¿Qué es la gestión de identidad y acceso (IAM)?

Con el auge de la computación en la nube, el trabajo remoto y la IA generativa, la IAM se ha convertido en un componente central de la seguridad de la red.

La red corporativa promedio hoy en día alberga un número creciente de usuarios humanos (empleados, clientes, contratistas) y usuarios no humanos (agentes de IA, IoT y dispositivos endpoint, cargas de trabajo automatizadas). Estos usuarios están distribuidos en varias ubicaciones y necesitan un acceso seguro a las aplicaciones y los recursos on-premises y basados en la nube.

Los hackers se han dado cuenta de esta superficie de ataque de identidad en expansión . Según el IBM X-Force Threat Intelligence Index, el 30 % de los ciberataques implican el robo y el abuso de cuentas válidas.

La gestión de identidades y accesos puede ayudar a facilitar el acceso seguro de los usuarios autorizados, al mismo tiempo que bloquea el acceso no autorizado de atacantes externos, usuarios internos maliciosos e incluso usuarios bienintencionados que hacen un uso indebido de sus derechos de acceso. Las herramientas de IAM permiten a las organizaciones crear y eliminar de forma segura identidades digitales, establecer y aplicar políticas de control de acceso, verificar usuarios y monitorizar la actividad de los usuarios. 

El objetivo de IAM es detener a los piratas informáticos y, al mismo tiempo, permitir que los usuarios autorizados hagan fácilmente todo lo que necesitan hacer, pero no más de lo que pueden hacer.

Con ese fin, las implementaciones de IAM tienen cuatro pilares:

• Administración
• Autenticación
• Autorización
• Realización de auditoría

La administración de identidades, también conocida como "gestión de identidades" o "gestión del ciclo de vida de las identidades", es el proceso de crear, mantener y eliminar de forma segura las identidades de los usuarios en un sistema.

Para facilitar el acceso seguro de los usuarios, las organizaciones primero necesitan saber quién y qué hay en su sistema. Generalmente, esto implica asignar a cada usuario humano y no humano una identidad digital distinta.

Una identidad digital es una colección de atributos distintivos vinculados a una entidad específica. Las identidades digitales capturan rasgos como el nombre de un usuario, las credenciales de inicio de sesión, el puesto y los derechos de acceso.

Las identidades digitales suelen almacenar en una base de datos o directorio central, que actúa como única fuente de información veraz. El sistema IAM emplea la información de esta base de datos para validar a los usuarios y determinar lo que pueden hacer.

Además de incorporar nuevos usuarios, las herramientas de IAM pueden actualizar identidades y permisos a medida que evolucionan los roles de los usuarios y desaprovisionar a los usuarios que abandonan el sistema.

Los equipos de TI y ciberseguridad pueden gestionar manualmente el aprovisionamiento y desaprovisionamiento de usuarios, pero muchos sistemas IAM también admiten un enfoque de autoservicio. Los usuarios proporcionan su información y el sistema crea automáticamente su identidad y establece los niveles adecuados de acceso en función de las reglas definidas por la organización. 

La autenticación es el proceso que verifica que un usuario es quien dice ser.

Cuando un usuario inicia sesión en un sistema o solicita acceso a un recurso, envía credenciales, llamadas “factores de autenticación”, para dar cuenta de su identidad. Por ejemplo, un usuario humano podría introducir una contraseña o un escaneo biométrico de huellas dactilares, mientras que un usuario no humano podría compartir un certificado digital. El sistema IAM compara estas credenciales con la base de datos central. Si coinciden, se concede el acceso.

Si bien una contraseña es la forma más básica de autenticación, también es una de las más débiles. La mayoría de las implementaciones actuales de IAM utilizan métodos de autenticación más avanzados, como la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), que requieren que los usuarios proporcionen múltiples factores de autenticación para probar sus identidades.

Por ejemplo, cuando un sitio web requiere que los usuarios ingresen tanto una contraseña como un código que se envía por mensaje de texto a su teléfono, eso es un esquema 2FA en acción.

