Gestión de identidades y acceso (IAM)

La IAM automatiza todo el ciclo de vida de la identidad. Admite la gestión de acceso con detalle y el cumplimiento de marcos normativos como RGPD, HIPAA y NIST.

La gestión de identidades y acceso (IAM) consiste en políticas, tecnologías y procesos para gestionar y proteger sus identidades digitales y controlar el acceso a los recursos a lo largo de la superficie de ataque. 

Puede utilizar la seguridad de la IAM para autenticar a los usuarios, definir y aplicar políticas de acceso, y dar a las personas autorizadas acceso a sistemas, datos o aplicaciones específicos. 

El acceso a la identidad es una parte fundamental del trayecto de la gestión de exposición. Puede ayudarle a proteger activos y datos contra accesos no autorizados, vulneraciones y uso indebido de información interna.

La IAM es más que una simple autenticación de usuarios. 

Abarca todo el ciclo de vida de las identidades de usuario, desde la creación y el aprovisionamiento hasta el mantenimiento y la desactivación o eliminación final. 

A medida que cambia a infraestructuras en la nube e híbridas, las herramientas de gestión de identidades son fundamentales para evitar vulneraciones cibernéticas y accesos no autorizados. 

La IAM garantiza un acceso seguro y sin complicaciones a lo largo de toda la superficie de ataque, lo que respalda el cumplimiento de normativas como RGPD e HIPAA y reduce el riesgo cibernético. 

Los controles de acceso de identidad son las prácticas recomendadas de higiene cibernética y controles de seguridad de confianza. En el caso de industrias como finanzas, servicios de cuidado de la salud y el gobierno, la IAM puede ayudarle a aprobar auditorías y cumplir requisitos de marcos como NIST SP 800-53, ISO/IEC 27001 y CMMC.

Los componentes clave de la IAM incluyen la autenticación, que verifica la identidad utilizando métodos como MFA y la autenticación adaptativa; la autorización, que controla los permisos de usuario a través de modelos RBAC o ABAC; la gestión de usuarios, que se ocupa de la creación, el mantenimiento y el desaprovisionamiento de cuentas; y la gestión de roles, que asigna y adapta los niveles de acceso con base en las actividades laborales.

Autenticación

La autenticación verifica las identidades de usuarios, dispositivos o sistemas mediante contraseñas, datos biométricos o tokens de seguridad. Con la MFA, los usuarios deben verificar su identidad utilizando varios métodos, especialmente en situaciones de alto riesgo. La autenticación adaptativa ajusta los requisitos con base en el contexto, como solicitar verificación adicional si un usuario inicia sesión desde una ubicación poco habitual.

Después de la autenticación, puede aplicar los principios de privilegios mínimos para asegurarse de que los usuarios tengan la cantidad justa de acceso para hacer su trabajo y nada más. 

Autorización

La autorización controla lo que los usuarios autenticados pueden hacer en su entorno. Aplica políticas que definen los niveles de acceso a recursos, aplicaciones y datos.  

El control de acceso basado en roles (RBAC) utiliza permisos de roles predefinidos.

El control de acceso basado en atributos (ABAC) es más preciso. Este establece permisos con base en atributos como cargos o la ubicación del empleado. 

Gestión de usuarios.

La gestión de usuarios crea, ajusta, gestiona y elimina cuentas de forma dinámica a medida que cambia la fuerza de trabajo y evolucionan las relaciones con terceros.

Las auditorías periódicas garantizan que el acceso de los usuarios coincida con los roles actuales para evitar que los permisos obsoletos planteen riesgos de seguridad. 

Las soluciones de gestión de identidades y acceso de Tenable utilizan líneas de referencia de comportamiento y puntuaciones de riesgo en tiempo real para descubrir anomalías, de modo que pueda abordar de forma proactiva las posibles amenazas basadas en la identidad.

Gestión de roles

La gestión de roles simplifica los controles de acceso. Asigna automáticamente permisos a las funciones laborales. 

En lugar de que los equipos de seguridad gestionen de forma manual los complejos derechos de acceso, el sistema de IAM define los roles y, posteriormente, concede el nivel de acceso adecuado de forma automática.

Las tres fases del ciclo de vida de la IAM: 1. Inscripción para recibir credenciales seguras. 2. Mantenimiento: monitoreo, actualización y auditoría de los derechos de acceso. 3. Desaprovisionamiento para revocación de acceso.

