Un enfoque holístico de la seguridad: administración de identidades y accesos (IAM)

La administración de identidades y accesos (IAM) va mucho más allá de la simple noción de autenticación de usuarios. Si bien ese es sin duda un punto central, los entornos de trabajo modernos requieren cambios en la infraestructura de IT para que los usuarios permanezcan seguros mientras son productivos desde cualquier dispositivo, a través de cualquier red y físicamente en cualquier lugar. Ahí es donde los flujos de trabajo de IAM modernizados, acoplados con las integraciones propias y de terceros, son fundamentales para ampliar el acceso a través de una mayor flexibilidad y, al mismo tiempo, mejorar la seguridad para todas las partes interesadas.

Noviembre 17 2022 por

Jesus Vigo

Viewport offering a deep, fisheye view into a long hallway and all angles

Cuando se piensa en la identidad y el acceso, por lo general el primer ejemplo que aparece en la mente de muchos administradores de IT es la autenticación. Profundizando un poco más en la madriguera del conejo, llegamos al aprovisionamiento de cuentas de usuario. Esto nos lleva a este tema que no se puede ignorar y que se debe abordar de manera efectiva para proteger la información confidencial: las contraseñas.

Es un flujo de trabajo simple y que ha servido como piedra angular para proteger el acceso a los recursos de usuarios no autorizados. Una combinación de ocho a doce caracteres y números —tal vez algunos más si su organización quiere que la contraseña sea un poco más difícil de descifrar— es todo lo que se interpone entre un actor malicioso y los datos críticos de la organización o los datos confidenciales de privacidad personal y del usuario.

Pero... ¿es suficiente? Antes de responder a esta pregunta, reflexione sobre la siguiente estadística y continúe leyendo sobre por qué exactamente la IAM es importante a la hora de establecer flujos de trabajo de identidad y acceso dentro de su organización.

"Un tercio (29%) de las organizaciones tuvieron al menos un usuario que cayó en un ataque de phishing en 2021". – Jamf Threat Labs

Por qué es importante la IAM

Proteger eficazmente los recursos del panorama de amenazas de hoy en día significa algo más que una contraseña segura. Si bien eso sigue siendo importante, sin duda, como señala la estadística anterior, casi un tercio de las organizaciones experimentarán al menos un usuario autorizado que será víctima de un ataque de phishing. Esto significa que, independientemente de la seguridad relativa de la contraseña del usuario afectado o de las políticas de contraseñas que se implementen para limitar la debilidad de la contraseña, ninguna de estas prácticas hará nada para evitar el acceso no autorizado si el usuario simplemente entrega sus credenciales.

Para hacer frente a esto, además de otros desafíos de seguridad que afectan a la administración del acceso y la autenticación de usuarios, las soluciones de administración de identidades y accesos deben trabajar con la seguridad. Al fin y al cabo, tiene sentido que los flujos de trabajo de administración y seguridad, que trabajan para mantener seguros los recursos de la organización, deban trabajar en la misma infraestructura, ¿no es así?

Jamf Connect es un ejemplo perfecto de cómo funciona esta interconectividad entre la IAM y la seguridad no solo para proteger la autenticación, sino también para acceder continuamente a los recursos de forma segura al garantizar que los flujos de trabajo sean continuos y estén alineados con todo lo demás con lo que interactúa un usuario, independientemente del dispositivo.

Autenticación moderna

La identidad está firmemente arraigada en la protección de todo, desde los dispositivos y las cuentas de usuario hasta los recursos organizacionales, ya es algo en lo que las organizaciones están invirtiendo y confiando para impulsar la experiencia de los empleados. Al combinar esto con proveedores de identidad en la nube, como Google, Microsoft y Okta, junto con muchos otros, IT puede habilitar la implementación sin contacto y optimizar el aprovisionamiento de cuentas en función de los atributos y la administración de la identidad en la nube del usuario que se extienden mucho más allá de las paredes físicas de la oficina.

Esto no solo garantiza que una solución de IAM fácil de usar autentique las apps corporativas en todos los dispositivos, incluidos los móviles, sino que se extiende a todos los recursos de la organización —locales y basados en la nube— administrando de forma segura el acceso, independientemente del tipo de dispositivo, el nivel de propiedad o desde dónde pueda estar trabajando el usuario.

Aplicación obligatoria de políticas

Las políticas de acceso integradas en las soluciones de IAM ayudan a fortalecer la seguridad de varias maneras. Una de ellas es mediante la incorporación de evaluaciones de riesgo de dispositivos basadas en políticas, los equipos de IT y seguridad se aseguran de que se tenga en cuenta la postura de riesgo del dispositivo. Volvamos al ejemplo anterior en el que se proporcionó la contraseña de un usuario a un actor malicioso durante un ataque de phishing. Una política vinculada al acceso condicional, mediante la integración con Microsoft o Google, daría como resultado un flujo de trabajo que limitaría automáticamente los permisos de acceso de los usuarios vinculados a las credenciales comprometidas, lo que restringiría eficazmente el acceso a los recursos de la organización.