La autorización es el proceso de conceder a los usuarios verificados los niveles adecuados de acceso a Recursos.

La autenticación y la autorización están estrechamente vinculadas, y la autenticación suele ser un requisito previo para la autorización. Después de que un usuario demuestra su identidad, el sistema IAM verifica los privilegios que están conectados a esa identidad en la base de datos central y autoriza al usuario en consecuencia.

En conjunto, la autenticación y la autorización forman el componente de la Gestión de identidad y acceso.

Para establecer las licencias de acceso de los usuarios, las diferentes organizaciones adoptan diferentes enfoques. Un marco de control de acceso común es el control de acceso basado en roles (RBAC), en el que los privilegios de los usuarios se basan en sus funciones de trabajo. El RBAC ayuda a agilizar el proceso de configuración de licencias de usuario y mitiga el riesgo de otorgar a los usuarios privilegios más altos de los que necesitan.

Por ejemplo, supongamos que los administradores del sistema están estableciendo permisos para un cortafuegos de red. Es probable que un representante de ventas no tenga acceso en absoluto, ya que el rol de ese usuario no lo requiere. Un analista de seguridad de nivel junior podría ver las configuraciones del cortafuegos, pero no cambiarlas. El director de seguridad de la información (CISO) tendría acceso administrativo completo. Una interfaz de programación de aplicaciones (API) para un sistema integrado de gestión de eventos e información de seguridad (SIEM) podría ser capaz de leer los registros de actividad del cortafuegos.

La mayoría de las infraestructuras de control de acceso están diseñadas según el principio del mínimo privilegio. El principio del mínimo privilegio, a menudo asociado con las estrategias de ciberseguridad de confianza cero, establece que los usuarios deben tener solo las licencias más bajas necesarios para completar una tarea. Sus privilegios deberían ser revocados tan pronto como la tarea esté realizada.

La auditoría consiste en garantizar que el sistema IAM y sus componentes (administración, autenticación y autorización) funcionan correctamente.

La auditoría implica rastrear y registro lo que los usuarios hacen con sus derechos de acceso para garantizar que nadie, incluidos los piratas informáticos, tenga acceso a nada que no deba, y que los usuarios autorizados no abusen de sus privilegios.

La auditoría es una función central de gobernanza de la identidad y es importante para el cumplimiento normativo. Los mandatos de seguridad, como el Reglamento General de Protección de Datos (GDPR), la Ley Sarbanes-Oxley (SOX) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) requieren que las organizaciones restrinjan los derechos de acceso de los usuarios de ciertas maneras. Las herramientas y procesos de auditoría ayudan a las organizaciones a garantizar que sus sistemas de IAM cumplan con los requisitos, y las pistas de auditoría pueden ayudar a demostrar el cumplimiento o identificar violaciones según sea necesario.

Las organizaciones dependen de herramientas tecnológicas para optimizar y automatizar los flujos de trabajo clave de IAM, como la autenticación de usuarios y el seguimiento de su actividad. Algunas organizaciones utilizan soluciones puntuales para cubrir diferentes aspectos de la IAM, mientras que otras utilizan plataformas de IAM integrales que lo hacen todo o integran múltiples herramientas en un todo unificado.

Los componentes y funciones principales de las soluciones de gestión de identidad y acceso incluyen:

Los servicios de directorio son donde los sistemas de IAM almacenan y gestionan datos sobre las identidades, las credenciales y los permisos de acceso de los usuarios. Las soluciones de IAM pueden tener sus propios directorios centralizados o integrarse con servicios de directorio externos, como Microsoft Active Directory y Google Workspace.

Algunas implementaciones de IAM utilizan un enfoque llamado "federación de identidades", en el que sistemas dispares comparten información de identidad entre sí. Un sistema actúa como proveedor de identidad, utilizando estándares abiertos como Security Assertion Markup Language (SAML) y OpenID Connect (OIDC) para autenticar de forma segura a los usuarios en otros sistemas.

Los inicios de sesión sociales, cuando una aplicación permite a una persona usar su cuenta de Facebook, Google u otra para iniciar sesión, son un ejemplo común de federación de identidades.

