Gestión de identidades y accesos en la realidad multinube y multidispositivo

El modelo de seguridad basado en el perímetro se ha quedado obsoleto. La digitalización extrema de los negocios y los usuarios, que ha crecido a un ritmo acelerado durante los últimos años, ha expandido fenómenos como el teletrabajo, la educación a distancia, el streaming de contenidos de entretenimiento, la banca moderna o las compras online. Ahora ya no hace falta desplazarse físicamente para realizar muchas actividades del día a día.

Esta transformación basada en la nube da paso a una combinación de aplicaciones de consumo y empresariales a las que los usuarios pueden acceder desde dispositivos personales o corporativos, lo que amplía la superficie de ataque y lleva a los departamentos de TI a replantearse el control del acceso para garantizar la seguridad de sus activos.

Para abordar la situación actual de la ciberseguridad en las organizaciones, NetMedia ha reunido de forma virtual a Guillaume Pillon, responsable de desarrollo de negocio de Wallix, y Felipe San Román, ingeniero de preventa de Okta. Ambos comparten sus conocimientos en el encuentro “Gestión de identidades y accesos en la realidad multinube y multidispositivo”, que muestra las ventajas del enfoque Zero Trust y el concepto de identidad como nuevo perímetro.

La infraestructura tecnológica es cada vez más compleja y los enfoques tradicionales no logran ofrecer una protección adecuada frente al malware. Temas como el impacto de la transformación digital, la proliferación del ransomware y las acciones contra recursos con privilegios excesivos, la responsabilidad compartida en los servicios cloud y SaaS o el potencial de los sistemas IAM de gestión de identidad y acceso deberían marcar las agendas de las compañías.

Nuevos tiempos

“Hoy en día la seguridad perimetral no es suficiente”, afirma Guillaume Pillon, responsable de desarrollo de negocio de Wallix. Las empresas se han digitalizado para seguir funcionando a raíz de la crisis sanitaria causada por el coronavirus y ahora nos encontramos ante redes corporativas hiperconectadas, donde diferenciar “entre zonas seguras y usuarios no confiables es más complicado”.

Los empleados actuales “necesitan poder conectarse desde cualquier lugar a cualquier hora”, apunta Pillon. Muchas organizaciones se han transformado “sobre la marcha”, dando como resultado infraestructuras que dejan “de lado la ciberseguridad”. Una consecuencia es el “récord de ataque en las organizaciones en el 2020 y 2021”, apunta el directivo. Queda claro que, además de adaptar su infraestructura, deben trabajar en su seguridad, ya que “no podemos gestionar la seguridad de una infraestructura como lo hacíamos hace cinco o diez años”.

Felipe San Román, ingeniero de preventa de Okta, coincide en que “casi todas las organizaciones han experimentado ya una brecha de seguridad o bien la sufrirán pronto”. Algunas incluso han sido víctimas “y no se han enterado”. Esto es así porque emplean soluciones como cortafuegos, antivirus, sistemas SIEM y MDM o técnicas de sandboxing, “que sirven para proteger la infraestructura” sin ocuparse de “la gestión de los accesos y la gestión de las identidades”.

“La gestión de las identidades y de accesos es un componente crítico”, señala San Román, “es un pilar central para mantener la seguridad”. Existe una lucha por “crear un equilibrio entre la protección y la usabilidad. Los usuarios necesitan un acceso adecuado y seguro a los sistemas de su información, mientras que la organización necesita implementar y mantener los controles de seguridad adecuados para evitar que los atacantes también obtengan ese tipo de acceso”, explica este experto. Lo ideal es que “sólo aquellos usuarios autorizados tengan acceso a los datos sensibles de la empresa”.

Aquí entra en juego el Zero Trust. Esta política de seguridad implica “no asumir la confianza incluso en las zonas de confianza”, tal y como apunta Guillaume Pillon. Es decir, desconfiar de todos los usuarios para “reducir al máximo el riesgo”. La nueva filosofía debe “asegurar la identidad” y “también el acceso para que los usuarios accedan a lo que necesitan para hacer sus tareas, y únicamente a lo que necesitan” durante un periodo de tiempo acotado.

Esto permitirá luchar contra amenazas tan temidas como el ransomware, capaz de cifrar ficheros, desactivar sistemas de seguridad, robar datos e incluso elevar sus privilegios para hacer movimientos laterales. Para evitar males mayores, los usuarios deberían “tener acceso a los recursos que necesitan en el momento exacto que lo necesitan para trabajar”.

A la hora de protegerse, lo primero es “verificar la identidad de cualquier persona que intenta acceder a los recursos de la empresa” y comprobar que es “quien dice ser”. Esto se consigue con un segundo factor de autenticación que va más allá de las típicas contraseñas y es “algo que tiene” el usuario, como un dispositivo físico, o “algo que lo representa”, como su huella dactilar o el rostro. “Una vez que hemos comprobado la identidad del usuario también tenemos que controlar el acceso”, continúa Pillon. El hecho de que sepamos “quién se está conectando” no significa que “le podamos dar acceso a toda nuestra infraestructura”.

