Durante los últimos ocho años, he tenido el singular reto de desarrollar y desarrollar un programa de Gestión de Identidad y Acceso (IAM) desde cero para una gran multinacional minorista con un entorno híbrido extremadamente complejo. El primer día, solo éramos yo, una computadora portátil y un sinfín de desafíos. La escala era asombrosa: miles de aplicaciones empresariales, decenas de miles de servidores, casi medio millón de empleados en todo el mundo y una vasta... superficie de ataque Para proteger con recursos limitados. A pesar de nuestros mejores esfuerzos, descubrimos constantemente nuevos riesgos de seguridad, lo que subraya la naturaleza dinámica de nuestra seguridad de identidad.
Construyendo una base sólida de IAM
La libertad de una fuerte regulación nos permitió a mí y a mi equipo diseñar un AMI Un programa adaptado a nuestras necesidades de seguridad únicas. Nos propusimos sentar las bases de un programa de IAM exitoso: una gestión de acceso sólida y altamente automatizada para millones de cuentas y sus privilegios de acceso, basada en un inventario completo de identidades. Implementamos un inicio de sesión único (SSO) protegido con autenticación de múltiples factores (MFA) para cientos de aplicaciones y tecnología desarrollada para el restablecimiento seguro de contraseñas profundamente ligada a los procesos de RRHH.
A pesar de estos esfuerzos, nunca nos sentimos del todo cómodos. Parecía que tras cada puerta que abríamos, encontrábamos nuevos riesgos. La seguridad de la identidad parecía un ciclo interminable de cubrir huecos mientras aparecían otros nuevos. Dada la complejidad de los entornos informáticos modernos, incluso la cuenta aparentemente más inocente podía convertirse en una puerta de entrada para los atacantes.
A través de esta experiencia, desarrollé un principio rector: La seguridad es un juego de espacio y tiempo. El objetivo no es implementar la seguridad gradualmente, sino realizar inversiones estratégicas en soluciones que mitiguen múltiples riesgos a la vez, permitiendo a los equipos de seguridad mantenerse a la vanguardia de las amenazas sin quedar atrapados en la complejidad.
Creando espacio y tiempo
Las mejoras de seguridad tradicionales suelen implicar pequeños pasos que requieren una cantidad considerable de tiempo y recursos, y que solo abordan una pequeña parte del problema; por ejemplo, el uso de SSO o la implementación de la Gobernanza y Administración de Identidad (IGA) para aplicaciones empresariales. Ninguna iniciativa por sí sola puede reducir el riesgo de identidad a un nivel aceptable. En todos los casos, se aplican de forma gradual sin obtener un beneficio mayor, y todas requieren una gran cantidad de tiempo y recursos para su implementación.
Mi reto era encontrar las inversiones adecuadas para evitar que mi equipo tuviera que realizar tareas complejas, altamente técnicas e incrementales a plena vista, con niveles inaceptables de riesgo de identidad. Necesitábamos cambiar el enfoque de casos de uso individuales y soluciones incrementales a inversiones que resolvieran problemas específicos, ofreciendo a la vez un amplio alcance de protección y escalabilidad; en otras palabras, inversiones que liberaran espacio y tiempo para nuestros equipos.
La pregunta es: ¿Cómo podemos proteger la identidad rápidamente sin perdernos en la complejidad?
Para responder a esto, creo que es necesario tomar una enfoque de tres partes para lograr una protección completa de la seguridad de la identidad en toda su organización.
Un juego de techos y suelos: Elevando la base de la seguridad
Como ávido aficionado a los deportes, suelo establecer paralelismos entre la seguridad de la identidad y los deportes de equipo. En el deporte, el éxito de un equipo rara vez se determina por sus mejores jugadores; más bien, depende del rendimiento de su eslabón más débil. El "techo" de un jugador representa su máximo potencial de rendimiento, mientras que el "piso" es su peor nivel de rendimiento.
La seguridad de la identidad sigue el mismo principio: las organizaciones deben primero elevar su nivel mínimo de seguridad antes de intentar alcanzar su máximo. Por lo tanto, en lugar de centrarse únicamente en protecciones de alto nivel para sistemas seleccionados, la prioridad debería ser construir una seguridad integral que aborde los vectores de ataque y los riesgos de seguridad comunes.
En la práctica, esto significa implementar controles de seguridad sólidos y garantizar que todos sigan las mejores prácticas de IAM actualizadas. cuentas de usuario y recursos dentro de la organización. Al establecer esta línea base, las organizaciones crean una base resiliente que mitiga las amenazas más significativas y reduce el riesgo general.
