Aunque las redes, los sistemas y la seguridad cibernética han avanzado a pasos agigantados, las teorías fundamentales del control de acceso y la reciente incorporación de la identidad (IAM) en realidad no han avanzado desde los años 60 y 70. Cosas como el control de acceso obligatorio, discrecional y basado en roles todavía se encuentran en el corazón de las tecnologías modernas como Active Directory y OpenID. De alguna manera, el uso de estos servicios todavía sigue una forma de pensar antigua, una lista que permite o deniega el acceso a un sistema o servicio. Si bien se ha demostrado que estos modelos funcionan muy bien, es posible que debamos pensar de manera más radical para las tecnologías futuras. Esto es especialmente cierto cuando pensamos en la evolución de la Web 2.0 a la Web 3.0 y más allá.
El control de acceso obligatorio, discrecional y basado en roles se reduce a: una vez que un usuario se autentica en un servicio, ¿cómo sabe que tiene permitido hacer las cosas que se supone que debe hacer? Los cimientos sobre quién decide quién tiene acceso a qué deben ser completamente sólidos para que la administración de acceso funcione de manera efectiva en la nube, especialmente porque las cosas pueden salir mal rápidamente y las habilidades de ingeniería en la nube aún no están muy extendidas.
Aunque no parezca glamoroso, una de mis tendencias favoritas de seguridad cibernética ahora es volver a lo básico. Deja de enamorarte de la brillante tecnología bala de plata. Para IAM, y especialmente para la nube, todo se reduce a algunas áreas simples: ¿cómo puede mantener el ciclo de vida de una identidad, está utilizando servicios de identidad integrados o de terceros, y está implementando estándares de la industria? Al obtener los conceptos básicos correctos, se está preparando para el éxito y luego puede construir funcionalidades más avanzadas y complejas en la parte superior.
Conociendo a tu gente
El aumento de privilegios ha sido un problema perenne y solo está aumentando, especialmente en la nube, donde es fácil dar a los usuarios cuentas muy privilegiadas con solo hacer clic en un botón. Creep es la acumulación gradual de privilegios de acceso otorgados a un usuario más allá de sus necesidades reales: imagine personas que han estado en una organización durante más de 10 años, que han usado muchos sombreros y se han movido por el negocio. Las empresas deben asegurarse de que las personas solo tengan el acceso que necesitan, y dejar esto sin verificar puede aumentar el riesgo de uso indebido de privilegios o violaciones accidentales de datos.
Para abordar esto, es importante implementar un marco de control de acceso sólido que monitoree y revise continuamente los derechos de acceso de los usuarios. Si bien el proceso puede ser bastante manual, es necesario. Sin embargo, la creación de plantillas de derechos de acceso y la verificación de estos con los roles de trabajo no siempre es la parte más difícil.
Cuando alguien te quita algo, como los derechos de acceso, es fácil sentirse bastante triste o incluso a la defensiva. Tiene el potencial de dañar las relaciones ya que los empleados pueden sentir que no se les confía. Si no tenemos cuidado, puede parecer que el equipo de seguridad está moviendo los postes de la portería para los empleados que han estado trabajando de la misma manera durante mucho tiempo y sienten que no han hecho nada malo, y no es así.
Pasar a una nueva forma (o incluso revisar formas antiguas) de pensar sobre la gestión de acceso requiere una cuidadosa consideración, planificación y comunicación. La seguridad no solo opera en una isla: asegúrese de colaborar y apoyarse en otros en su negocio para lograr esto, como su equipo de comunicaciones. Es crucial ser claro y transparente con todos y explicar que usted confía en sus empleados, pero no en los actores de amenazas que están tratando de encontrar una forma de ingresar al negocio. Si no trae a su gente con usted, entonces estos proyectos no serán efectivos y fracasarán.
Aprovechando los servicios incorporados
Los proveedores de la nube, como AWS, Microsoft Azure y Google, tienen su forma integrada de proporcionar servicios de identidad. Estos proporcionan una forma centralizada de administrar los controles de acceso, pero es increíblemente complicado y detallado. Si bien los servicios de identidad incorporados de los principales proveedores de la nube se integran bien con sus propios servicios, integrarlos con aplicaciones y servicios de terceros puede ser complejo. Y personalizarlos para satisfacer las necesidades específicas del negocio puede ser un desafío, especialmente si necesita implementar protocolos o políticas de autenticación personalizados. Pero hay muchos aspectos positivos, como el cumplimiento, la gestión centralizada de las identidades federadas y las funciones de seguridad mejoradas.
Como la interoperabilidad y la personalización son una dificultad aquí, será necesario tener las habilidades adecuadas internamente para configurar y mantener estos servicios de identidad si desea estar al tanto de sus identidades en la nube. Pero no debe ignorarse poder apoyarse en la escalabilidad y el ahorro de costos de los servicios de IAM integrados.
Estándares unificadores
Es importante tener estándares claros que todos sigan, lo cual es uno de los beneficios de los servicios de identidad integrados con proveedores de la nube. Pero aparte de esto, recomendaría mantenerse al tanto de lo que sale de la industria. FIDO Alliance está desarrollando estándares de autenticación basados en criptografía de clave pública para una autenticación más segura que las contraseñas o las OTP. FIDO2, en particular, permite a los usuarios autenticarse fácilmente en servicios en línea utilizando dispositivos comunes en diferentes entornos. El lenguaje de marcado de aserción de seguridad (SAML) es más antiguo pero más común para probar: un estándar abierto que permite a los proveedores de identidad pasar credenciales a los proveedores de servicios.
¿Qué depara el futuro?
Durante mucho tiempo se ha hablado de la confianza cero y comenzó como una iniciativa conocida como desperimetrización del Foro de Jericho, pero la adopción de este enfoque tiene el potencial de revolucionar la gestión de acceso en la nube y cambiar por completo el modelo IAM. Asume que todo y todos son una amenaza potencial hasta que se demuestre lo contrario, y otorga acceso caso por caso a los recursos y datos que el empleado necesita en ese momento. Mediante el uso de una combinación de tecnologías como la autenticación multifactor, el cifrado y los controles de acceso, puede garantizar que solo los usuarios y dispositivos autorizados tengan acceso a recursos confidenciales.
Los beneficios de la computación en la nube son innegables, pero solo se pueden realizar por completo si priorizamos la gestión del acceso a la identidad y lo hacemos bien. La implementación adecuada en la nube puede ayudar a mantener la seguridad de los datos, minimizar el riesgo de amenazas cibernéticas y cumplir con los requisitos reglamentarios. Y al comenzar con lo básico, aprovechar al máximo los servicios de identidad a nuestro alcance y mantenerse al día con los estándares más recientes, los equipos de seguridad pueden prepararse para el éxito.