IAM: administración de identidad y acceso. Un acrónimo comúnmente escuchado en TI pero al que muy poco se le presta atención. IAM en realidad lo usamos a diario sin darnos cuenta y es un componente transversal de toda compañía a cualquier nivel.
Por ejemplo, el ingreso a las instalaciones de trabajo usando una tarjeta de proximidad es una aplicación de IAM que lleva mucho años y ha ido evolucionando de manera constante pasando de tarjetas de proximidad a huella, reconocimiento facial e incluso reconocimiento de retina.
Incluso antes de la salida de los computadores el IAM existía de manera manual, los pasaportes, IDs de identificación, número de seguro social o licencia de conducción; todo esto apunta a autenticar la identidad de quien lo porta. Con la evolución y el crecimiento exponencial de la tecnología se evidenció la necesidad de hacer aún más seguro el manejo de las identidades y accesos que se brindaban a los usuarios.
Ahora bien, con la llegada del COVID-19 se incrementó aún más la necesidad de asegurar el IAM pues un usuario y contraseña no es seguridad de que la persona que las está usando sea realmente el dueño de dichas credenciales. En base a esto comenzó la ola de uso de MFA, conditional access, just-in-time, single sign on y uno de los más importantes el Zero Trust.
El modelo de ciberseguridad en malla está especificado como el trabajo de la seguridad perimetral en base a los objetos y personas permitiendo que esto se vuelva escalable, flexible y confiable. Según Gartner el 50% de las solicitudes de IAM para el año 2025 serán realizadas bajo este modelo, principalmente debido a la nueva normalidad impuesta por el COVID 19 en la que la seguridad dejó de estar definida como perimetral y todo lo externo era considerado peligroso mientras que la red interna era concebida segura poniendo un riesgo latente dentro de las compañías.
El concepto de Zero Trust está enfocado en remediar dicha falencia basándose en el principio “Nunca confíes, siempre verifica”. Según estudios el 91% de los ciberataques comenzaron con un correo malicioso, es decir, comenzaron dentro de la “red confiable” de las compañías. Verificar antes de confiar está enfocado en comprobar que el dispositivo que está usando el usuario para su conexión es efectivamente seguro para acceder a la red interna
Las compañías necesitan un proveedor de servicios de seguridad, tener un antivirus, sensores ATP, XDR o similares no es productivo si no se tiene el equipo idóneo para identificar y tratar las amenazas que dichos sistemas pueden reportar.
Se necesitan personas que estén capacitadas en el tema, que ayuden a la compañía a identificar y manejar riesgos o brechas de seguridad y es por esto que Gartner indica que para el 2023 el 40% de estos servicios serán entregados y administrados por profesionales del área y continuará creciendo con cifras de $46.4 billones para el años 2025 según MarketsandMarkets.
En otro aspecto, las grandes compañías incluirán en el ciclo de vida de sus trabajadores más herramientas de verificación de identidad, llegando a un 30% en el 2024 según Gartner y es que, con la llegada del COVID, su larga duración y el trabajo remoto se hace más que necesario asegurar que las credenciales usadas para acceder a la red están siendo usadas en efecto por la persona correcta, en el momento correcto y para las tareas correctas.
Según el Instituto Nacional de Estándares y Tecnología NSIT por sus siglas en inglés, existen tres (3) pasos indispensables para un proceso de verificación de identidad.
- Resolución: Este es el proceso en el cual el usuario es distinguido singularmente dentro del sistema.
- Validación: Consiste en la recolección y revisión del usuario para asegurar que es auténtica y válida.
- Verificación: En este proceso se toma la identidad del usuario indicada y se verifica si efectivamente es cierta.
Blockchain puede ser visto como una base de datos no centralizada, administrada por varios participantes en una red P2P mientras que la información es almacenada en bloques y luego distribuida a todos los participantes de la red. Toda transacción es transparente, segura e inmutable.
A qué vamos con esto? Según Gartner para el 2024 veremos como el IAM va a tender a ser descentralizado reduciendo las fallas actuales del sistema tradicional en cuanto a seguridad y privacidad mientras se espera que el mercado de blockchain alcance los $60 billones para el 2024 haciéndolo una de las tecnologías más llamativas para IAM.
Desde hace ya varios años también se ha venido dando el incremento exponencial de los servicios en la nube y cada día son más lo proveedores y usuarios de dichos servicios, algo que al principio se pensó era costoso y exclusivo de cierto nicho de mercado se ha vuelto tan común que para el 2024 el 14.2% del gasto en TI se encontrará precisamente en los servicios de nube según Gartner.
Es claro que la adopción de la nube posee muchas ventajas como escalabilidad, flexibilidad y eficiencia pero a la misma vez trae consigo retos de seguridad dado el alcance limitado de visibilidad de recursos, falta de auditorías y el necesario uso de autenticación.
¿Cuál es el reto entonces? Estar al día con le evolución de las tecnologías, trabajo remoto, BYOD son situaciones que ponen retos de seguridad y administración a las compañías pues cada vez es más sencillo tener acceso desde cualquier dispositivo a los recursos de una compañía pero así mismo se abre una brecha de seguridad para esos hackers que busca poder obtener acceso a las compañías en busca de información ya sea para secuestrarla o filtrarla a la red.
En este orden de ideas y como se mencionó al inicio opciones como Zero Trust, behavior analytics, machine learning, artificial intelligence están llamadas a ser las herramientas tecnológicas que permitirán a los administradores de TI minimizar los riesgos de seguridad y a su vez estar alineados con las tendencias del mercado.