Además de MFA y 2FA, muchas soluciones IAM admiten métodos de autenticación avanzados, como el inicio de sesión único (SSO) (SSO), la autenticación adaptativa y la autenticación sin contraseña.

Inicio de sesión único (SSO) permite a los usuarios acceder a múltiples aplicaciones y servicios con un conjunto de credenciales de inicio de sesión. El portal de SSO autentica al usuario y genera un certificado o token que actúa como clave de seguridad para otros recursos. Los sistemas SSO utilizan protocolos como SAML y OIDC para compartir claves entre proveedores de servicios.

La autenticación adaptativa, también llamada autenticación basada en riesgos, cambia los requisitos de autenticación en tiempo real a medida que cambian los niveles de riesgo. Los esquemas de autenticación adaptativa utilizan inteligencia artificial (IA) y machine learning (ML) para analizar el contexto de un inicio de sesión, incluidos factores como el comportamiento del usuario, la postura de seguridad del dispositivo y el tiempo. Cuanto más riesgoso es un inicio de sesión, más autenticación requiere el sistema.

Por ejemplo, un usuario que inicia sesión desde su dispositivo y ubicación habituales podría necesitar ingresar solo su contraseña. Ese mismo usuario que inicia sesión desde un dispositivo no confiable o intenta ver información especialmente confidencial podría necesitar proporcionar más factores, ya que la situación ahora presenta más riesgos para la organización.

Los esquemas de autenticación sin contraseña reemplazan las contraseñas (notoriamente fáciles de robar) con credenciales más seguras. Las claves de acceso, como las basadas en el popular estándar FIDO, son una de las formas más comunes de autenticación sin contraseña. Emplean criptografía de clave pública para verificar la identidad de un usuario.

Las herramientas de control de acceso permiten a las organizaciones definir y hacer cumplir políticas de acceso granulares a los usuarios humanos y no humanos. Además del RBAC, los marcos de control de acceso comunes incluyen:

• Control de acceso obligatorio (MAC), que aplica políticas definidas de forma centralizada a todos los usuarios en función de los niveles de autorización o puntuaciones de confianza.
  
  
• Control de acceso discrecional (DAC), que permite a los propietarios de recursos establecer sus propias reglas de control de acceso para esos recursos. 
  
  
• Control de acceso basado en atributos (ABAC) , que analiza los atributos de los usuarios, objetos y acciones, como el nombre de un usuario, el tipo de recurso y la hora del día, para determinar si se otorgará acceso.

Las herramientas de gestión de acceso privilegiado (PAM) monitorear la seguridad de las cuentas y el control de acceso de las cuentas de usuario con privilegios elevados, como los administradores del sistema. Las cuentas privilegiadas cuentan con protecciones especiales porque son objetivos de gran valor que los actores maliciosos pueden emplear para causar graves daños. Las herramientas PAM aíslan las identidades privilegiadas del resto, empleando bóvedas de credenciales y protocolos de acceso justo a tiempo para mayor seguridad.

Las herramientas de gestión de credenciales permiten a los usuarios almacenar de forma segura contraseñas, claves de acceso y otras credenciales en una ubicación central. Las herramientas de gestión de credenciales pueden mitigar el riesgo de que los empleados olviden sus credenciales. También pueden fomentar una mejor higiene de la seguridad al facilitar a los usuarios el establecimiento de diferentes contraseñas para cada servicio que utilizan.

La administración de secretos protege las credenciales, incluidos certificados, claves, contraseñas y tokens, para usuarios no humanos, como aplicaciones, servidores y cargas de trabajo. Las soluciones de gestión de secretos suelen almacenar secretos en una bóveda central segura. Cuando los usuarios autorizados necesiten acceder a un sistema sensible, pueden obtener el secreto correspondiente de la bóveda. 

Las herramientas de gobernanza de la identidad ayudan a las organizaciones a auditar la actividad de los usuarios y garantizar el cumplimiento normativo.

