fbpx
InicioCiberseguridadIdentidad, la nueva obsesión

Identidad, la nueva obsesión

En este artículo, Tom Madsen nos habla de una correcta gestión de las identidades dentro de las organizaciones, ofreciendo recomendaciones y consejos útiles.

Tom Madsen
Tom Madsen tiene más de veinte años de experiencia en Ciberseguridad. Es el autor de «The Art of War for Cybersecurity» (Springer, 2019) y «Security Architecture – How and Why» (River Publishers, 2022). Actualmente está terminando su tercer libro sobre zero-trust. Cuenta con las certificaciones en Ciberseguridad (ISO 27001, ISACA e ISC2), además de Microsoft, Cisco y Oracle.

La identidad es un concepto que existe desde los albores de la informática. Sin embargo, su protección adquieren cada día más importancia. Históricamente, las identidades se almacenaban en entornos locales. Con la llegada de la nube y el teletrabajo, la identidad se convirtió en el único parámetro que las empresas y organizaciones pueden utilizar para ejercer su control sobre sistemas y accesos.

En los últimos diez años, la nube ha transformado la seguridad de las identidades en un problema relevante. Por otro lado, trabajar en remoto ha hecho que esta cuestión sea aún más crítica para el negocio. Los usuarios ya no se encuentran detrás de un cortafuegos con toda la supervisión que este proporciona, y tampoco están restringidos a los portátiles configurados por sus empresas, sino que pueden utilizar cualquier dispositivo al que tengan acceso. En estas circunstancias, la seguridad se transforma en un reto, dejando a las empresas únicamente el control de las identidades de los usuarios.

Gestión de identidades

Existen muchos acrónimos de tres letras relacionados con las identidades y, entre ellos, los siguientes:

  • Privileged Identity Management – PIM
  • Privileged Access Management – PAM
  • Identity Access Management – IAM

Integrada con el concepto de identidad, se encuentra la contraseña utilizada para protegerla. A pesar de su importancia para la seguridad de las identidades, las contraseñas son poco «atractivas» y una molestia, tanto que, en muchos casos, se le presta una escasa atención. En este momento de la historia de la ciberseguridad, las contraseñas siguen siendo una necesidad, incluso con el creciente interés por la biometría o el uso de sistemas sin password, tal y como promueve Microsoft.

Como profesionales de la ciberseguridad, que nos enfrentamos a nuevos retos, con usuarios distribuidos por todo el mundo utilizando una plétora de diferentes proveedores en la nube, junto al trabajo desde casa, tenemos un único parámetro que realmente podemos controlar: la identidad. De ahí el título de este artículo: «Identidad, la nueva obsesión». La nueva y cada vez mayor importancia de las identidades genera un mayor riesgo y, para muchas organizaciones, verdaderos quebraderos de cabeza relacionados con el cumplimiento de la normativa.

Protección de la identidad

En muchas organizaciones, durante varios años ha sido suficiente utilizar Active Directory de Microsoft, un sistema de almacenaje centralizado de identidades y de gestión de usuarios. Ahora, con el trabajo en remoto y la presencia de numerosos proveedores en la nube utilizando nuestro Active Directory para el almacén de autenticación de usuarios, ya no es viable ver este sistema sólo como «un almacén de usuarios». Las identidades y sus contraseñas están ahora vinculadas a proveedores en la nube como:

  • Microsoft Azure
  • Microsoft 365
  • Amazon Web Services
  • Oracle Cloud Infrastructure
  • Google Cloud

Estoy seguro que algunos de vosotros utiliza en su empresa proveedores de nube que no se encuentran en la lista anterior, y eso sólo subraya la importancia de la centralización del almacenaje de identidades. Hay organizaciones que no se han dado cuenta de que, con la nube y el trabajo en remoto, la protección de identidades es ahora un componente crítico de la infraestructura. Siempre ha sido importante, pero con el enorme crecimiento de la nube en las infraestructuras organizativas, esta importancia ha aumentado más allá del riesgo que la mayoría de las organizaciones están dispuestas a aceptar.

Existe esta única fuente de identidades, con una enorme importancia a través de muchos sistemas internos y nubes diferentes. ¿Se ha realizado una evaluación de riesgos exhaustiva de Active Directory? ¿O simplemente se ha ampliado para incluir entornos en la nube además de las responsabilidades tradicionales? ¿Se tiene en cuenta su creciente importancia para la seguridad general de la organización? Según mi experiencia, las respuestas a las preguntas anteriores son: no, sí, sí, por desgracia.

Con esta importancia cada vez mayor de la protección de las identidades, los profesionales de la ciberseguridad debemos ser capaces de asesorar a nuestros clientes sobre las evaluaciones de riesgos y los procedimientos para gestionar de forma segura la protección de las identidades.

Las identidades y las contraseñas asociadas a ellas son el núcleo de la seguridad general de una organización moderna que utiliza la nube en parte de su actividad. Todos sabemos que las contraseñas son tan buenas como su complejidad, de ahí el aumento del uso de la autenticación multifactor. En los últimos años, la atención se ha centrado en el despliegue de este tipo de autenticación para los usuarios con privilegios, como por ejemplo los administradores. Es una buena práctica, pero ha llegado el momento de extender la autenticación multifactor a los usuarios finales.

Cambiar el comportamiento de los usuarios es siempre una ardua lucha, pero son más relevantes las ventajas de utilizar la autenticación multifactor para todos los usuarios, especialmente ahora que las cuentas están distribuidas entre diferentes proveedores de nube y se trabaja en remoto utilizando dispositivos que ya no controlamos.

Recomendaciones

Después de la pandemia mundial y la consiguiente implementación del teletrabajo, la seguridad de las identidades es un factor fundamental que es necesario tener en cuenta. A continuación, os facilito mis recomendaciones:

  • Utilizar la autenticación multifactor para todo el mundo, no sólo para las cuentas con privilegios.
  • Realizar una evaluación de riesgos del almacén de identidades y mantenerla actualizada a medida que cambien las integraciones.
  • Realizar auditorías informáticas periódicas de la protección de identidades y de las integraciones entre el almacén y los socios externos, como los proveedores de la nube.
  • Proteger el almacén de identidades en su propia subred y controlar el tráfico permitido.
  • Realizar revisiones periódicas de las cuentas o grupos con privilegios; si son miembros, ¿deberían seguir siéndolo?
  • Automatizar la eliminación de usuarios cuando abandonan la organización.

Microsoft proporciona una buena guía sobre cómo proteger Active Directory, que en su mayoría puede extenderse a otros sistemas de almacenamiento de identidades.


Traducción al castellano del artículo original en inglés, publicado en Cybersecurity Magazine, cuya divulgación en Cuadernos de Seguridad ha sido autorizada por el autor.

Autores

Tom Madsen tiene más de veinte años de experiencia en Ciberseguridad. Es el autor de «The Art of War for Cybersecurity» (Springer, 2019) y «Security Architecture – How and Why» (River Publishers, 2022). Actualmente está terminando su tercer libro sobre zero-trust. Cuenta con las certificaciones en Ciberseguridad (ISO 27001, ISACA e ISC2), además de Microsoft, Cisco y Oracle.

artículos relacionados