Cómo gestionar identidades no humanas

por

En la era digital, la TI se está volviendo cada vez más orientada a los servicios, basada en la nube y respaldada por tecnologías de inteligencia artificial (IA). Como resultado, ha habido un rápido crecimiento en las interacciones digitales entre personas, procesos y cosas.

Cada uno de estos actores o entidades tiene una identidad, y es esencial que las organizaciones puedan administrar esas identidades y controlar con qué recursos pueden interactuar por razones comerciales, de seguridad, privacidad y cumplimiento.

Las organizaciones están familiarizadas con la gestión y el control del acceso a las identidades humanas, pero el número cada vez mayor de identidades no humanas es un fenómeno relativamente nuevo. En consecuencia, la gestión de estas identidades es un territorio relativamente desconocido y hay poco o ningún apoyo para hacerlo en las aplicaciones, procesos y enfoques tradicionales de gestión de identidades y acceso (IAM).

Las identidades digitales son el núcleo de la transformación digital, la seguridad de la información y la privacidad, por lo que es extremadamente importante para las empresas asegurarse de que tienen la capacidad de administrar todas las identidades de manera efectiva y eficiente en un entorno comercial, regulatorio y de TI que cambia rápidamente.

Uno de los cambios significativos que se han estado produciendo es el rápido crecimiento en el volumen y número de diferentes tipos de identidades no humanas. Si no se garantizan las capacidades integrales de gestión de identidades para estas identidades, así como las identidades humanas, es probable que las organizaciones se expongan a riesgos comerciales, de seguridad y de cumplimiento.

Por lo tanto, es importante que las organizaciones reconozcan dónde y cómo se utilizan las identidades no humanas en sus entornos de TI y se aseguren de que cuentan con los sistemas y procesos necesarios para gestionarlos correctamente.

Las identidades no humanas están surgiendo en cuatro áreas principales: dispositivos, administración de TI, infraestructura definida por software (SDI) y tecnologías de inteligencia artificial (AI).

Dispositivos

El grupo más visible de identidades no humanas que interactúan con los recursos de TI de la empresa son los dispositivos, que van desde los dispositivos personales hasta los industriales y conectados a Internet que componen el Internet de las cosas (IoT). Los dispositivos con identidades que deben administrarse en el contexto empresarial incluyen:

  • Computadoras de escritorio y portátiles
  • Teléfonos inteligentes
  • Tabletas
  • Cámaras e impresoras conectadas a la red
  • Sensores industriales
  • Contadores inteligentes
  • Robots industriales
  • Dispositivos autónomos

Administración de TI

Dentro de la administración de TI, también es necesario administrar varios tipos de cuentas que no están vinculadas a una sola persona, sino a roles y grupos dentro de la administración de TI. Éstas incluyen:

  • Cuentas compartidas
  • Cuentas de servicio
  • Cuentas técnicas

Infraestructura definida por software

SDI se refiere a la infraestructura informática que está completamente bajo el control del software sin intervención humana o de un operador. Opera independientemente de las dependencias específicas del hardware y es extensible mediante programación. Esto ha dado lugar a que varias entidades interactúen con otras entidades y tengan sus propias identidades que deben ser administradas. Éstas incluyen:

  • Contenedores
  • Servicios / microservicios
  • Redes
  • Interfaces de programa de aplicación (API)

Inteligencia artificial

Las tecnologías de IA han introducido un conjunto completamente nuevo de entidades en el entorno de TI empresarial que tienen identidades que deben administrarse. Estas entidades incluyen:

  • Bots de chat
  • Bots utilizados en la automatización de procesos robóticos (RPA)
  • Procesos analíticos
  • Algoritmos de autoaprendizaje y auto-modificación

Un nuevo enfoque de IAM

La transformación digital, por lo tanto, ha introducido una amplia gama de nuevos tipos de identidad, lo que significa que las organizaciones deben cambiar la forma en que se acercan a IAM.

En la era digital, por lo tanto, la gestión de identidad debe incluir no solo a los empleados, socios, contratistas, clientes y consumidores, sino también a todas las entidades no humanas mencionadas anteriormente. Esto es necesario para cumplir con los requisitos de seguridad y privacidad, mientras que al mismo tiempo permite el crecimiento del negocio, la interacción entre consumidores y clientes sin fricciones y servicios y contenido personalizados.

