Cuando las defensas perimetrales caen, el enfoque 'identidad primero’ entra en el juego

Según casi todos los indicios, los responsables de seguridad están abandonando cada vez más las defensas perimetrales, como el firewall, en favor de un enfoque zero trust. Esto, a su vez, ha puesto en primer plano la necesidad de contar con programas de identidad sólidos y, más concretamente, ha impulsado la estrategia de "la identidad primero".

Los estudios lo confirman. Tomemos, por ejemplo, las cifras del informe 2023 State of Zero Trust Security. Este informe, del fabricante de software de seguridad Okta, descubrió que el 61% de los más de 800 responsables de la toma de decisiones de TI y seguridad encuestados afirmaron que sus organizaciones ya cuentan con una iniciativa definida de zero trust, y otro 35% planea ponerla en marcha en breve.

Además, el informe reveló que las organizaciones han aumentado su trabajo en torno a los controles de identidad como parte de esa adopción casi universal del zero trust, señalando que el 51% de los encuestados considera la identidad como "extremadamente importante", frente al 27% que dijo lo mismo en 2022. Además, el informe de 2023 encontró que un 40% adicional de los líderes encuestados calificó la identidad de "algo importante".

Los autores del informe declararon: "En un mundo en el que los perímetros de red tradicionales prácticamente han desaparecido, la identidad ha surgido como el nuevo perímetro, el lugar donde tiene que empezar la defensa".

Implementar estrategias de 'identidad primero' puede ser un desafío

A pesar del gran valor que casi todas las organizaciones dicen conceder a la identidad, los responsables de seguridad también admiten que les cuesta implantar la estrategia de 'la identidad primero', que se ha convertido en el elemento central para crear con éxito un programa de seguridad zero trust.

Otro informe, State of Identity Security, publicado en septiembre de 2023 por el fabricante de software de seguridad Silverfort, cuantificaba algunos de los problemas. Según este informe, el 65% no ha implantado la autenticación multifactor de forma suficientemente exhaustiva para proporcionar una protección sólida; el 94% no tiene una visibilidad completa de sus identidades no humanas; y el 78% afirma que no puede evitar el uso indebido de las cuentas de servicio en tiempo real debido a la escasa visibilidad y a la incapacidad de aplicar la protección MFA o de gestión de acceso privilegiado (PAM).

Además, el informe reveló que sólo el 20% afirmaba estar muy seguro de poder prevenir las amenazas a la identidad. Sin embargo, la necesidad de mejora en torno a la identidad era evidente, ya que el 83% de las organizaciones encuestadas afirmaron haber sufrido una brecha relacionada con la identidad que implicaba el uso de credenciales comprometidas.

Los consultores e investigadores de seguridad afirman que están observando una dinámica similar entre los CISO y sus programas de seguridad, ya que muchos jefes de seguridad creen que una función de identidad sólida es fundamental para el éxito de un programa de zero trust, pero se quedan cortos en sus esfuerzos por poner en marcha un enfoque que dé prioridad a la identidad y, de este modo, reforzar sus esfuerzos generales de seguridad.

"Si no se cuenta con un buen programa de identidad, esto repercutirá en el resto de los ámbitos de seguridad y en la postura de la empresa", afirma Rajesh Radhakrishnan, director general de la empresa de servicios profesionales Deloitte.

¿Qué es la seguridad basada en la identidad?

Una estrategia 'identidad primero' consiste en conocer la identidad de todos los humanos y no humanos que acceden a los puntos de la empresa. En otras palabras, la estrategia exige que la organización conozca a cada empleado, contratista y socio comercial, así como a cada punto final, servidor o aplicación que pretenda conectarse. A menudo también se denomina seguridad centrada en la identidad.

Es fundamental para implantar el zero trust, porque éste modelo dice que no hay que confiar en ninguna entidad hasta que esa entidad -sea humana o máquina- pueda autenticar que es quien dice ser y pueda verificar que ha sido autorizada para acceder a la red, aplicación, API, servidor, etc. a los que pretende acceder.

Everest Group, una empresa de investigación y asesoramiento, estima que el 65% de sus clientes optan por un enfoque de implantación de zero trust basado en la identidad (frente al 35% que opta por el enfoque de red superpuesta).

La identidad se está convirtiendo en la primera línea de defensa

"La identidad se está convirtiendo en el perímetro por defecto; se está convirtiendo en la primera línea de defensa", afirma Kumar Avijit, director de prácticas del equipo de Servicios de Tecnología de la Información de Everest Group.

Como explica Avijit, no hay una única solución que ofrezca una estrategia de identidad ante todo. Más bien requiere una síntesis de políticas, prácticas y tecnología, como casi todo en ciberseguridad. Estos elementos deben unirse para lograr tres objetivos clave, dice Henrique Teixeria, analista director senior de Gartner, una empresa de investigación y asesoramiento.

Deben trabajar para aportar coherencia, es decir, aplicar decisiones basadas en la identidad a todo tipo de activos, como redes, aplicaciones y servidores. También deben ser conscientes del contexto, de modo que las políticas y los controles no sean "estáticos y basados en direcciones IP, sino que se basen en el perfil de riesgo de una identidad y ese perfil de riesgo se ajuste dinámicamente en función del contexto", como la ubicación de la identidad, el dispositivo utilizado y la hora del acceso solicitado.

Una desviación del contexto previsto en cualquiera de esos ámbitos puede dar lugar a niveles adicionales de verificación antes de conceder el acceso, siendo la capacidad de detectar una desviación y solicitar una verificación adicional un elemento significativo de la creación de la conciencia del contexto.

