad de adoptar un enfoque Zero Trust cuando se protege la huella digital. Para el profesional experimentado en ciberseguridad, el enfoque Zero Trust no es un concepto nuevo, pero probablemente las tecnologías habilitadoras de la seguridad estén tomando forma. La velocidad con la que ocurren los incidentes de seguridad, y el ritmo de la transformación digital han creado la oportunidad de comenzar a habilitar esta visión largamente anhelada de enfoque confianza cero para la seguridad.
Gobernanza de identidad
Durante más de 10 años, el mercado tradicional de gestión de la identidad y el acceso, centrado en ciclo de vida, aprovisionamiento, certificación para el acceso y autoservicio por parte del usuario, ha evolucionado hasta convertirse en lo que conocemos hoy como gobierno y gestión de identidad (identity governance and administration, IGA). Las organizaciones han invertido significativamente en este rubro para modernizar los enfoques de IGA, reducir el riesgo de acceso, cumplir con las regulaciones e intentar proporcionar el acceso correcto a las personas adecuadas en el momento justo. Si bien esto puede verse como una premisa básica y apuesta elemental para cualquier programa de seguridad moderno, sigue habiendo una ola de transformación y mejora en la materia, así como varios rezagados, lentos para adoptar este elemento básico de protección de la ciberseguridad. El gobierno de la identidad y, más específicamente, un conjunto sólido de procesos comerciales y metodología de datos para establecer la identidad digital en los empleados, es fundamental para la implementación de un enfoque de confianza cero en la seguridad.
Los siguientes tres elementos críticos de gobierno de identidad deben modernizarse y abordarse como parte de una iniciativa de Zero Trust:
1. Ciclo de vida para todos y para todo
Las organizaciones deben centrarse en establecer procesos bien definidos y atributos mínimos para la identidad digital. Además, esta definición y los procesos en torno a la incorporación, los movimientos y la salida deben incluir a la totalidad de la fuerza laboral: empleados, contratistas, proveedores, bots y cuentas de servicio. Zero Trust se basa en la suposición de que se sabe "quién" es alguien, a fin de poder evaluar la política y permitir, denegar o adaptar su acceso en tiempo real. En pocas palabras, para lograr una mentalidad de confianza cero, resulta fundamental contar con un modelo de datos de identidad bien definido, así como procesos de apoyo para administrar los atributos de la identidad.
2. Hacerlo “correctamente” es crítico
Muchas organizaciones aspiran a implementar un modelo de privilegio mínimo con respecto al acceso. Decir que esto ha sido difícil en todas las aplicaciones, la infraestructura, los proveedores de la nube, entre otros, sería quedarse cortos. Los modelos de acceso discrecional creados en torno a la asignación de derechos y roles y la recertificación deben evolucionar. Se tiene que aprovechar la inteligencia para lograr un modelo de acceso eficaz mediante la realización de revisiones por pares, análisis de valores atípicos y eliminando el acceso excesivo o no utilizado de las cuentas. Hoy es el momento de adoptar el uso de la inteligencia artificial para modernizar el enfoque de IGA.
3. Del IGA estático al dinámico
Como se indicó anteriormente, los enfoques heredados de IGA han pasado por alto lo que sucede entre alta, moverse, baja y volver a certificar el acceso. Esta realidad, desencadenada por un punto en el tiempo o un proceso también debe evolucionar de manera que estemos revisando el acceso en función de las señales de riesgo o cambio. Necesitamos imaginar y avanzar hacia una nueva realidad en la que los cambios en los privilegios o los eventos de seguridad, que requieren una modificación en el acceso, se organizan mediante la automatización en tiempo real o se remiten al personal de incidentes de seguridad para su solución. Debemos hacer esto para acortar el tiempo entre el momento en que se asigna el acceso, se usa y cuándo debe modificarse en función de las señales de riesgo o cambio. El programa IGA moderno debe tener una integración mucho más estrecha con el personal de operaciones de seguridad, los procesos y las señales a fin de hacerlo correctamente.
Un efectivo gobierno de identidad, que incluye todos los tipos de identidad, es un primer paso crítico hacia Zero Trust. Lo que durante mucho tiempo se ha visto como una mera actividad de operaciones y cumplimiento, ahora es la base para establecer una capacidad de seguridad eficaz centrada en la identidad, y mejorar la experiencia del usuario. Por último, las organizaciones que cuentan que han implementado lo básico deben continuar mejorando y modernizando sus enfoques para el gobierno de la identidad.
Comuníquese con nosotros para obtener más información y analizar cómo podemos ayudarle en su enfoque de confianza cero en materia de ciberseguridad.
La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha en que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas con base en dicha información sin la debida asesoría profesional después de un estudio detallado de la situación en particular.
© 2024 Copyright owned by one or more of the KPMG International entities. KPMG International entities provide no services to clients. All rights reserved.
KPMG refers to the global organization or to one or more of the member firms of KPMG International Limited (“KPMG International”), each of which is a separate legal entity. KPMG International Limited is a private English company limited by guarantee and does not provide services to clients. For more detail about our structure please visit https://kpmg.com/governance.
Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.