¿Qué define una solución completa de Identity Governance y Administración?
Una solución IGA sólida se distingue por ofrecer las siguientes ventajas:
- Ofrece una visión completa de las cuentas y los recursos: IGA debe contener información sobre la identidad, los derechos y los riesgos de cada recurso gestionado, así como la identidad y la función de las personas que acceden a él.
- Proteger contra las aprobaciones automáticas: para evitar las aprobaciones no verificadas de solicitudes de permisos, una solución IGA eficaz incluye flujos de trabajo diseñados específicamente para informar a los propietarios de la información y del negocio, no a los administradores de TI. Para elevar el nivel de inspección de la solicitud, debe ofrecer toda la información pertinente sobre el solicitante y el recurso diseñado para una lectura rápida con indicadores eficaces de productividad y riesgo.
- Atestación sólida: ofrece informes precisos que confirman el cumplimiento continuo en lugar de limitarse a informar sobre instantáneas en el tiempo. Cuando sea necesario, una infraestructura IGA bien diseñada puede proporcionar análisis que confirmen el acceso real de grupos específicos de usuarios. El diseño del informe debe ser rápido de revisar y sencillo de generar e incluir en los informes de certificación. Aunque este nivel de atestación ofrece confianza a los equipos de seguridad, requiere que la gobernanza del acceso tenga una estrecha integración con el ciclo de vida de la identidad y los componentes de gestión del acceso del entorno IGA global.
¿Qué valor específico tiene un entorno IGA completo frente a otras soluciones?
Mientras que el gobierno y la administración de identidades gestionan los derechos y ofrecen una sólida atestación para los auditores de seguridad, tiene el potencial de ser un componente fundacional de la infraestructura de gestión de identidades y accesos de una organización:
- La gestión de derechos es el elemento fundamental de la estrategia de mínimos privilegios de cualquier organización. La seguridad de mínimos privilegios ayuda a proteger contra las amenazas internas, así como a limitar los daños cuando las credenciales de alguien han sido comprometidas y explotadas. Cuando se hace correctamente, se puede utilizar para guiar e invocar las acciones del ciclo de vida de la identidad en lugar de trabajar independientemente de él.
- Uno de los pasos de la incorporación de recursos a una plataforma de gobernanza es definir su riesgo y sus criterios de riesgo. Las definiciones adecuadas del riesgo de los recursos sensibles proporcionan información precisa a los aprobadores y revisores. También pueden ser utilizadas por el servicio de riesgos para dirigir las acciones de gestión de acceso adaptable. Con demasiada frecuencia, los criterios utilizados para los controles de acceso basados en sesiones para posibles acciones de autenticación y autorización se limitan al contexto del usuario (geolocalización, rango de IP, ID del dispositivo, etc.). Tener en cuenta el riesgo del propio recurso ofrece un enfoque más granular y eficaz del acceso adaptable que puede aumentar la seguridad al tiempo que optimiza la experiencia del usuario. Al limitar el número de veces que un usuario es interrumpido para la autenticación multifactor, se reduce la fricción y se optimiza la experiencia del usuario.
¿Qué está haciendo NetIQ para que su solución IGA sea más inteligente?
Aunque lo más importante es establecer una base sólida de IGA, como se ha descrito anteriormente, NetIQ está continuamente ampliando los límites para que la automatización de la gobernanza sea más completa y eficaz a la hora de ayudar a los propietarios de la información a proteger sus datos. Entre las direcciones de desarrollo a corto plazo del gobierno y la administración de identidades dentro de las infraestructuras de gestión de identidades y accesos se incluyen:
- Más allá de proporcionar la mejor información posible en un formato que los aprobadores y revisores puedan comprender rápidamente, la nueva generación de IGA aúna las mejores prácticas de mínimos privilegios y las políticas organizativas para automatizar el análisis de derechos. La elevación automatizada de las puntuaciones de riesgo de su información sensible, así como de los usuarios que acceden a ella, pone de relieve los puntos preocupantes para su revisión y posibles acciones de seguridad.