Inscripción

La IAM asigna a los usuarios una identidad digital única con un nombre de usuario y credenciales durante la inscripción.

Dependiendo de sus políticas de seguridad específicas, esto puede incluir controles adicionales como MFA, biometría u otros tokens de seguridad.

El sistema crea tokens de API o identidades federadas en la nube para que los usuarios no tengan que utilizar nombres de usuario y contraseñas.

Mantenimiento

Durante el mantenimiento, las herramientas de IAM no están inactivas. Se adaptan automáticamente a la evolución de la superficie de ataque y a las cambiantes necesidades de negocios. 

Por ejemplo, cuando un empleado cambia de departamento, la IAM puede recalibrar los derechos de acceso de forma automática con base en políticas de seguridad predefinidas.

Desaprovisionamiento

El desaprovisionamiento es el último paso del ciclo de vida de la IAM. Revoque automáticamente el acceso de los usuarios cuando ya no sea necesario, como cuando un empleado deja su organización.

El desaprovisionamiento va más allá de la eliminación de cuentas de usuario. Es el cierre total del acceso. Cuando se desprovisiona una cuenta, se revoca todo: contraseñas, certificados, tokens. Esto ayuda a disminuir el riesgo de amenazas internas y puede impedir que antiguos empleados u otros exsocios tengan acceso persistente a los sistemas.

Tipos de soluciones de IAM: IAM local, IAM basada en la nube e IAM híbrida. La CIAM es otro tipo, pero es para identidades de clientes externos, no de usuarios internos.

IAM local

Puede hospedar sistemas de IAM local dentro de su infraestructura en sitio para obtener más control sobre los sistemas internos y coincidir con las políticas de seguridad y los requisitos de cumplimiento. 

Las capacidades estándar de la IAM local son la autenticación de usuarios, el control de acceso y el inicio de sesión. 

El mantenimiento de las herramientas de IAM local requiere muchos recursos. Es difícil de escalar y hay problemas de integración en la nube.

IAM basada en la nube

Con una IAM basada en la nube, puede transferir la gestión de la infraestructura a proveedores terceros. Estas herramientas funcionan muy bien en el caso de fuerzas de trabajo distribuidas o remotas. 

Funcionalidades clave: inicio de sesión único (SSO), MFA y aprovisionamiento automatizado.

Por ejemplo, Tenable Cloud Security se integra con proveedores de identidad como Okta para optimizar el acceso de los usuarios a los recursos en la nube. 

IAM híbrida

Los sistemas de IAM híbrida combinan las soluciones de IAM local e IAM basada en la nube. 

Al tener más flexibilidad, puede controlar los recursos internos y escalar con la nube. También garantiza controles de acceso sistemáticos en ambos entornos para lograr una gestión de identidades sin complicaciones. 

La IAM híbrida es especialmente beneficiosa si tiene una combinación de infraestructura de TI local tradicional y aplicaciones y servicios en la nube. Esta admite el acceso seguro para todos, independientemente de su ubicación. También admite identidades federadas y autenticación en varios sistemas sin credenciales. 

Sin embargo, la implementación de la IAM híbrida es compleja y requiere una integración cuidadosa.

Gestión de identidades y acceso de clientes (CIAM)

Las herramientas de gestión de identidades y acceso de clientes gestionan las identidades en los puntos de contacto digitales de los clientes, como el sitio web y las aplicaciones, o la tecnología en sitio, como los quioscos.

Inicio de sesión único (SSO), MFA y OAuth/OpenID Connect (OIDC).

Inicio de sesión único (SSO)

El SSO permite que los usuarios inicien sesión una vez sin tener que volver a introducir nombres de usuario y contraseñas. Una vez aprobados, los usuarios podrán acceder a varios sistemas o herramientas sin tener que iniciar sesión por separado.

Autenticación multifactor (MFA)

La MFA pide a los usuarios dos o más verificaciones, como una contraseña, un código SMS o datos biométricos.

Incluso si un atacante roba las credenciales del usuario, la MFA puede reducir las posibilidades de acceso no autorizado.

Muchas soluciones de IAM tienen MFA en los ajustes de seguridad predeterminados para disminuir la dependencia de contraseñas.

Lenguaje de Marcado de Aserción de Seguridad (SAML)

El Lenguaje de Marcado de Aserción de Seguridad (SAML) ayuda a los sistemas a decir quién es quién, quién puede acceder a qué y cuándo. Admite SSO y facilita la gestión de identidades.

