Sean Deuby | Tecnólogo principal, América

A medida que las organizaciones amplían su ecosistema digital, reconocen que las soluciones de seguridad en la nube, aunque valiosas, no son una panacea independiente. En los entornos de identidad híbrida actuales, la seguridad en la nube es inseparable de la arquitectura empresarial local. Garantizar la resistencia de estos sistemas interconectados implica una gran complejidad y configuración, especialmente en lo que se refiere a la gestión de la postura de seguridad de las identidades, un aspecto en el que muchas organizaciones todavía se quedan cortas.

"La identidad es el núcleo de la ciberseguridad, pero las empresas no suelen saber a qué atenerse", afirmó Maarten Goet, director de amenazas de Wortell, cuando hablé con él en la Conferencia sobre Protección de Identidad Híbrida (HIP Conf) hace unos años. "Carecen de información clara sobre quién tiene qué derechos, qué sistemas existen y cómo están conectados o desconectados. Establecer su postura actual en materia de identidad es su principal preocupación. Sin eso, no pueden definir una estrategia ni una hoja de ruta".

Su visión es convincente. Como MVP de Microsoft durante 18 años y MSSP de seguridad de Microsoft del año, Goet comprende que, para ser eficaz, la seguridad de identidades debe abarcar toda la complejidad de nuestros entornos híbridos en constante evolución. La necesidad de comprender esa complejidad no ha hecho más que aumentar desde nuestra conversación.

Perseguir la madurez de la ciberseguridad y una postura de seguridad sólida requiere algo más que pulsar un interruptor. Echemos un vistazo a algunas ideas clave de mi conversación con Goet que pueden guiarle hacia una comprensión más profunda de su entorno de identidad y proporcionar una base para la construcción de una postura de seguridad de identidad resistente.

La seguridad de la identidad evoluciona

Cuando Microsoft presentó Entra ID en 2022, la medida representaba una tendencia acelerada no sólo en la seguridad de la identidad híbrida, sino también en el sector más amplio de la ciberseguridad.

"Todo el mundo se ha dado cuenta de que la identidad no se limita a los directorios y el acceso no se limita a la red", afirma Goet. "Nuestros retos de seguridad se han ampliado, y necesitamos soluciones más amplias. Tenemos que adoptar un enfoque integrado que establezca la identidad como un tejido de confianza para el ecosistema digital".

"Ese es el objetivo mayor con el tiempo. Acceso seguro para cada empleado, microservicio, base de datos y sensor".

Gestionar la seguridad de las identidades desde todos los ángulos

No hay dos organizaciones exactamente iguales, ni siquiera las que operan en el mismo sector. Aunque algunas de las mejores prácticas son ampliamente aplicables, usted debe construir un enfoque único para la seguridad de la identidad de su organización. Y lo que es más importante, debe tener en cuenta cómo afectan sus decisiones a su ecosistema y a la superficie de ataque.

Completo detección de amenazas a la identidad y respuesta (ITDR) son increíblemente valiosas. Mediante el aprendizaje automático, establecen una línea de base para el comportamiento normal en su entorno, identifican la actividad sospechosa y automatizan la detección de riesgos y la corrección de la mayoría de los riesgos basados en la identidad. Esto es algo que las soluciones de seguridad tradicionales no han podido tener en cuenta fácilmente.

Pero incluso esto representa sólo una solución parcial.

"La tecnología es sólo una pieza del rompecabezas de la seguridad de la identidad", explica Goet. "También se necesitan procesos. Se necesita una estrategia. Tienes que asegurarte de que tu personal está formado y de que puedes seguir el ritmo de las prioridades y circunstancias cambiantes."

La complejidad y la deuda técnica perjudican a las empresas

El ámbito de la seguridad ha cambiado radicalmente en los últimos años. La autenticación sin contraseña es sin duda el avance más significativo, ya que ofrece una alternativa racionalizada y segura a los anticuados inicios de sesión basados en credenciales. Sin embargo, a pesar de todas sus ventajas, las empresas (sobre todo las grandes) han tardado en adoptar la autenticación sin contraseña.