Las funciones principales de las herramientas de gobernanza de identidad incluyen auditar los permisos de los usuarios para corregir los niveles de acceso inapropiados, registro de la actividad de los usuarios, hacer cumplir las políticas de seguridad y marcar las infracciones.

Las herramientas de detección y respuesta a amenazas de identidad (ITDR) descubren y corrigen automáticamente las amenazas basadas en la identidad y los riesgos de seguridad, como la escalada de privilegios y los errores de configuración de cuentas. Las herramientas de ITDR son relativamente nuevas y aún no están estándar en todas las implementaciones de IAM, pero son un componente cada vez más común de las estrategias de seguridad de identidad empresarial.

La Gestión de identidad y acceso del cliente (CIAM) gobierna las identidades digitales de los clientes y otros usuarios que se encuentran fuera de una organización. Las funciones principales de las CIAM incluyen capturar datos del perfil de clientes, autenticar usuarios y facilitar el acceso seguro a servicios digitales, como sitios de comercio electrónico.

Las soluciones de gestión de identidades y accesos basadas en la nube, también llamadas herramientas de “identidad como servicio” (IDaaS), adoptan un enfoque de software como servicio (SaaS) para IAM.

Las herramientas IDaaS pueden ser útiles en redes complejas donde los usuarios distribuidos inician sesión desde dispositivos Windows, Mac, Linux y móviles para acceder a recursos ubicados en el sitio y en nubes privadas y públicas. Estas redes pueden ser propensas a la fragmentación y a las brechas de visibilidad, pero las soluciones de IAM en la nube pueden escalar para adaptarse a diferentes usuarios, aplicaciones y activos en un único sistema de identidad.

Las herramientas IDaaS también permiten a las organizaciones subcontratar algunos de los aspectos que requieren más tiempo y recursos de la implementación de sistemas IAM, como la configuración de directorios y el registro de la actividad de los usuarios. 

A medida que las organizaciones adoptan entornos multinube, IA, automatización y trabajo remoto, necesitan facilitar el acceso seguro para más tipos de usuarios a más tipos de recursos en más ubicaciones. Las soluciones de IAM pueden mejorar tanto la experiencia del usuario como la ciberseguridad en redes descentralizadas, optimizando la gestión de acceso y protegiendo contra ciberamenazas comunes.

La transformación digital es la norma para las empresas de hoy en día, lo que significa que la red de TI centralizada y totalmente on premises es en gran medida una cosa del pasado. Las soluciones y estrategias de seguridad centradas en el perímetro no pueden proteger eficazmente las redes que abarcan dispositivos dentro y fuera de las instalaciones, servicios basados en la nube, aplicaciones web y equipos de usuarios humanos y no humanos repartidos por todo el mundo.

Como resultado, las organizaciones están haciendo de la seguridad de la identidad un pilar central de sus estrategias de ciberseguridad. En lugar de centrarse en el perímetro de la red, puede ser más eficaz proteger a los usuarios individuales y su actividad, independientemente de dónde ocurra.

Al mismo tiempo, las organizaciones deben garantizar que los usuarios dispongan del acceso bajo demanda que necesitan para realizar su trabajo y que no se vean obstaculizados por medidas de seguridad excesivamente gravosas.

Los sistemas IAM brindan a los equipos de TI y seguridad una forma centralizada de definir y aplicar políticas de acceso personalizadas y compatibles para usuarios individuales en toda la organización.

Las herramientas de IAM también pueden autenticar a los usuarios de forma segura y ayudar a rastrear cómo las entidades utilizan sus permisos, capacidades importantes para defenderse de los ciberataques basados en la identidad, que son el método elegido por muchos delincuentes cibernéticos en la actualidad.  

Según el Informe del costo de una filtración de datos de IBM, el robo de credenciales es la principal causa de filtraciones de datos, y representa el 16 % de los ataques. Estos ataques basados en credenciales, en los que los hackers utilizan cuentas de usuarios legítimos para acceder a datos confidenciales, cuestan 4.67 millones de dólares y tardan 246 días en detectarse y contenerse en promedio.