OAuth y OpenID Connect

OAuth y OpenID Connect (OIDC) son herramientas de autorización que permiten que las aplicaciones de terceros realicen tareas o accedan a recursos sin compartir inicios de sesión. 

OAuth permite que un usuario conceda acceso limitado sin compartir credenciales. 

OpenID Connect agrega la autenticación.

Evalúe su postura de seguridad. Descubra brechas en las políticas. Comprenda el riesgo. Identifique quién necesita acceso. Cree políticas que permitan que las personas adecuadas accedan de manera segura a lo que necesitan.

Evalúe su postura de seguridad

Analice en profundidad los controles de acceso existentes. ¿Qué funciona? ¿Dónde hay problemas? ¿Qué pasa con los roles de usuario, la confidencialidad de los datos, la criticidad de los activos y las posibles amenazas? ¿Dónde tiene puntos ciegos o brechas de seguridad? ¿Dónde puede utilizar la IAM para reducir el riesgo? ¿Cómo gestiona las identidades en la nube?

Un consejo útil: Integrar la gestión de derechos de infraestructura en la nube (CIEM) puede ayudarle a gestionar mejor los derechos de identidad de servicios complejos.

Defina políticas y controles de acceso

Después de la evaluación de la seguridad, elabore políticas de acceso. 

Defina quién puede acceder a qué, para qué roles y en qué condiciones.

Alinee estas políticas con los niveles de garantía de identidad (IAL) y los niveles de garantía de autenticación (AAL) basados en el riesgo. Siga marcos de referencia como las Pautas de identidad digital del NIST para reducir los riesgos de incumplimiento.

Intégrese con los ecosistemas de TI

Su IAM debe integrarse con sus otros sistemas. Y no solo con la TI en sitio, sino también con los servicios en la nube y las aplicaciones de terceros. 

Esto garantiza una gestión de acceso sistemática que funciona como está previsto, en todas partes, sin inconvenientes ni brechas de seguridad.

Pruebas y optimización constantes

La implementación de la IAM es continua y requiere pruebas y optimización periódicas. Para garantizar que los sistemas de la IAM puedan resistir las amenazas emergentes, realice escaneos de vulnerabilidades de rutina, pruebas de penetración y otras revisiones de seguridad para optimizar las políticas de control de acceso, mejorar los procesos de gestión de usuarios y cumplir los estándares de cumplimiento.

Tenable recomienda la gestión de postura de seguridad de identidades (ISPM). La ISPM monitorea de forma proactiva su superficie de ataque para detectar errores de configuración, exceso de privilegios y rutas de ataque basadas en identidades. La integración de herramientas de gestión de identidades y acceso como Tenable Identity Exposure puede mitigar los riesgos antes de que un atacante los descubra en lugar de reaccionar después de que se produzca una filtración de datos.

Auditorías y revisiones periódicas

Las auditorías y revisiones periódicas garantizan que los sistemas de la IAM sigan las políticas de acceso. También son útiles para detectar las brechas de seguridad de forma proactiva. Sus auditorías de rutina deben evaluar la eficacia de la IAM y las asignaciones de derechos de acceso. 

Compare los controles de la IAM con marcos como Controles CIS v8 y MITRE ATT&CK para confirmar sus estrategias de gestión de identidades y acceso. Utilice las integraciones para simplificar este proceso.

Por ejemplo, muchas organizaciones utilizan los servicios de identidad de Tenable para reducir sus superficies de ataque relacionadas con la identidad.

Educación y capacitación de los usuarios

Incluso con fuertes controles de IAM, los errores humanos siguen ocurriendo. Eso aumenta el riesgo de filtración de datos, y es el motivo por el que la educación de los usuarios debe formar parte de su estrategia de la IAM. 

Instruya a los empleados sobre la necesidad de contraseñas seguras. Aborde los peligros de los ataques de phishing y cómo utilizar herramientas de IAM como MFA para reducir la posibilidad de filtración de datos.

La capacitación sobre IAM debe ser continua. Organice actualizaciones de rutina sobre las tendencias de seguridad actuales y las prácticas recomendadas. 

Además, asegúrese de que sus empleados comprendan los derechos de acceso y por qué los tienen. 

Monitoreo continuo y alertas

Monitoree constantemente la actividad de los usuarios para descubrir intentos de acceso no autorizados, escalación de privilegios y comportamientos sospechosos.