"Las pequeñas y medianas empresas suelen ser bastante más ágiles, ya que sus entornos son menos complejos", afirma Goet. "Esto les permite adoptar la autenticación sin contraseña a través de soluciones como Windows Hello mucho más fácilmente. En las empresas más grandes, simplemente hay demasiados otros factores en juego: puntos finales y sistemas heredados que dificultan el despliegue de cualquier nueva tecnología."

Las métricas de puntuación de la postura de seguridad son valiosas, pero sólo en su contexto

Microsoft Secure Score, una métrica para evaluar la postura general de seguridad, puede proporcionar a su organización una valiosa orientación sobre dónde centrar sus esfuerzos. Sin embargo, no debe cometer el error de aplicar estos marcos sin contexto. Estos marcos no deben ser el único medio para medir el éxito.

Según mi experiencia, las soluciones de informes de métricas pueden ser engañosas. Por ejemplo, muchas de ellas no tienen en cuenta las diferencias de configuración. Identity Secure Score me resultó especialmente frustrante porque no tenía en cuenta algunos de los controles de seguridad que había implantado.

"La puntuación de la seguridad es un trampolín", afirma Goet. "El verdadero reto está en cómo se interpreta, cómo se adapta a su entorno y cómo se aplica a su estrategia general. Estas puntuaciones y medidas están pensadas para un mundo perfecto y se refieren a entornos perfectos. Pero su entorno no es perfecto.

"La otra cosa que me parece engañosa sobre las puntuaciones de seguridad es que parecen finitas", continuó. "La seguridad es un proceso continuo que requiere tiempo, dinero, esfuerzo y concentración. No termina cuando se alcanza un punto de referencia arbitrario".

Nunca subestime el valor de una base de identidad segura

En materia de ciberseguridad, demasiadas empresas intentan reinventar la rueda. Suponen que la única forma de hacer frente a las amenazas modernas es mediante soluciones de seguridad de última generación. La realidad es que la mayoría de las amenazas no son sombreros negros imparables, sino oportunistas que buscan sistemas desconfigurados y obsoletos.

"El mero hecho de disponer de configuraciones básicas de seguridad puede reforzar enormemente la seguridad de la identidad", afirma Goet. "Siempre recomiendo a los clientes que establezcan sus valores predeterminados de seguridad. Es algo que ayuda mucho antes de que una empresa se adentre en soluciones más amplias y sofisticadas como SIEM."

La gestión de permisos y la gestión de la postura de seguridad de las identidades van de la mano

Los permisos representan el factor más crucial a la hora de gestionar y proteger el entorno de identidades de una organización. ¿A qué sistemas pueden acceder los usuarios y qué pueden hacer con ese acceso? Estas son las preguntas a las que toda estrategia de seguridad de identidades trata de dar respuesta.

"La gestión de permisos es la clave de la seguridad moderna de las identidades", explica Goet. "Proporciona una visión unificada de los permisos y las identidades en cualquier nube. Le ofrece una visión de cada entorno de nube: qué está ocurriendo, quién está implicado y si hay algo que deba preocuparle".

"A partir de ahí, te ayuda a automatizar el acceso con mínimos privilegios", prosigue Goet. "A continuación, puedes dimensionar correctamente los permisos en función de los datos históricos de uso y de la supervisión en tiempo real. Ese es el objetivo final: garantizar que las personas tengan solo los permisos que absolutamente necesitan."

Seguir explorando: Examinar el paisaje más amplio

Su empresa nunca deja de evolucionar. Su seguridad de identidad debe seguir el ritmo. Pero para cualquier empresa, la definición de sus objetivos de ciberseguridad no puede ocurrir en el vacío. Su postura de seguridad de identidad abarca todas las actividades, tecnologías, personas y procesos que hacen posible que su organización no sólo prevenga los incidentes cibernéticos, sino que también se recupere, con resiliencia.

Por eso es importante que los equipos de seguridad redefinan periódicamente lo que significa la seguridad de la identidad para su organización. Eventos como HIP Conf reúnen a los principales expertos mundiales en protección de la identidad, le ponen en contacto con las tendencias y soluciones actuales y fomentan conversaciones enriquecedoras para ayudarle a resolver complejos retos de ciberseguridad.

Visite el sitio web de HIP para consultar los recursos. Y considere la posibilidad de inscribirse a sí mismo y a su equipo para asistir a la Conferencia HIP 2025 en Charleston, Carolina del Sur, en octubre.

Para saber más