El campo de los softwares de gestión de acceso e identidad (IAM) está proliferando. Las organizaciones necesitan acceso seguro a sus sistemas críticos para combatir el creciente número de ataques cibernéticos que causan las tan terribles violaciones de datos.

Pero IAM también es un mercado segmentado, con productos distintos que hacen cosas diferentes. Por ejemplo, la administración de accesos privilegiados (PAM) y la administración de identidad convencional tienen diferentes propósitos.

La administración de identidades convencional trata principalmente con cuentas de usuario asociadas con login personales. La mayoría de las organizaciones utiliza estos productos para aprovisionar y desaprovisionar a los usuarios. Pero estas mismas organizaciones no siempre piensan en inicios de sesión privilegiados. Ahí es donde entra en juego el PAM, otorgando acceso elevado a todas las identidades privilegiadas.

Las identidades privilegiadas no son administradas por los sistemas estándar de gestión de identidades. A diferencia de las identidades de los usuarios, las identidades con privilegios no se proveen normalmente. En su lugar, aparecen en la red cada vez que se implementan o cambian los activos de TI físicos y virtuales.

Gestionando y asegurando todas las identidades

En un nivel fundamental, un usuario regular y un usuario privilegiado son diferentes. Si las identidades de los usuarios son las llaves que llevan los empleados para acceder a la puerta principal de la oficina, las identidades privilegiadas son las que usan los guardias de seguridad para ingresar a cada puerta del edificio de oficinas.

Un usuario habitual, como José, tiene una identidad digital en un entorno de TI. Todo en la infraestructura de TI conectada a el se remonta a esa identidad. Quizás el sea parte de un determinado grupo de Active Directory porque necesita acceso a un sistema de archivos en particular. O quizás José necesita ingresar a SharePoint, o cualquiera de la multitud de activos de TI en un entorno que los empleados pueden necesitar usar.

Las identidades privilegiadas, por otro lado, no se asignan a una sola persona. Pueden ser utilizados por muchas personas. Pero a veces ni siquiera las utilizan las personas, como las identidades creadas para ejecutar cuentas de servicio. PAM debe tener en cuenta el hecho de que las personas que usan una identidad privilegiada pueden ser diferentes en un momento dado. Por lo tanto, es esencial tener una forma de rastrear quién tiene acceso privilegiado y controlar lo que están haciendo con ese acceso.

Si bien las identidades de los usuarios y las identidades privilegiadas sirven para diferentes funciones, comparten la necesidad de control y supervisión. Considere esto: ¿cuáles son las consecuencias de no gestionar sus identidades? Para las identidades de los usuarios, las implicaciones son bien conocidas. Incluyen la falta de información sobre quién tiene acceso a qué, y los usuarios que tienen demasiado acceso a demasiados sistemas. Las consecuencias por ignorar el PAM pueden no ser tan conocidas, pero posiblemente sean más graves. Los ataques cibernéticos que superan la seguridad del perímetro pueden explotar identidades privilegiadas no administradas y obtener un acceso elevado en la red. Y los usuarios con acceso privilegiado pueden causar problemas serios, ya sea por accidente o diseño.

Tales consecuencias graves requieren una solución que pueda administrar y asegurar todo tipo de identidades para obtener una vista completa del contexto de identidad para las decisiones relacionadas con el acceso.

Gobernanza de Identidad

La gobernanza de identidad permite a las empresas modernas ver una visión completa del riesgo relacionado con la identidad. Ella ofrece un enfoque estrechamente integrado al ciclo de vida de todas las identidades, incluidos los empleados, socios, proveedores e alto liderarzgo.

Una política que impone cómo y cuándo un administrador autorizado tiene acceso a una identidad privilegiada es el ámbito de PAM. Pero, ¿cómo se “autoriza” ese administrador? Esta es una decisión comercial y es exactamente el tipo de elección que un sistema de gobernanza de identidad puede administrar y rastrear. A medida que los empleados cambian los roles de trabajo y, finalmente, abandonan la organización, la gobernanza permite que la empresa mantenga intacta la seguridad en cada punto de decisión del ciclo de vida.