Otro ejemplo aprovecha el acceso a la Zero Trust Network Access o ZTNA , del que hablaremos un poco más adelante. Al utilizar ZTNA —un componente central de Jamf Private Access— se requiere un usuario autorizado para permitir el acceso a apps empresariales críticas. Además, una política de dispositivos autorizada restringe el acceso solo a los dispositivos de su flota que estén permitidos por los equipos de IT y seguridad.

Panorama moderno de amenazas

Al igual que el panorama informático moderno ha cambiado enormemente los entornos de trabajo a través de la adopción de dispositivos móviles y la migración de las organizaciones a entornos de trabajo remotos/híbridos, el panorama moderno de amenazas ha evolucionado muy a nuestro pesar, desafiando a los actores maliciosos a desarrollar formas inteligentes pero novedosas de continuar hostigando tanto a sus dispositivos como a sus usuarios en su búsqueda por obtener datos organizacionales.

Las soluciones eficaces de la IAM requieren controles de seguridad adaptables y flexibles que se extiendan mucho más allá del perímetro de la red de la oficina. Una de estas prácticas evalúa continuamente la postura de riesgo de un dispositivo, como mencionamos anteriormente, pero continúa haciéndolo durante toda la sesión. Después de todo, asegurarse de que un dispositivo no esté comprometido antes de permitir el acceso es una cosa, pero ¿qué sucede si deja de cumplir con la normativa durante la sesión? El resultado final seguiría siendo el mismo: un acceso no autorizado.

Para mitigar este riesgo, la evaluación continua de riesgos a través de ZTNA o el acceso condicional aprovecha las políticas sensibles al contexto que otorgan o rechazan el acceso a datos, aplicaciones y recursos confidenciales, mientras que la naturaleza basada en la nube ofrece a IT protecciones de red efectivas y escalables para satisfacer las demandas de sus necesidades únicas. Todo ello sin necesidad de administrar dispositivos de seguridad, configuraciones de software complejas o costosos contratos de soporte.

Mucho más que conectar a los usuarios con los recursos

Seguimos insistiendo en la palabra "moderno" porque es importante discernir entre el mero hecho de proporcionar un mecanismo de autenticación y la miríada de protecciones que se ofrecen más allá de las autenticaciones que proporciona una verdadera solución de administración de identidades y accesos.

Piense en la IAM como una pieza de rompecabezas. Si bien es una solución por derecho propio, capaz de operar de forma independiente, es mucho más potente cuando se combina con otras soluciones como parte de una estrategia más amplia de defensa en profundidad. Al igual que la pieza del rompecabezas que es una imagen en sí misma, la imagen completa no se revela a menos que todas las piezas caigan en la ubicación correcta.

Algunos de los beneficios de seguridad son inherentes, mientras que otros son posibles gracias a la integración con soluciones propias y de terceros, como:

Una contraseña para controlar todo

Unificar la administración de identidades en todas las aplicaciones empresariales y los recursos de la organización es algo que mencionamos anteriormente. La estandarización de las protecciones en toda la infraestructura, en particular en los distintos dispositivos administrados y no administrados que acceden a ella, es posible gracias a la habilitación del inicio de sesión único (SSO). Esto no solo agiliza la administración del acceso para IT, sino que el flujo de trabajo simplificado hace que los usuarios tengan que recordar solo una contraseña, sin hacer malabarismos con múltiples credenciales que pueden (o no) incumplir con las políticas de la empresa.

Además, el SSO alivia la carga de administrar múltiples servicios, cada uno con su propio conjunto de credenciales, al sincronizar las contraseñas entre los recursos corporativos y los puntos finales de su Mac en segundo plano, lo que ofrece un IdP que funciona para todas las partes interesadas.

Dos es mejor que una

Las contraseñas tienen sus pros y sus contras cuando se trata de seguridad. Si bien son un aspecto aceptado para asegurar el acceso a los recursos, no están exentas de dolores de cabeza, tanto desde la perspectiva del administrador como del usuario. Si a esto le añadimos lo que dijimos anteriormente sobre la seguridad de las contraseñas y cómo, a pesar de los mejores esfuerzos, un ataque de phishing puede eludir fácilmente todos los controles, excepto los más fuertes, nos encontramos deseando algo mejor y más eficaz a la hora de proteger los recursos.

La autenticación multifactor (MFA) proporciona precisamente eso al exigir a los usuarios que atestigüen que son quienes dicen ser utilizando una combinación de factores:

  • Algo que sabes
  • Algo que tienes
  • Algo que eres, que es parte de ti

La activación de esta funcionalidad en Jamf Connect y en su IdP garantiza que el usuario adecuado en el dispositivo adecuado sea el que solicite acceso a los recursos de la organización, lo que minimiza el riesgo de que los datos confidenciales caigan en las manos equivocadas.

Nunca confíe, verifique siempre

Mencionamos ZTNA anteriormente y, en esta sección, analizaremos algunos de los beneficios para la seguridad que las organizaciones pueden obtener al extender la IAM con ZTNA.