Como mínimo, las empresas deben tener el control de todas las entidades que interactúan con sus sistemas. Por lo tanto, las empresas deben trabajar para eliminar las cuentas compartidas para que todas las entidades humanas o no humanas que interactúan con los sistemas tengan una identidad que pueda ser administrada y utilizada para aplicar el Principio de Mínimo Privilegio, así como para la autenticación, autorización, visibilidad, trazabilidad y responsabilidad. propósitos. Ninguna entidad debe poder interactuar con los sistemas de TI a menos que tenga una identidad única que pueda vincularse a un propietario que pueda asumir la responsabilidad de las acciones de esa entidad.

También es esencial que las organizaciones tengan una forma estándar y basada en políticas de administrar las identidades privilegiadas, que son objetivos comunes de compromiso para los ciberdelincuentes. Las identidades no humanas privilegiadas no deben pasarse por alto. Los sistemas de gestión de acceso de privilegios (PAM), por lo tanto, deben admitir identidades no humanas privilegiadas para máquinas, procesos, microservicios y contenedores tanto en entornos de producción como de desarrollo o DevOps, donde se sigue este modelo.

Sin embargo, en el contexto de la transformación digital, las empresas deben ir aún más lejos para asegurarse de que cuentan con la estrategia adecuada y una arquitectura de TI poco acoplada, extensible y orientada al servicio para permitir una transición fluida al modelo como servicio. tanto en términos de consumo de servicios (para reducir costos e impulsar la productividad) como de provisión de servicios (para agregar nuevas fuentes de ingresos y mejorar la participación del consumidor / cliente).

El éxito de la transformación digital depende de la capacidad de gestionar el acceso de todos y todo a cada servicio digital. Esto significa tener una comprensión completa de todas las identidades en juego (humanas y no humanas), comprender sus relaciones y tener una forma coherente y basada en políticas para gestionarlas y asegurarlas.

Tejidos de identidad

Una forma en que las organizaciones podrían administrar el acceso de todos y todo a cada servicio digital es habilitando identidades descentralizadas que se pueden crear una vez de acuerdo con los estándares acordados y que los propietarios de la identidad pueden mantener fácilmente, quienes luego pueden dar su consentimiento para que esas identidades se reutilicen como tantas veces como sea necesario para otorgar o denegar el acceso según las políticas de acceso centralizado que se pueden aplicar de forma dinámica en el momento del acceso.

Este enfoque está obteniendo un apoyo cada vez mayor de los proveedores que adoptan el concepto de Identity Fabrics e incluyen soporte para dispositivos y cosas. En el futuro, las organizaciones deben planificar para respaldar todo tipo de identidades y asegurarse de tener las herramientas para comprender el nivel de garantía proporcionado por cada tipo de identidad para que puedan tomar decisiones informadas sobre cómo esas identidades pueden usarse para transacciones o interacciones específicas usando riesgo. puntuación basada en sistemas de autenticación y autorización adaptables.

Para la mayoría de las empresas, esto significará realizar cambios fundamentales en su arquitectura de TI para volverse más ágiles y flexibles al separar la identidad y las aplicaciones, y proporcionar los sistemas backend necesarios para realizar todas las conexiones necesarias mediante interfaces de programa de aplicaciones (API) que unen servicios, microservicios y contenedores en la nube (públicos y privados) y en las instalaciones.

Estos cambios darán como resultado un backend de identidad digital convergente o un tejido de identidad que puede ofrecer como utilidad todos los servicios de identidad (incluido el registro, la verificación, la gobernanza, la seguridad y la privacidad) requeridos por el creciente número de nuevos servicios digitales habilitados por la transformación digital que consumir activamente servicios de identidad.

El término «estructura» se utiliza para describir un conjunto de componentes de TI habilitantes conectados que funcionan juntos como una sola entidad. Un tejido de identidad, por lo tanto, es un concepto, no una sola herramienta, que trata de conectar a cada usuario con cada servicio y se centra en administrar todo tipo de identidades de manera consistente, administrar el acceso a los servicios y respaldar la federación de identidades externas de terceros. -proveedores de partes, así como sus propios servicios de directorio.

