En los últimos dos años, hemos sido testigos de un cambio significativo en la forma en que las organizaciones gestionan las identidades y el acceso a los recursos críticos. Un factor clave que ha impulsado este cambio ha sido la migración masiva de servidores Exchange locales a Office 365, a menudo impulsada por los requisitos en evolución de Microsoft. En muchos casos, esta no ha sido una decisión de los departamentos de TI o los usuarios finales, sino un mandato.
Si bien Office 365 ofrece numerosas ventajas, la adopción rápida de soluciones en la nube dejó poco tiempo para un análisis profundo de los riesgos asociados. A medida que las empresas migraron a la nube, la atención se centró en asegurar el acceso, con la autenticación multifactor (MFA) convirtiéndose en una prioridad clave. Para algunas empresas, esto implicó adoptar las soluciones de seguridad integradas de Microsoft, mientras que otras optaron por plataformas de gestión de acceso más integrales que cubren no solo Microsoft, sino múltiples sistemas y aplicaciones.
Sin embargo, este rápido cambio hacia la nube y la MFA ha traído consigo desafíos imprevistos. Muchas organizaciones se enfrentan ahora a problemas de control de acceso que no habían anticipado. Por ejemplo, los empleados remotos a menudo retienen acceso a los correos electrónicos corporativos, a Teams y a documentos de Office durante días, o incluso más tiempo, después de dejar la empresa, lo que introduce importantes riesgos de seguridad.
La importancia de la calidad de los datos de identidad en la era de la nube
A medida que más organizaciones se dan cuenta de estas vulnerabilidades, hay un énfasis creciente en la calidad de los datos de identidad. En el panorama actual dominado por la nube, contar con información de identidad desactualizada o incorrecta puede conducir a importantes violaciones de seguridad. Garantizar que los datos de identidad sean precisos y estén actualizados es crucial para proteger tanto los activos de la empresa como la información sensible.
En Soffid IAM hemos observado que la tendencia está cambiando una vez más. Los proyectos de Identity Governance and Administration (IGA), que habían sido retrasados o relegados a un segundo plano en favor de implementaciones inmediatas de MFA, están recuperando impulso. Los departamentos de TI reconocen la necesidad de replantear las estrategias de gestión de identidades para adaptarse a los nuevos desafíos.
Sin embargo, la gestión de identidades en 2024 no se parecerá a lo que era en 2020. Hoy en día, las organizaciones deben adoptar un enfoque convergente en la gestión de identidades, que abarque tanto entornos locales como en la nube. Una estrategia holística debe abordar cuatro aspectos esenciales:
- Quién puede acceder a los recursos de la empresa: El núcleo de la gobernanza de identidades.
- Cómo las personas pueden demostrar su identidad: Una gestión efectiva del acceso.
- Cómo las máquinas y microservicios prueban su identidad: Gestión de la creciente presencia del IoT.
- Cómo rastreamos el acceso a recursos críticos: Asegurando una auditoría y rendición de cuentas adecuada.
PAM como un elemento integrado en la gestión de identidades
Tradicionalmente, el Privileged Access Management (PAM) ha sido tratado como una solución independiente, con su propio marco de gestión de identidades aislado. Sin embargo, esto ya no es necesario. En las estrategias modernas de gestión de identidades, las técnicas y herramientas de PAM deben integrarse en toda la gobernanza de identidades y la gestión de accesos, eliminando la necesidad de sistemas PAM aislados.
Las empresas necesitan políticas y procedimientos que controlen el acceso a los recursos corporativos en función de la criticidad de esos recursos, en lugar de depender de configuraciones específicas de protocolo o usuario. Este cambio reduce la complejidad y mejora la capacidad de gestionar tanto el acceso estándar como el privilegiado de manera unificada.
Cambios clave en la gestión de identidades
Mirando hacia el futuro, vemos tres cambios principales en el panorama de la gestión de identidades:
- Los proyectos de MFA evolucionarán hacia estrategias corporativas completas de gestión de accesos.
- Los proyectos de IGA vuelven a ser una prioridad central para las organizaciones.
- El PAM dejará de ser una solución aislada y se convertirá en parte de un enfoque integral de IGA.
El viento está cambiando en la gestión de identidades, y las organizaciones deben estar preparadas para adaptarse adoptando estrategias holísticas y convergentes que aborden los desafíos actuales y los que están por venir.