- El escenario de automatización basado en inteligencia descrito en el punto anterior se complementa mejor con análisis de comportamiento del uso real. Este tipo de análisis puede centrarse en identidades y recursos específicos para reevaluar el riesgo que suponen para la organización.
- Aunque tradicionalmente la IGA no ha incluido la gobernanza del acceso root a los sistemas, es necesario un enfoque más formal para asegurar el acceso a los datos y ejecutables alojados en el servidor. En la medida en que los administradores de sistemas pueden potencialmente eludir varios mecanismos de seguridad, la importancia de asegurar los privilegios de root es obvia. Más allá de la capacidad de delegar y gobernar diferentes niveles de administración, estos superusuarios tienen tanto acceso concedido que la supervisión avanzada de sus acciones relacionadas con el sistema ofrece información forense potencialmente valiosa.
Un entorno IGA bien construido no es fácil de implantar. Conseguir el apoyo de los ejecutivos y los distintos propietarios de la empresa puede ser un proceso largo y desigual. Conseguir que los propietarios de la información incorporen adecuadamente sus recursos requiere una inversión, al igual que mantenerse en contacto con ellos en caso de que se produzcan cambios en su entorno que requieran actualizaciones. Pero el valor de este tipo de inversión en seguridad reporta enormes dividendos. Permite a las organizaciones ser más ágiles en sus operaciones empresariales digitales al tiempo que mantienen bajo su riesgo.
¿Por qué invertir en Identity Governance y Administración?
Una vez comprendida la naturaleza integral de la IGA, la pregunta natural es si este nivel de inversión es necesario para su entorno. Aunque cada organización puede tener requisitos únicos, a continuación se exponen algunas consideraciones comunes que pueden orientar la profundidad y amplitud de la gestión:
Aunque casi todas las organizaciones necesitan proteger su información financiera y de recursos humanos, también pueden tener o no otros tipos de datos sensibles que merezcan ser controlados:
- Información del cliente: este tipo de información varía mucho. Las organizaciones pueden estar sujetas a diversas normativas estatales o federales incluso si están recopilando información de cookies o identidades sociales para personalizar el contenido. También existen otros mandatos mundiales, como el Reglamento General de Protección de Datos (GDPR). Los requisitos del GDPR merecen un nivel de protección IGA porque una vez que se conserva un perfil personal o información financiera, es probable que exista la necesidad de seguridad de mínimo privilegio. También es necesaria la coordinación entre los minoristas y sus proveedores de servicios (PSP) y socios del sector. A menos que estas operaciones sean pequeñas, es difícil imaginarlas cumpliendo los mandatos de privacidad sin una solución madura de gobernanza de la identidad.
- Propiedad intelectual: ya sea en forma de información sobre patentes, competencias técnicas o empresariales básicas u otros secretos comerciales, su violación puede suponer un grave riesgo para la organización. Tanto si las organizaciones automatizan sus procesos de concesión de derechos como si no, es probable que se necesite una revisión cuidadosa de los secretos valorados antes de desarrollar una estrategia de gobernanza.
- Información del paciente: la transformación digital del sector sanitario ha obligado a los proveedores a automatizar la gestión de sus derechos y la certificación de su información regulada. El paso a los historiales médicos electrónicos (EHR) y otra información sanitaria protegida (ePHI) ha dado lugar a protecciones gubernamentales de la privacidad estrictas, concretas y punitivas. Se trata de un sector plagado de las infracciones de mayor coste en comparación con cualquier otro. Más allá de las pérdidas monetarias, las violaciones de los historiales médicos son perjudiciales para la confianza de los pacientes porque incluyen su información más sensible. La información, tanto sanitaria como financiera, puede utilizarse para cometer fraudes.
- Servicios financieros: como otro sector muy regulado, los servicios financieros están sujetos a una serie de normativas diseñadas para evitar la colusión maliciosa y la violación de la privacidad. La privacidad es necesaria para protegerse contra el fraude u otros tipos de robo. Es una afirmación segura que toda institución financiera necesita un gobierno automatizado y se beneficiaría enormemente de una solución que implicara directamente a los propietarios de los datos.