Solo después de establecer esta base de protección, los líderes de seguridad pueden centrarse en ampliarla con protecciones más avanzadas. Como resultado, las inversiones en seguridad de alto apalancamiento que abordan múltiples riesgos simultáneamente pueden generar un efecto multiplicador en el retorno de la inversión (ROI).
Al priorizar una seguridad integral y fundamental y aprovechar las inversiones que ofrecen múltiples beneficios, las organizaciones pueden crear una estrategia de seguridad integral y escalable. Este enfoque garantiza que ninguna cuenta, por insignificante que sea, quede vulnerable a ataques y que toda la organización esté mejor protegida contra las amenazas en constante evolución.
Cómo usar el apalancamiento a su favor
No todas las inversiones en seguridad ofrecen el mismo valor. Algunos controles resuelven problemas aislados, mientras que otros generan apalancamiento al mitigar riesgos adyacentes. Las inversiones con alto apalancamiento ofrecen una rentabilidad multiplicada, lo que reduce la urgencia de resolver los riesgos relacionados.
En mi experiencia, proteger toda la autenticación del servidor con MFA o restricciones de uso (por ejemplo, limitar cuentas de servicio Según el origen y el destino) mitiga una serie de riesgos relacionados con las contraseñas y la gestión del acceso. Contraseñas de mala calidad, incertidumbre sobre dónde se almacenan o anotan, falta de rotación para identidades no humanasy las preocupaciones sobre cuentas con privilegios excesivos: todos estos serán problemas menos urgentes de resolver si cuenta con la protección de autenticación adecuada.
Por otro lado, evitar que las contraseñas se almacenen de forma insegura es un problema complejo y progresivo que no se puede resolver con apalancamiento. Una contraseña puede encontrarse en un archivo de una computadora, en una cuenta de almacenamiento en la nube, en un recurso compartido de archivos, etc. Resolver este problema por sí solo requiere un esfuerzo considerable y no mitiga otros riesgos igualmente apremiantes. Incluso si una contraseña se almacena de forma segura, sigue estando en riesgo si es de baja calidad.
Encontrar inversiones con apalancamiento reduce la urgencia de los riesgos técnicos que mitigan; compran espacio y tiempo para que su equipo construya su techo de seguridad.
Asuntos de protección amplios
Hay una historia muy conocida de un ejercicio del equipo rojo que ilustra un punto crucial: para acceder a un centro de datos de alta seguridad, un hacker ético encontró una puerta robusta con control de acceso. En lugar de intentar sortearla, atravesó la pared de yeso adyacente.
Esta historia me hizo pensar en cómo los atacantes son como el agua: siempre encontrarán el nivel más bajo. El adversario simplemente se centrará en las oportunidades más fáciles si una organización limita sus esfuerzos de seguridad a un número limitado de sistemas o cuentas. La mayoría de los ciberataques tienen motivaciones económicas y oportunistas; no son personales.
Considerando la complejidad y la interconexión de nuestros sistemas actuales, no podemos asumir que cualquier cuenta, por muy inocente que parezca, sea segura o tenga poca prioridad para su protección. La clave de la escalabilidad reside en evaluar las inversiones según su facilidad de escalado.
Las plataformas que permiten un plano de control fácilmente gestionable son más escalables que los controles incrementales y descentralizados. Los controles de seguridad sólidos que no se pueden implementar a gran escala crean una base débil. Para lograr la escalabilidad, se requiere un enfoque integral que cubra estas brechas de forma eficiente.
Un enfoque equilibrado para la seguridad de la identidad
Los líderes de seguridad de identidad desempeñan funciones complejas y exigentes. Establecer un umbral de seguridad amplio y priorizar las inversiones que permitan ganar espacio y tiempo a su equipo puede ser de gran ayuda. Equilibrar esta forma de pensar con los requisitos de cumplimiento normativo, que por su propia naturaleza fomentan la creación selectiva de umbrales de seguridad altos, contribuirá aún más a la protección de su entorno. De hecho, creo que este equilibrio es la clave. único método eficaz para reducir el riesgo en los entornos actuales.
Es importante priorizar las inversiones que ofrecen apalancamiento, amplia cobertura y control centralizado para reducir el riesgo a gran escala. Tener presentes estos principios permitirá a las organizaciones proteger la identidad de forma eficiente y anticiparse a las amenazas en constante evolución sin verse inmersas en la complejidad.
Para los líderes de seguridad, el desafío es claro: construir una base sólida, invertir en soluciones de seguridad escalables y garantizar que sus esfuerzos de seguridad ganen el tiempo y el espacio necesarios para mantenerse a la vanguardia del panorama de amenazas a la identidad.