Las herramientas de IAM pueden dificultar que los hackers lleven a cabo estos ataques. Por ejemplo, MFA hace que los delincuentes cibernéticos necesiten algo más que una contraseña para entrar. Incluso si se hacen cargo de una cuenta, el movimiento lateral es limitado porque los usuarios solo tienen los permisos que necesitan para hacer su trabajo y nada más. Y las herramientas ITDR pueden facilitar la detección y detención de actividades sospechosas en las cuentas de los usuarios autorizados. 

Según el Informe del costo de una filtración de datos, la tecnología IAM es un factor clave para reducir los costos de las violaciones de datos, ya que reduce el costo de un ataque en 189,838 USD en promedio.

Un tejido de identidad es una arquitectura de identidad integral que une todos los sistemas de identidad en una red en un todo integrado. Las soluciones holísticas de IAM que conectan aplicaciones Dispar y cubren todas las funciones básicas de IAM son herramientas importantes para crear estos tejidos.

Los tejidos de identidad son cada vez más populares a medida que las organizaciones buscan abordar los desafíos que surgen del uso de muchas aplicaciones diferentes con diferentes sistemas de identidad. Según un informe, el equipo promedio utiliza 73 aplicaciones SaaS diferentes. Cuando estas aplicaciones tienen sus propios sistemas de identidad, la fragmentación crea tanto dolores de cabeza logísticos como brechas de seguridad.

Para combatir estos problemas, las organizaciones están invirtiendo en herramientas de identity orchestration, que ayudan a que los sistemas de identidad Dispar se comuniquen entre sí.

Las soluciones integrales de IAM que gestionan todos los aspectos clave de la IAM (administración de identidades, gestión de accesos, gobernanza, auditoría, PAM y CIAM) ayudan a facilitar esta coordinación. El objetivo es crear una estructura de identidad para toda la red que permita a la organización gestionar la información de identidad y el acceso a todas las aplicaciones, usuarios y activos en una sola plataforma.

Además de simplificar IAM, el enfoque integrado también puede impulsar la seguridad. Según el X-Force Threat Intelligence Index, la consolidación de soluciones de identidad es una de las formas más efectivas de controlar la expansión de la identidad y protegerse contra los ataques basados en la identidad.

La IA tradicional basada en reglas ha sido parte del funcionamiento de IAM durante mucho tiempo, automatizando flujos de trabajo como la autenticación y las pistas de auditoría. Sin embargo, la llegada de la IA generativa presenta nuevos desafíos y nuevas oportunidades.

Entre las nuevas aplicaciones impulsadas por modelos de lenguaje de gran tamaño (LLM) y agentes de IA autónomos, la IA generativa está preparada para impulsar un aumento significativo en el número de identidades no humanas en la red empresarial. Estas identidades ya superan en número a los humanos 10:1 en una empresa típica.¹ Esa proporción pronto podría ser mucho mayor.  

Estas identidades no humanas son objetivos comunes para los atacantes porque a menudo tienen niveles de acceso relativamente altos y credenciales poco protegidas.

Sin embargo, las herramientas IAM pueden mitigar los riesgos de que los delincuentes cibernéticos se apoderen de las cuentas de IA. Las técnicas y herramientas comunes de gestión de acceso privilegiado, como la rotación automática de credenciales y las bóvedas de credenciales seguras, pueden dificultar que los piratas informáticos roben credenciales.

La IA también tiene casos de uso positivos para IAM. Según el IBM Institute for Business Value, muchas organizaciones ya utilizan la IA para ayudar a gestionar la verificación y autorización de usuarios (62 %) y para controlar el riesgo, el cumplimiento y la seguridad (57 %). Las herramientas de IA generativa pueden elevar estos usos.

Por ejemplo, algunas herramientas de IAM están implementando chatbots impulsados por LLM que permiten a los equipos de seguridad utilizar lenguaje natural para analizar conjuntos de datos de seguridad , crear nuevas políticas y sugerir niveles de acceso personalizados para los usuarios.