Los líderes de TI deben abordar sus procesos internos para minimizar la exposición a los riesgos de seguridad de TI y la superficie de ataque de sus organizaciones. Esto se vuelve cada vez más complejo a medida que evolucionan los entornos de TI empresariales.
Los líderes no solo deben considerar qué empleados y roles laborales requieren acceso a qué sistemas de TI, sino también controles de acceso no humanos donde un sistema interno o externo tiene acceso a un recurso de TI determinado.
Sin embargo, como señala Varun Prasad, vicepresidente del Capítulo de ISACA San Francisco y miembro del grupo de trabajo de tendencias emergentes de ISACA, las empresas tienden a pasar por alto o apresurarse a través de ciertos procesos tradicionales de gestión de acceso debido al tamaño y la complejidad cada vez mayores de su TI. paisaje.
“Es importante revisar periódicamente las autorizaciones de acceso a todos los activos en el entorno por parte del personal de gestión adecuado”, dice Prasad, añadiendo que esto no debería ser una actividad de “casilla de verificación”, sino que debería implicar una evaluación exhaustiva de los derechos de acceso para detectar el acceso de privilegios.
Prasad cree que las cuentas y autorizaciones incluidas en la revisión deberían ir más allá de aquellas que brindan acceso a los sistemas de producción. También debe incluir todas las identidades no humanas y aquellos lugares donde se necesita acceso a repositorios de código fuente, almacenes de claves, bóvedas secretas y almacenes de datos.
Dado que el error humano suele ser la razón principal de los incidentes de seguridad cibernética, Prasad recomienda automatizar procesos clave como el aprovisionamiento, el desaprovisionamiento de cuentas y las revisiones de acceso. Otra buena práctica que recomienda es interconectar la plataforma centralizada de gestión de acceso a identidades (IAM) de la organización con el sistema de gestión de recursos humanos corporativo, que ofrece una manera de automatizar la baja de empleados.
Es importante revisar periódicamente las autorizaciones de acceso a todos los activos del entorno por parte del personal de gestión adecuado
Varun Prasad, ISACA
“El proceso de revisión de acceso también debe automatizarse a intervalos periódicos para garantizar que todos los derechos de acceso sean proporcionales a las responsabilidades laborales”, añade.
Si bien la ingeniería social es un vector de ataque bien comprendido para robar la contraseña de alguien, Prasad señala que el análisis de los patrones de ciberataques recientes muestra que mediante el uso de phishing e ingeniería social, los ciberatacantes también pueden robar los códigos únicos generados para acceder a sistemas que utilizan multifactor. autenticación (MFA).
Insta a las organizaciones a implementar técnicas de MFA resistentes al phishing en lugar de utilizar los métodos tradicionales de MFA basados en código, ya que esto elimina el elemento humano en el proceso. Las técnicas populares de MFA resistentes al phishing incluyen la autenticación basada en web (WebAuthn) y la autenticación basada en infraestructura de clave pública (PKI).
Según Forrester, la inteligencia artificial generativa (GenAI) que se basa en el aprendizaje automático probado y el legado de los modelos de IA puede ayudar a las organizaciones a identificar nuevas amenazas a la identidad en aplicaciones locales, aplicaciones de software como servicio (SaaS) y plataformas de infraestructura en la nube.
Una tendencia de IAM identificada por Forrester es que algunas herramientas generan automáticamente políticas de identidad y acceso para frustrar estas amenazas. Algunos sistemas IAM también utilizan GenAI para permitir que los no expertos en tecnología ejecuten consultas e informes más fácilmente.
“Los administradores ciudadanos y los usuarios empresariales pueden hacer preguntas como: ‘¿Cuáles cinco aplicaciones son las más riesgosas desde la perspectiva de los derechos de identidad?’ y recibir respuestas de los sistemas IAM en lenguaje natural”, señalan los analistas de Forrester en Las principales tendencias que darán forma a la gestión de identidades y accesos en 2024 informe.
A pesar de los importantes avances en las plataformas, herramientas y utilidades (algunas de las cuales ofrecen inteligencia artificial y análisis integrados a los que se refiere Forrester) que se utilizan para gestionar IAM, Prasad dice que la gestión de acceso sigue siendo una prioridad para los profesionales de la seguridad, ya que hay mucho espacio para mejora.
Por ejemplo, según datos de Cloud Security Alliance, los riesgos relacionados con IAM se encuentran entre las dos principales amenazas a la computación en la nube. Prasad también señala una encuesta de Identity Defined Security Alliance realizada a 500 grandes organizaciones, que encontró que el 84% de ellas se vieron afectadas por una violación relacionada con la identidad el año pasado.
La buena noticia, al menos desde la perspectiva de IAM, es que los proveedores de servicios de nube pública, como Amazon Web Services y Microsoft Azure, brindan capacidades para implementar MFA resistente al phishing para acceder a sus entornos de nube. Prasad dice que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) considera estas técnicas como el estándar de oro para la protección contra el phishing y exige su uso como parte de una estrategia de confianza cero.
