Durante los últimos meses se ha hablado mucho de los cambios experimentados y del ritmo al que se han producido. Hemos visto cómo se ha transformado la prestación de servicios, la rapidez con la que se han implementado nuevas aplicaciones, cómo se han desarrollado nuevos flujos de trabajo y nuevas formas de atender a nuestros clientes. Además de que nuestra capacidad para adaptarnos a las condiciones cambiantes ha sido impresionante.
Un avance que exigirá una recompensa en forma de deuda de seguridad relacionada con la identidad, cada vez más grande, y que debe pagarse … ¡o recuperarse! Esta evolución hacia lo digital ha sido beneficiosa de muchas maneras. Pero también nos ha obligado a entrar en un ámbito en el que la naturaleza de la identidad digital debe reconsiderarse y reinventarse en algo que se implementa dentro de las organizaciones y que es mucho más que un simple acceso. Un complejo ejercicio mediante el cual las personas y, en última instancia, las cosas (máquinas, aplicaciones, servidores, dispositivos, etc.), obtienen los permisos necesarios para realizar sus tareas.
Los derechos de acceso del CEO de una empresa pública le permiten acceder a información privilegiada de todo tipo. Un acceso privilegiado que se gestiona y asegura para evitar, por ejemplo, que llegue información sensible al mercado antes de un anuncio de ingresos y ganancias. Pero, ¿y si se pudiera obtener esa información por otros medios? ¿Qué pasa si, por ejemplo, un atacante hace creer que el sueldo de un ejecutivo, en determinados momentos del año, no reflejara ninguna bonificación y que, por tanto, no se han alcanzado los objetivos? Y que, probablemente, ¿el stock se hunda cuando se anuncie esta información?
La identidad y el acceso del gestor de las nóminas también se convierte en un problema
En este caso, la identidad y el acceso del gestor de las nóminas también se convierte en un problema, por lo que debe protegerse y administrarse de tal forma que ellos, y solo ellos, puedan acceder a esos datos privilegiados. Lo cual suele ser un punto ciego para muchas empresas, ya que, a menudo, solo miran cómo asegurar las rutas obvias a los activos críticos, pero no tienen en cuenta la necesidad de asegurar otras cosas que pueden ser críticas en determinadas circunstancias.
Por otro lado, tenemos el problema de la mala gestión del ciclo de vida. En entornos on-premise el resultado se denomina “permisos huérfanos”, mientras que en la nube se habla de “permisos excesivos”. Estos permisos son generalizados y se crean, por ejemplo, cuando las personas se unen a una tarea y luego pasan a otra. Los permisos de la función anterior no se retiran, por lo que la situación se replica con servicios que ya no se utilizan. En cada caso, los atacantes pueden utilizarlos para acceder a datos y activos potencialmente confidenciales. De ahí que abunde el acceso no administrado asociado con diversas identidades humanas y no humanas.
Durante el último año y medio, con la urgencia por reposicionarse o, en algunos casos, simplemente por sobrevivir, estos problemas a los que hacemos referencia han aumentado en las empresas. En algunos casos, los empleados tuvieron que llevarse el portátil de la oficina a casa y usar cualquier conexión a Internet o se implementaron servicios en la nube para realizar funciones que la infraestructura local ya no podía realizar.
Todo ello ha provocado que se hayan tenido que crear nuevas identidades y nuevos derechos de acceso. Para una organización de tamaño medio, cada nuevo servicio en la nube, cada nueva herramienta de colaboración o cada nueva aplicación de cara al cliente significa cientos (o miles), de nuevos conjuntos de credenciales, cuyo potencial aprovechan los ciberdelincuentes.
Los CISO que planifican un futuro híbrido probablemente sean conscientes del riesgo relacionado con la identidad que se ha creado
Los CISO que planifican un futuro híbrido probablemente sean conscientes del riesgo relacionado con la identidad que se ha creado. Y lo que va a pasar es lo que siempre vemos respecto al acceso y la seguridad: intentarán agregar seguridad a todos los accesos que se hayan creado después de hacerlo. En este sentido, los CISO se encontrarán con el problema de intentar efectuar un cambio de comportamiento y los trabajadores que tienen acceso de administrador a los sistemas, protegidos a través de una VPN con MFA débil, intentarán rechazarlo. Por lo que el hecho de imponer el mínimo privilegio en los endpoints remotos creará roces.
Por todo lo que se ha mencionado anteriormente, lo que se ha contraído durante un período muy corto de tiempo, y a una escala inimaginable, es una enorme deuda de seguridad relacionada con la identidad. La forma en que los profesionales de la seguridad aborden esto definirá cuán vulnerables serán nuestros datos y activos, al menos durante el resto de 2021 y hasta 2022.