Además, este planteamiento requiere que la coherencia y el contexto se ofrezcan de forma continua, y no sólo, por ejemplo, en el momento de iniciar sesión. Teixeria afirma que las tres C -coherencia, contexto y continuidad- deben funcionar de forma concertada, y deben hacerlo en todo el entorno informático.

La identidad se ha convertido en un concepto interconectado

Como explica: "En el pasado, la identidad era un silo, un concepto de red. Ahora está interconectada. Ya no es una disciplina aislada. Se trata de aplicar esta coherencia de identidad en todas partes. Ahora la identidad está integrada".

Múltiples tecnologías permiten y apoyan esto. Una de ellas es la solución de gestión de identidades y accesos (IAM), que ha sido estándar en la seguridad empresarial durante muchos años. Una solución de análisis del comportamiento de usuarios y entidades (UEBA), que rastrea y analiza el comportamiento de usuarios y entidades para determinar qué es normal y señalar actividades sospechosas, es otra herramienta cada vez más estándar en la mayoría de las funciones de seguridad empresarial. Entre las nuevas tecnologías que dan prioridad a la identidad se encuentran las soluciones zero trust de acceso a la red (ZTNA), gestión de la postura de seguridad en la nube y gestión de la postura de seguridad de los datos (DSPM).

Además, las organizaciones deben permitir la integración de estas herramientas con la arquitectura adecuada, lo que permite que las tecnologías trabajen juntas para una experiencia más fluida y segura y para acabar con cualquier silo restante dentro de la función de identidad.

Todo esto, según Teixeria, es esencial para ofrecer la coherencia, el contexto y la continuidad necesarios, al tiempo que se satisface la necesidad de la empresa de acceder rápidamente a los sistemas.

Retos de la implantación de la seguridad basada en la identidad

Aunque la investigación ha revelado que casi todas las organizaciones consideran crítica la seguridad de la identidad, existen lagunas en este ámbito.

El informe 2023 State of Identity Security del fabricante de software de seguridad Oort habla de este punto, señalando, por ejemplo, que la empresa media tiene un 40,26% de cuentas sin MFA o con MFA débil y que las cuentas inactivas son el 24,15% del total de cuentas y son objetivo habitual de los hackers.

Estas cifras no sorprenden a los consultores e investigadores de seguridad, que afirman que los CISO se enfrentan a multitud de retos a la hora de dar prioridad a la identidad.

Para empezar, hay retos culturales. El enfoque granular que requiere una estrategia de identidad ante todo es drásticamente diferente de la forma en que la seguridad ha concebido tradicionalmente la gestión de accesos.

"Estamos tratando de deshacer toda una forma de existencia", afirma Keatron Evans, vicepresidente de estrategia de cartera y productos de la empresa de formación en ciberseguridad Infosec, que forma parte de Cengage Group. Durante décadas, TI permitió el acceso a casi cualquier persona que se encontrara físicamente dentro de las instalaciones de la organización, explica Evans, "por lo que pasar a un enfoque basado en la identidad va en contra de todo lo que hemos estado haciendo durante los últimos 50 años con la informática. Creo que ése es el mayor reto".

Sin embargo, ese cambio de mentalidad dista mucho de ser el único gran reto, según Evans y otros.

Incorporar soluciones modernas de identidad y acceso a los sistemas heredados también es un reto. Además, muchos CISO luchan por recopilar y analizar los datos necesarios para diseñar, implantar, respaldar y automatizar políticas de control de acceso e identidad sólidas y dinámicas, afirma Radhakrishnan.

Encontrar financiación para el control de identidades puede ser un reto

E incluso si los CISO tienen planes para superar esos retos, Evans dice que a menudo pueden encontrarse con dificultades para conseguir el dinero que necesitan para abordar todos esos problemas. Pero un presupuesto de seguridad ilimitado (no es que exista tal cosa) no lo resolverá todo, dicen los expertos. Los CISO y sus equipos aún deben hacer que todos los elementos -los datos, las políticas, los procesos y las tecnologías- funcionen juntos a la perfección, así como de forma casi instantánea y continua. Esa sincronización continua, dicen los expertos, es en sí misma una tarea importante.

Y esa tarea es la que debe tener prioridad para tener éxito, algo que no siempre ocurre. "Hay mucho ruido en el mercado sobre el zero trust y la seguridad centrada en la identidad, pero a menudo se considera un control secundario o terciario", afirma Radhakrishnan.

Sin embargo, los expertos afirman que los CISO están viendo progresos en la superación de esos retos. Teixeria señala una encuesta reciente de Gartner, según la cual el 63% de las organizaciones han implantado controles continuos y el 92% han implementado señales contextuales para influir en la toma de decisiones. Además, la encuesta reveló que la adopción de soluciones de gestión de acceso del personal se sitúa en el 58% entre los encuestados que tienen alguna implicación o responsabilidad en la IAM de sus organizaciones.

Otros observan progresos adicionales. Por ejemplo, la gran mayoría de las organizaciones consideran ahora que la identidad es fundamental, por lo que los CISO están obteniendo el apoyo necesario de sus colegas ejecutivos para invertir en la planificación e implantación de los componentes necesarios para situar la identidad en el centro de su postura de seguridad.

También están avanzando en sus programas de identidad a medida que sus departamentos de TI modernizan los entornos heredados y cambian las aplicaciones locales por otras basadas en la nube que vienen con herramientas modernas de identidad y acceso y se integran bien con ellas.

Y los CISO están pasando de políticas estáticas en torno a la identidad y el acceso a otras más dinámicas, un cambio esencial en un mundo en el que los entornos de trabajo virtuales y distribuidos son la norma y los riesgos también son dinámicos.