La inversión en seguridad y protección de identidades ha alcanzado un máximo histórico. Se prevé que este año el valor del mercado mundial de gestión de identidades y accesos (IAM) alcance los 20.750 millones de dólares. No es de extrañar; Gartner estimó recientemente que aproximadamente el 75% de todos los fallos de seguridad son atribuibles a una mala gestión de identidades, accesos y privilegios. ¿Qué depara el futuro a la gestión de identidades?
A pesar del aumento de las inversiones en detección de amenazas y respuesta a la identidad (ITDR), las organizaciones siguen teniendo dificultades para su implantación. A menudo, los departamentos de una organización están desconectados desde el principio, lo que anula cualquier posibilidad de impulsar una cultura de identidad sostenible. Según Denis Ontiveros Merlo, vicepresidente de plataformas empresariales de bp, esta desconexión no es algo que las empresas puedan resolver internamente.
"Hemos construido todo un ecosistema que, sin darse cuenta, ha creado antipatrones [en nombre de la seguridad] que frustran el objetivo final de hacer que la identidad sea segura, segura y sin fricciones", explica Ontiveros Merlo. "La gente sigue estos patrones porque cree que es lo correcto, y acabamos en un círculo vicioso. Hay que educar mucho para que nos liberemos de esto."
La educación sobre las últimas capacidades de gestión de identidades es el primer paso hacia el futuro de la gestión de identidades. Pero no es el único reto que las organizaciones encontrarán en el camino.
A trompicones en el nuevo panorama de la gestión de identidades
En muchos sentidos, el sector empresarial aún se está recuperando del cambio de paradigma que se produjo durante la pandemia. Ahora todo es digital, distribuido y federado, queramos o no. Este cambio representa un reto considerable para las organizaciones acostumbradas a gestionar infraestructuras y equipos centralizados.
"Cuando se trata de imponer cierto sentido de la gobernanza, ya no hay una sola garganta que ahogar, como suele decirse", afirma Ontiveros Merlo. "Mientras que antes todo era monolítico, ahora tenemos una multitud de pequeños componentes que trabajan todos juntos". Junto con la transformación digital y el trabajo a distancia, la arquitectura de microservicios se está convirtiendo en la norma.
"Todos esos componentes tienen que autenticarse y confiar los unos en los otros", prosigue. "Cada usuario, máquina, aplicación, dispositivo y sensor. Es un reto considerable, pero creo que también es una oportunidad". Podemos verlo con Azure B2B, que podría considerarse el inicio de la identidad descentralizada."
La locura de forzar la gestión de identidades en una caja
Nos encanta la idea de que existe una solución única para el ITDR. Sin embargo, las organizaciones tienen capacidades, limitaciones y requisitos diferentes. Las tecnologías y estrategias que funcionan en una empresa pueden fracasar por completo en otra.
"Siempre me ha parecido interesante que, cuando se trata de retos de identidad como el acceso privilegiado, tendemos a crear soluciones y ecosistemas que en última instancia tienden a la deriva de la configuración", reflexiona Ontiveros Merlo. "Lo ideal sería que el código se introdujera de forma declarativa a través de la integración continua y la entrega continua (CI/CD). Sin embargo, antes de llegar a ese punto, debemos ser más conscientes de los prejuicios que podemos tener a la hora de adoptar una nueva tecnología, de los antipatrones en los que podemos caer".
"También tenemos que ser más conscientes de cómo integramos la tecnología en la organización", añade.
La gestión de identidades no es sólo cosa de administradores
Tradicionalmente, la gestión de identidades se ha considerado un asunto administrativo. Sin embargo, la identidad no solo es importante para los administradores.
"Tenemos que preguntarnos quién es el cliente en esta situación", dice Ontiveros Merlo. "Como la identidad tiende a ser un servicio compartido, a menudo se utiliza como punto de aplicación de la gobernanza. Pero la realidad es que la gobernanza y la rendición de cuentas son responsabilidad de todos."
No podemos esperar que los equipos de identidad aborden cuestiones como la privacidad o la segregación de funciones. Al desarrollar e implantar soluciones de gestión de identidades, también debemos tener en cuenta la experiencia del usuario y cómo influyen en ella nuestros procesos y políticas. La seguridad y la comodidad ya no pueden estar reñidas.
Más allá del RBAC
A largo plazo, dice Ontiveros Merlo, el control de acceso basado en roles (RBAC) podría no ser el más adecuado para un futuro distribuido. Este cambio tiene el potencial de ser bastante perturbador.
RBAC estaba muy bien en sistemas antiguos, más monolíticos, en los que no había grandes cambios. Sin embargo, el panorama empresarial actual -y las funciones- son muy dinámicos.
"Cuando la organización cambia y las funciones no, se crean fricciones", explica Ontiveros Merlo. "Los usuarios acaban teniendo demasiado o demasiado poco acceso. El acceso basado en políticas es mucho más dinámico, y por eso hemos visto evolucionar tanto los estándares de autenticación en los últimos años."
Aunque la autenticación ha evolucionado, la autorización parece ir a la zaga. Sólo ahora estamos empezando a ver nuevas tecnologías que externalizan y normalizan los conceptos de autorización. La recertificación, sobre todo en torno a los activos contextuales, es otro de los grandes retos de la gestión de identidades que debe superar el sector.
Evitar los antipatrones de la gestión de identidades
La comunidad de seguridad tiene una desafortunada tendencia a atrincherarse cuando cree que ha encontrado la forma "correcta" de hacer algo, y eso es peligroso.
"Cuando cerramos conversaciones sin tener en cuenta lo que significan exactamente, empujamos las cosas hacia un canal mucho menos seguro", afirma Ontiveros Merlo. "Especialmente con sistemas complejos, tendemos a derivar hacia comportamientos establecidos. Todos tenemos que ser un poco más conscientes del contexto, de nuestros propios prejuicios, del sector en general y de lo que otros departamentos pueden enseñarnos sobre los nuestros."
Ontiveros Merlo recomienda aplicar prácticas de ingeniería y psicología a la gestión de identidades: adoptar un enfoque amplio y multidisciplinar que se centre en resolver problemas a través de los datos, la atención al cliente y el pensamiento crítico.
"En última instancia, trate la identidad como un producto y sienta curiosidad por la fricción que crea para sus clientes", afirma. "Pueden ser usuarios finales, desarrolladores de aplicaciones o incluso desarrolladores que están reinventando el proceso de registro e inicio de sesión. Sean quienes sean, intenta reducir la carga cognitiva de esos equipos distribuidos, para que puedan centrarse en hacer lo que mejor saben hacer."
Estamos todos juntos en esto
El espacio de la identidad ha evolucionado a pasos agigantados en los últimos años, pero los mayores retos están aún por llegar. Las identidades de máquinas se están uniendo a las identidades de clientes y empresas a medida que múltiples empresas y entidades trabajan juntas a través de cadenas de suministro intrincadamente conectadas. Inevitablemente, una empresa tendrá que conceder acceso a identidades de las que no es la fuente autorizada.
La colaboración no es simplemente una recomendación en este escenario, sino que representa el único camino a seguir.
"Utilizaremos los datos mucho más para el análisis del comportamiento y para dar contexto a las identidades", predice Ontiveros Merlo. "Y para gestionarlo todo, desde la recertificación hasta la seguridad de las transacciones. Nadie podrá resolver este tipo de problemas por sí solo. En el futuro, necesitaremos polinización cruzada. Necesitaremos asociaciones y colaboración entre empresas y disciplinas."
Más información sobre la protección de la identidad híbrida