El concepto de tejidos de identidad se refiere a una infraestructura lógica que permite el acceso de todos y todo a cualquier servicio dentro de un marco coherente de servicios, capacidades y bloques de construcción que son parte de una arquitectura general bien definida y poco acoplada que se entrega y utilizado de forma homogénea a través de API seguras.

Los tejidos de identificación, por lo tanto, se centran en entregar las API y las herramientas requeridas por los desarrolladores de servicios digitales para admitir enfoques avanzados para la gestión de identidades, como autenticación adaptativa, capacidades de auditoría, servicios de federación integrales y autorización dinámica a través de estándares abiertos como OAuth 2.0 y OpenID Connect. En el contexto de las identidades no humanas, el concepto de tejido de identificación es un punto de partida útil porque proporciona una forma centralizada, no aislada, coherente y basada en políticas de gestionar todas las identidades.

Recomendaciones

IAM nunca ha sido más desafiante ya que el mundo de la TI se vuelve cada vez más orientado a los servicios, móvil y basado en la nube. Estos cambios incluyen una proliferación de identidades no humanas, algo que ninguna organización puede permitirse pasar por alto mientras mejoran sus capacidades de IAM a corto, mediano y largo plazo. A corto plazo, es fundamental que todas las organizaciones:

  • Identificar dónde y cómo las entidades no humanas interactúan con sus sistemas de TI.
  • Asegúrese de que todas estas entidades tengan identidades únicas que se puedan administrar
  • Identifique todas las identidades no humanas con acceso privilegiado
  • Asegúrese de que los sistemas PAM estén instalados y configurados para administrar identidades no humanas privilegiadas

A medio y largo plazo, las organizaciones deben adaptarse a una nueva forma de hacer negocios en un mundo cada vez más digital y basado en servicios. Por lo tanto, IAM debe evolucionar para convertirse en un servicio similar a una utilidad de identidad que sea fácil de consumir y flexible para respaldar los requisitos comerciales emergentes en entornos de TI empresariales modernos heterogéneos y cada vez más híbridos.

Las organizaciones pueden utilizar el concepto de tejido de identidad para proporcionar todos los servicios de una manera estandarizada que se integre a los sistemas IAM heredados, cuando sea necesario, al tiempo que pueden ofrecer un conjunto escalable y completo de servicios de identidad centralizados, consistentes e integrados a los que se accede a través de API seguras para cumplir desafíos de IAM nuevos, emergentes y futuros, que incluyen la gestión de identidades no humanas.

Las organizaciones pueden preparar sus capacidades de IAM para el futuro adoptando un enfoque basado en servicios para permitir que cualquier persona o cualquier cosa se conecte a todo mediante identidades descentralizadas. Para allanar el camino, la organización debe:

  • Evaluar y comprender el estado de los sistemas IAM actuales
  • Comprender los tipos de identidades humanas y no humanas que deberán ser atendidas después de la transformación digital.
  • Definir las capacidades y los servicios de un futuro Identity Fabric en función de estos requisitos
  • Identificar las brechas entre el estado actual y futuro deseado de la gestión de identidades.
  • Definir un tejido de identidad futuro construido sobre una plataforma API de identidad
  • Seleccionar un conjunto apropiado de tecnologías para los servicios centrales de un futuro Identity Fabric y construir una arquitectura de TI poco acoplada, extensible y orientada a servicios
  • Identificar qué tecnologías existentes se pueden utilizar y si es necesario migrarlas a un modelo basado en servicios y cuándo hacerlo y planificar una migración por fases.
  • Examinar las API que utilizan las tecnologías elegidas para definir una capa de API estable y consistente.
  • Educar a los arquitectos y desarrolladores de software sobre cómo utilizar estas API
  • Definir políticas centrales para permitir una gobernanza de acceso coherente en toda la empresa.

Estos pasos permitirán a la organización comenzar a construir servicios digitales basados ​​en un tejido de identidad a prueba de futuro para proporcionar un conjunto centralizado de servicios que permitan un enfoque coherente para la gestión de acceso, el gobierno y la administración de la identidad (IGA), el consentimiento y la privacidad.