No es como olvidarse de la leche en el supermercado. No es gran cosa, simplemente agrégalo a la lista para la próxima vez. Pero ese tipo de supervisión en la gestión de identidades no es tan fácil de solucionar, y las organizaciones que adopten una solución más adelante pueden encontrar que se convierte en un costoso complemento a su lista de tareas pendientes de seguridad.
Es una situación en la que se encuentran muchas organizaciones. Cisco Duo 2025 Estado de seguridad de identidad informa que el 74% de los líderes de TI admiten que la seguridad de la identidad suele ser una ocurrencia tardía en la planificación de la infraestructura. Como resultado, las empresas se apresuran a incorporar una solución de identidad, a menudo demasiado tarde para evaluar si es la adecuada para sus objetivos de arquitectura, cumplimiento y escalabilidad. Porque a diferencia de la leche, es más difícil regresar más tarde y tomar la solución adecuada.
La gestión de identidades y accesos (IAM) garantiza que las personas y entidades con identidades digitales tengan el nivel adecuado de acceso a los recursos de su empresa. IAM es esencial para todas las empresas, pero elegir la herramienta IAM adecuada depende de las complejidades y requisitos únicos de su organización. Estas son las consideraciones clave para alinear su solución IAM con las necesidades comerciales y mantener la seguridad como una prioridad, no una ocurrencia tardía.
Factor n.º 1: características y funcionalidades que priorizan la seguridad
Matt Caulfield, vicepresidente de Producto e Identidad de Cisco, subraya la importancia de una solución IAM que incluya la seguridad como parte del paquete básico. «Muchos proveedores existentes te pedirán que actives funciones adicionales y tendrás que pagar por ellas para obtener seguridad», afirma.
Cada empresa tiene una arquitectura distinta, ya sea en la nube, local o personalizada. La elección de una plataforma IAM con seguridad integrada garantiza una protección integrada lista para usar y adaptada a sus necesidades. Sin embargo, sólo un tercio de los líderes de seguridad confían en que su proveedor de identidad los protege contra ataques basados en identidad. Por eso es fundamental elegir una plataforma que tenga autenticación, controles de acceso y monitoreo, incluidas estas características:
- Autenticación multifactor (MFA) resistente al phishing, que requiere dos o más factores de verificación de identidad y se alinea con los requisitos de NIS2 (Europa) o el Memorando 22-09 de OMB (EE. UU.).
- Autenticación basada en riesgos para aplicar políticas a aplicaciones específicas o grupos de usuarios donde se detecta alto riesgo. Analiza las solicitudes de autenticación para identificar patrones de actividad consistentes con un ataque.
- Inicio de sesión único verdadero (SSO) permite a los usuarios iniciar sesión de forma fácil y segura en múltiples sistemas operativos, navegadores, aplicaciones web y de escritorio con una autenticación interactiva, en lugar de múltiples interrupciones a lo largo del día.
- Autenticación sin contraseña verifica la identidad mediante datos biométricos, claves de seguridad y aplicaciones móviles especializadas para una experiencia de inicio de sesión de usuario sin fricciones.
- Inteligencia de identidad características para una visibilidad centralizada y para garantizar las mejores prácticas para la detección y respuesta a amenazas de identidad (ITDR) y la gestión de la postura de seguridad de la identidad (ISPM).
Factor #2: Tamaño e infraestructura de la organización
«La identidad es siempre un objetivo en movimiento porque el número y los diferentes tipos de identidades siempre están evolucionando», dice Caulfield. «Si piensas en una organización típica, la gente se va y la gente entra todos los días. Así que ese elemento de ser un objetivo en movimiento es difícil».
Dado que sus necesidades de identidad cambian con el tiempo, planifique con anticipación seleccionando una plataforma IAM que admita su tamaño e infraestructura actuales, así como el crecimiento proyectado. La plataforma debe ser adaptable a medida que el negocio crece y agrega usuarios, aplicaciones y sistemas, aumentando así sus riesgos de seguridad. Busque un proveedor de IAM con un directorio integrado (una base de datos centralizada de sus usuarios y dispositivos) para que pueda escalar y automatizar el aprovisionamiento de usuarios.
La plataforma IAM adecuada dependerá del tamaño de su organización. Las pequeñas o medianas empresas pueden beneficiarse de soluciones que priorizan la facilidad de uso y el soporte útil de los proveedores, mientras que las empresas que operan en entornos grandes y complejos a menudo requieren una solución más avanzada o una combinación de sistemas y herramientas.
Factor #3: Cumplimiento, regulaciones y gobernanza de la industria
Cada industria enfrenta requisitos operativos, regulatorios y de cumplimiento únicos. Sin embargo, la adopción de estándares como FIDO2 sigue siendo baja, con solo 19% de organizaciones que implementan completamente los tokens FIDO2.
Al evaluar las soluciones de IAM, investigue qué plataforma respalda mejor sus marcos de gobernanza local y federal y permite el cumplimiento de FIDO2 u otros estándares. Las industrias altamente reguladas deben evaluar cómo la herramienta maneja el aprovisionamiento y desaprovisionamiento de acceso, y asegurarse de que incluya registros de acceso detallados, pistas de auditoría e informes automatizados.
Considere estos estándares específicos de la industria:
- Finanzas: MFA para respaldar las salvaguardias NIST, FFIEC, NYDFS, NAIC, PCI-DSS y FTC.
- Cuidado de la salud: Autenticación de usuario para el cumplimiento de la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) y la Prescripción Electrónica de Sustancias Controladas (EPCS).
- Educación superior: Proteja los datos y la privacidad de los estudiantes de acuerdo con los estándares FERPA, SOC2 y GDPR.
- Aplicación de la ley: Cumplimiento de la política de Seguridad de los Servicios de Información de Justicia Penal (CJIS) para proteger los datos a nivel local, estatal y federal.
- Legal: Cumplimiento de las Reglas Modelo de Conducta Profesional de la Asociación de Abogados de Estados Unidos, Regla 1.6(a), para garantizar la información confidencial del cliente.
- Minorista: Protección para una fuerza laboral híbrida, sistemas de punto de venta y datos de clientes para cumplir con PCI DSS, GDPR y otros estándares regulatorios.
Más previsión en materia de seguridad, menos ocurrencia tardía
«Hemos descubierto que la seguridad debería ser lo primero. En realidad, no puede ser una idea de último momento», afirma Caulfield. «Necesitamos que se piense en la seguridad de forma predeterminada cuando diseñamos sistemas de gestión de acceso a identidades».
Las plataformas IAM como Cisco Duo adoptan este enfoque de seguridad con autenticación multifactor fácil de usar y resistente al phishing, mejorando la seguridad de las organizaciones al verificar la identidad del usuario, establecer la confianza en el dispositivo y proporcionar conexiones seguras a las redes y aplicaciones de la empresa. La plataforma integral está diseñada para todas las organizaciones y puede adaptarse a las necesidades de protección específicas de una empresa, con múltiples ediciones para diversas infraestructuras e industrias.
Más información sobre dúo cisco y cómo ayuda a las organizaciones a evitar el acceso no autorizado.
Fuente