Cultura segura
Más allá de la tecnología IAM, Prasad recomienda que las empresas establezcan una sólida cultura consciente de la seguridad y practiquen una higiene básica de IAM: seguir el principio de privilegio mínimo, rastrear todas las identidades, monitorear el uso y revisar periódicamente los derechos.
Dada la gran cantidad de causas fundamentales relacionadas con IAM detrás de las filtraciones de datos y los incidentes cibernéticos, agrega que es fundamental garantizar una operacionalización fluida y eficiente de los procesos de gobierno de IAM en el entorno de TI porque un panorama de IAM bien administrado es la base para una Fuerte postura de seguridad cibernética.
Entonces, si bien IAM proporciona esencialmente un perímetro defensivo estático y debería estar en el centro de la defensa contra los ataques de phishing y ransomware cibernéticos, Andrew Peel, experto en seguridad cibernética, y Scott Swalling, experto en seguridad de datos y nube, de PA Consulting, instan a las organizaciones a reconocer que será violado. Sugieren que los líderes de seguridad de TI utilicen su capacidad más amplia de operaciones de seguridad para brindar detección y respuesta a amenazas de manera proactiva, incluidos enfoques como la confianza cero.
Peel and Swalling recomiendan que las organizaciones desarrollen capacidades para detectar y analizar señales que podrían ser un indicador de un intento de compromiso o de un compromiso existente. Por ejemplo, el análisis de tendencias sobre el uso y las infracciones se puede utilizar para identificar y corregir vulnerabilidades.
Se trata fundamentalmente de un desafío humano, no meramente tecnológico. Al priorizar los factores humanos en nuestra estrategia de seguridad, podemos construir una postura más efectiva y resiliente frente a los ciberataques, el phishing y el ransomware.
Mike Gillespie, Adviento IM/CSCSS
“Las herramientas de detección de amenazas, como la información de seguridad y la gestión de eventos que capturan IAM y registros de gestión de acceso privilegiado, combinadas con guías establecidas pueden reducir el impacto de una campaña de phishing exitosa al detectar y responder a actividades anómalas, como la búsqueda de escalada de derechos”, afirman. .
Según Peel y Swalling, un enfoque de seguridad coherente centrado en la identidad debe ser una parte central de las defensas de una organización si se quiere combatir con éxito los ataques cibernéticos, de phishing y de ransomware. Señalan que el uso de datos de identidad y servicios tecnológicos de alta calidad para controlar el acceso a los recursos, combinados con capacidades proactivas de detección y respuesta a amenazas, además de educación del usuario, es vital para una postura de seguridad diseñada para hacer frente a los ciberataques en rápida evolución.
“No podemos abordar un problema humano sólo con tecnología”, dice Mike Gillespie, director general y cofundador de la consultora de seguridad independiente Advent IM, y vicepresidente del Centro C3i para el Ciberespacio Estratégico y la Ciencia de la Seguridad (CSCSS).
Gillespie cree que la seguridad debe adoptar un enfoque más centrado en las personas, ya que, en última instancia, son las personas las que requieren acceso, cuyas identidades deben gestionarse y autenticarse, y son ellas quienes actualmente permiten los fallos, incluso cuando esto es involuntario. .
“Debemos reconocer que se trata fundamentalmente de un desafío humano, no meramente tecnológico. Al priorizar los factores humanos en nuestra estrategia de seguridad, podemos construir una postura más efectiva y resiliente frente a los ciberataques, el phishing y el ransomware”, afirma Gillespie.
Amenazas emergentes
El año pasado, varios proveedores de tecnología IAM fueron atacados por ciberataques. Esto tiene ramificaciones en la forma en que los tomadores de decisiones de TI seleccionan proveedores de productos y servicios de IAM.
Analyst Forester informa que las organizaciones buscan garantías de los proveedores de IAM sobre sus procesos operativos internos y prácticas de seguridad, así como la seguridad que sustenta las ofertas de IAM SaaS basadas en la nube.
En Las principales tendencias que darán forma a la gestión de identidades y accesos en 2024 En el informe, Forrester informa que los clientes ahora exigen que sus proveedores de IAM cumplan con regulaciones y marcos como SOC 2, FedRAMP, ISO 27002 y PCI.
Además, los clientes buscan garantías de que la fuerza laboral del proveedor de IAM ha sido examinada. El informe recomienda que los jefes de seguridad de TI exijan autenticación multifactor para todos los usuarios administrativos y empresariales de la fuerza laboral, sin excepción, y den prioridad a los proveedores de IAM que adopten principios de seguridad por diseño y seguridad por defecto.
En general, si bien tecnologías como IAM desempeñan un papel de apoyo en la lucha contra los ciberataques, dependen de que las personas tomen las decisiones correctas. Para construir una defensa eficaz, Gillespie dice que las organizaciones necesitan capacitar a personal bien capacitado y consciente de la seguridad que esté respaldado por la tecnología adecuada.
“En lugar de que TI imponga restricciones de acceso arbitrariamente, involucremos a nuestros equipos en la identificación de sus necesidades de acceso”, agrega.
Al priorizar la colaboración y la comprensión, Gillespie afirma que es posible crear un marco de seguridad que realmente proteja tanto a las personas como a las organizaciones para las que trabajan.