“El multifactor es el método más eficaz para evitar la toma de posesión de cuentas”, opina San Román, y “la biometría es el elemento de autenticación más seguro”. La idea que subyace detrás de todo esto es que “la identidad es el nuevo perímetro”. Así de claro lo tiene este especialista. “Para satisfacer las demandas de acceso y también la usabilidad de los usuarios, y para evitar convertirnos en la próxima víctima de una fuga de datos, las organizaciones estamos avanzando hacia una postura de seguridad mucho más sólida y completa, centrada sobre todo en el principio de la confianza cero” y la frase de “nunca confíes, siempre verifica”.

“Esto quiere decir que las empresas evalúan continuamente los privilegios de acceso evitando añadir la fricción para los usuarios”, detalla San Román, que reconoce que esto lleva su tiempo. “El mejor punto de partida para este viaje es cultivar una mentalidad centrada en la identidad que proteja a los distintos tipos de usuarios independientemente de su ubicación” o del “dispositivo desde el que accede” cada uno para acabar garantizando que “personas adecuadas tengan un nivel de acceso correcto a los recursos correctos y en el contexto adecuado, y que el acceso se evalúa de forma continua”.

Algo que identifica a esta evolución en la forma de protegerse es la gestión de accesos privilegiados o PAM, para “autorizar y supervisar a los usuarios con privilegios para todos los sistemas relevantes de la organización”, incluyendo aplicaciones internas y de terceros. “Los usuarios privilegiados son el principal objetivo de ataque para los atacantes”, comenta el ingeniero de Okta, “porque son los que tienen mayores niveles de autoridad. Por eso es fundamental que exista una solución integral para la gestión de identidades y accesos que pueda proteger esas cuentas”, que “acceden a los servicios de administración de backend”.

“El 80 % de brechas de seguridad vienen de cuentas privilegiadas”, determina Guillaume Pillon. “Una cuenta de administrador es oro puro para un atacante”, que buscará “elevar sus privilegios para poder dañar toda la infraestructura. Su objetivo es “tener todos los poderes, comprometer el directorio activo, acceder a la infraestructura crítica y, al final, comprometer todas las actividades de las empresas. Por eso esas cuentas son tan sensibles”.

Y por eso “PAM debe ser un elemento central en una estrategia Zero Trust”, como tecnología que permite, “con una inversión mínima, proteger los recursos más importantes”, “analizar en tiempo real las acciones” de los usuarios y “reducir al máximo el riesgo”, enumera como ventajas el portavoz de Wallix. Ahora son importantes factores como el onboarding digital, la trazabilidad de los accesos y el análisis del comportamiento.

Nuevas soluciones

La seguridad basada en la identidad no es una solución diseñada para un único tipo de negocio. Está despertando el interés de organizaciones en “todo tipo de regiones” y “todo tipo de sectores”, según Felipe San Román. Es el caso de “grandes cadenas de hoteles” o “empresas de infraestructuras” que se han tenido que adaptar a las consecuencias de la pandemia. También “hay ejemplos en sanidad, en seguros, en medios de comunicación” y otro tipo de entornos,

“La importancia de tener este tipo de enfoque se hace sentir ya en casi todo tipo de empresa”, concuerda Guillaume Pillon. Muchas empresas industriales se habían quedado rezagadas en términos de seguridad y la convergencia entre la parte de TI y de operaciones les ha hecho despertar. La necesidad de cambio se nota en “clientes de todos los sectores”.

Felipe San Román considera que las “amenazas de seguridad se van a intensificar, con lo cual ninguna empresa puede permitirse el lujo de quedarse atrás” y no implementar el Zero Trust. La recomendación para todas ellas es “adoptar una autenticación fuerte en todos los servicios”, que cubra “todo tipo de dispositivos” y pase por “todo tipo de perfiles: empleados, clientes, socios, contratistas, proveedores…”.

Además, San Román aconseja “centralizar el control de la identidad en un producto único” para simplificar la gestión del riesgo y establecer “políticas que protejan el acceso a las aplicaciones basándonos en patrones comunes”. Otras pautas serían revisar la curva de madurez del producto para la gestión de identidades y accesos, integrar herramientas e ir hacia la autenticación sin contraseña, con “políticas de acceso basadas en el contexto”.

Para Guillaume Pillon, “muchas empresas creen en soluciones mágicas, pero, aún con la mejor solución del mundo, el riesgo cero no existe”. La clave radica en “aplicar una estrategia global” de seguridad en vez de limitarse a la solución adquirida. Igual de importante es “enfocarse en la educación y la sensibilización con los usuarios”, que son el eslabón débil.

“Muchas empresas empiezan a hacer algo cuando son víctimas de ataques”, afea Pillon. Y es que, “una vez que el daño está hecho, resulta más costoso todavía” poner remedio al robo de datos y la pérdida de reputación. El gasto en seguridad “hay que verlo como una inversión más que como un coste” y aplicarlo “lo antes posible, porque los atacantes van evolucionando” cada vez más rápido. “Una estrategia de Zero Trust con una gestión de la identidad y del acceso es casi obligatoria hoy en día para protegerse contra esos ataques”, concluye.