Históricamente, las soluciones PAM y de gestión de identidad existían como silos, soluciones separadas que no funcionaban juntas para mitigar las amenazas cibernéticas. Como resultado, la gobernanza de la identidad carecía de visibilidad en las cuentas privilegiadas. Al mismo tiempo, PAM carecía de la supervisión y la visibilidad completas proporcionadas por la gobernanza de identidad.

La reducción de este enfoque en silos en la gestión de la identidad empresarial requería el siguiente paso: una solución automatizada que pudiera proporcionar y controlar sin problemas el acceso para los usuarios finales, los administradores de TI y otros tipos de usuarios basados en las políticas y la certificación de gobernabilidad empresarial.

La integración de BeyondTrust y SailPoint

Una nueva integración de tecnología entre PasswordSafe de BeyondTrust y IdentityIQ de SailPoint brinda a las organizaciones la visibilidad y el control centralizado que necesitan para controlar el acceso de las cuentas privilegiadas y no privilegiadas.

La integración aprovecha la API SCIM (System for Cross-domain Identity Management) integrada en el Módulo PAM de IdentityIQ de SailPoint, que permite que las cuentas privilegiadas y los derechos asociados sean visibles y administrados durante todo el proceso de control de identidad. Esto permite el aprovisionamiento automatizado de cuentas con privilegios para los nuevos usuarios finales que los requieren en función de su función de trabajo, membresías de grupo o rol empresarial. Y les permite a los gerentes recertificar o eliminar cuentas privilegiadas innecesarias de forma periódica y / o basada en eventos.

Comienza con dos piezas clave de información: ¿quién es el usuario y a qué grupos El pertenece? Cuando los usuarios forman parte de un grupo en particular, se les otorgan permisos para acceder a los datos de ese grupo. Esto le da a TI una vista de las asignaciones de roles y el acceso de los usuarios, así como los cambios continuos de roles. La adición y eliminación de acceso se proporciona automáticamente cuando los empleados cambian de rol, lo que garantiza que cada usuario solo tenga acceso adecuado en todo momento.

Aquí hay un escenario del mundo real: Jan es un empleado nuevo. Eso significa que el se embarca en TI. Hay un proceso automatizado que pone a Jan en IdentityIQ como una identidad. A partir de ahí, según el departamento en el que trabaja Jan, quién es su gerente y otros puntos de decisión, a Jan se le asignan cuentas en varios sistemas. Supongamos que Jan necesita una cuenta para autenticarse en Password Safe. IdentityIQ obtiene información sobre Jan de los diversos puntos de datos y luego provee una cuenta en Password Safe. También le dirá a Password Safe los grupos a los que Jan pertenece. Eso le dará a Jan los permisos que necesita para trabajar con Password Safe.

Otro escenario: un auditor de seguridad quiere ver todas las cuentas que existen y todos los usuarios habilitados para acceder a esas cuentas. IdentityIQ puede informar sobre los permisos de acceso para varios sistemas, cualquiera que sean: Service Now, SharePoint, Password Safe. En el caso de Password Safe, le diría a SailPoint, cuando se le pregunte: ¿cuáles son todas las cuentas y cuáles son todos los privilegios que vienen con esas cuentas? Considérelo una vista detallada de la información de identidad importante. Me contó sobre los usuarios de los grupos, déjeme decirle a qué grupo de miembros les permite acceder.

Esencialmente, la integración de SailPoint - BeyondTrust proporciona a TI la visibilidad de todas las identidades y el acceso en una sola plataforma de gobernanza de identidad. Eso facilita la detección de usuarios con un riesgo excesivo relacionado con la identidad. Mientras tanto, el liderazgo obtiene la supervisión que necesita para asegurarse de que TI está tomando decisiones racionales que alinean el acceso adecuado con las necesidades comerciales.

Es una doble ventaja. El riesgo de seguridad de acceso privilegiado se mitiga, mientras que la eficiencia operativa de TI aumenta.