En primer lugar, los microtúneles. El concepto de tunelización de datos no es nuevo en el mundo de la seguridad. Después de todo, las VPN lo han estado haciendo durante décadas. Pero recuerde que estamos hablando de soluciones modernas, no de soluciones heredadas, y las VPN heredadas ciertamente tienen varios problemas de seguridad que solo ZTNA puede resolver —y resuelve— cuando se establece en el contexto del panorama de amenazas moderno.

Los microtúneles son una de estas soluciones, ya que cada recurso protegido requiere su propio microtúnel único cuando los usuarios solicitan acceso. En lugar de otorgar acceso a toda la red como las VPN heredadas, ZTNA utiliza microtúneles independientes para asegurar el acceso a cada recurso. Esto se hace para garantizar que el tráfico esté segmentado entre sí para evitar ataques laterales a la red, pero también garantiza que, si una aplicación se ve comprometida, solo sea necesario denegar el acceso a la aplicación afectada, lo que permite a los usuarios seguir siendo productivos en las aplicaciones/recursos no afectados mientras IT resuelve el problema.

Otro desafío que aborda ZTNA son los problemas de utilización del ancho de banda de la red, ya que este opera cada microtúnel en el dispositivo y en la red sin necesidad de que el tráfico se devuelva a través del hardware de la VPN. Un beneficio adicional de funcionar de manera tan eficiente es el uso de la tecnología de túnel dividido que identifica automáticamente el tráfico empresarial, asegurándolo a través de un microtúnel, mientras que el tráfico no comercial se enruta directamente a Internet, preservando la privacidad del usuario y asegurando los datos de la organización sin comprometer ninguno de los dos.

Lo mejor de todos los mundos

Ampliar las capacidades para aprovechar las soluciones propias y de terceros es una capacidad poderosa en una IAM moderna, la cual no debe pasarse por alto si se tiene en cuenta que la seguridad, al igual que la tecnología, evolucionan a un ritmo increíble. Quizás en el pasado su organización solo requería una solución local de IdP y MDM para administrar de manera integral su flota de Apple. Pero hoy en día, la organización depende de que sus empleados trabajen de forma remota y, como tal, las necesidades actuales requieren soluciones de IdP, MFA y MDM basadas en la nube solo para que funcione la parte de administración de dispositivos e identidades de su infraestructura.

Si avanzamos rápidamente, tal vez ese requisito se amplíe para incluir la defensa frente a amenazas móviles y una mayor capacidad de administración de accesos, como el ZTNA. Una solución IAM flexible marcará la diferencia en el mundo a la hora de abordar las necesidades actuales y futuras de su organización.

Considere las contraseñas una vez más. ¿Qué pasaría si le dijéramos que hay una manera de implementar una solución MFA para proporcionar una capa adicional de seguridad a las solicitudes de acceso y eliminar las contraseñas por completo? ¿Es posible o segura la autenticación de Mac sin contraseña?

¡Sí, y definitivamente, sí! (Nos atrevemos a decir, incluso más segura).

Descubra Jamf Unlock, el flujo de trabajo sin contraseña hecho posible cuando se integran Jamf Connect + Jamf Pro y un dispositivo basado en iOS con la versión 14.0 o posterior. Debido a que las contraseñas en sí mismas pueden crear agujeros de seguridad, incluidos los derivados de la exposición debido a transgresiones de datos, pérdidas por ataques de phishing o simplemente ser demasiado débiles o fáciles de adivinar, un flujo de trabajo de autenticación sin contraseña puede evitar estos problemas de seguridad por completo. Todo ello mientras mantiene a su personal seguro y sus datos protegidos, al tiempo que proporciona una experiencia perfecta para el usuario final.

Conclusiones clave:

  • La administración de identidades y accesos es un paso fundamental para satisfacer las necesidades del lugar de trabajo moderno de "trabajar en cualquier lugar"
  • Un componente integral en una estrategia eficaz de defensa en profundidad de soluciones de seguridad en capas que trabajan juntas para mitigar las amenazas
  • Habilite implementaciones sin contacto y optimice los flujos de trabajo de aprovisionamiento de cuentas aprovechando el IdP en la nube
  • La IAM basada en políticas alinea la administración de cuentas con las políticas de la organización, estandarizándolas y extendiéndolas a todos los dispositivos de la infraestructura
  • Habilite flujos de trabajo de autenticación simplificados que aprovechen el inicio de sesión único y la autenticación multifunción para mejorar y proteger la experiencia del usuario
  • Amplíe las capacidades mediante la integración con soluciones propias y de terceros para satisfacer sus necesidades actuales, al mismo tiempo que proporciona los cimientos para satisfacer las necesidades futuras
  • Evite por completo los problemas de seguridad basados en contraseñas implementando de manera imperceptible un flujo de trabajo de autenticación sin contraseña con Jamf Unlock

***

Esta publicación forma parte de una serie sobre un enfoque holístico de seguridad. Vea un resumen de todas las publicaciones, o lea alguna de las siguientes:

¿Sigue confiando en contraseñas seguras y complejas, pero que se olvidan o se pierden fácilmente, para mantener seguros los recursos de la organización?

¡Huya del pasado! Viva en un futuro sin contraseñas con una solución moderna de administración de identidades y accesos.

Suscribirse al Blog de Jamf

Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.