El monitoreo puede descubrir de manera proactiva actividades anómalas, tales como intentos de acceso no autorizados, escalación de privilegios e inicios de sesión sospechosos. 

Las herramientas de alerta en tiempo real son útiles en este caso para que sus equipos de seguridad puedan responder rápidamente a los posibles problemas de seguridad con el fin de reducir el alcance de la filtración de datos y evitar otros daños, como la exfiltración de datos o el ransomware.

Su solución de IAM debe integrarse con su sistema de gestión de información y eventos de seguridad (SIEM) para tener visibilidad de la superficie de ataque. 

La integración con la SIEM admite el seguimiento de la actividad del usuario, la detección de incidentes de seguridad y el cumplimiento. 

Supervisión de la gestión de acceso privilegiado (sistema de PAM)

El sistema de PAM es un componente clave de la IAM. Puede utilizarlo para gestionar el acceso al sistema y a los datos. 

Las herramientas del sistema de PAM controlan y monitorean las actividades del usuario con derechos de acceso elevados. Estas pueden ayudar a disminuir el riesgo de agentes internos. Un sistema eficaz de gestión de identidades privilegiadas garantiza que las asignaciones de cuentas privilegiadas se realicen en función de la necesidad de saber.

La supervisión del sistema de PAM garantiza que los usuarios con privilegios administrativos no abusen del acceso. Otras herramientas del sistema de PAM aplican los principios de privilegios mínimos y requieren una verificación adicional para acceder a recursos confidenciales. 

Integración de la respuesta ante incidentes

Integre la IAM con sus procesos de respuesta ante incidentes para responder rápidamente a las de seguridad que se originen en las cuentas de usuario. Luego podrá desactivar rápidamente las cuentas que hayan sufrido vulneraciones y bloquear las actividades sospechosas para tener tiempo de investigar la causa principal de la anomalía. 

Cuando los equipos responsables de la seguridad de la IAM colaboran con los equipos de respuesta ante incidentes, se pueden limitar los daños que ocasionan los ataques cibernéticos, reducir el tiempo de inactividad y proteger los activos más críticos. 

Ayude a los equipos de respuesta ante incidentes a comprender cómo utilizar las herramientas de IAM para gestionar las puestas en riesgo. 

Asegúrese de que conozcan las restricciones de acceso y sepan cómo restaurar los sistemas a un estado anterior seguro (o con quién ponerse en contacto). 

La integración de la IAM con flujos de trabajo automatizados de respuesta ante incidentes reduce el tiempo de contención y refuerza los procesos de mitigación basados en políticas.

Exposición de identidades

La exposición de identidades representa la posibilidad de puesta en riesgo o exposición de las credenciales de los usuarios.

La solución de IAM debe mitigar la exposición de identidades mediante protocolos de autenticación sólidos, como MFA. La herramienta también debe almacenar las credenciales con cifrado de manera segura. Esto es importante porque muchos de los atacantes cibernéticos actualmente tienen como objetivo las identidades de los usuarios. La arquitectura de Zero Trust (ZTA) colabora con la IAM para reducir las posibilidades de éxito de los ataques a las identidades de los usuarios.

Acceso justo a tiempo (JIT)

El acceso justo a tiempo (JIT) permite que los usuarios accedan temporalmente a los recursos solo cuando lo necesitan. 

JIT reduce la superficie de ataque al garantizar que los usuarios no tengan derechos de acceso innecesarios después de haber completado sus tareas. 

Puede utilizar el método de control de acceso justo a tiempo cuando los usuarios necesiten mayores privilegios para actividades específicas, pero no los necesiten de forma permanente.

JIT también ayuda a aplicar privilegios mínimos. Limita el tiempo que los usuarios pueden acceder a recursos confidenciales y le ofrece un mayor control sobre quién puede acceder a sus sistemas críticos.

Gestión de derechos de infraestructura en la nube (CIEM)

La CIEM amplía la IAM a entornos en la nube mediante la asignación y protección de derechos de usuario complejos en servicios como AWS, Azure y GCP.

Por ejemplo, con Tenable Cloud Security, puede visualizar derechos complejos de la nube y descubrir riesgos de identidades.

Las herramientas de CIEM de Tenable descubren permisos de alto riesgo y sugieren corrección con privilegios mínimos en toda la nube.

La CIEM también puede descubrir permisos mal configurados, que pueden exponer datos confidenciales de forma inadvertida.

Ampliación del ciclo de vida de la identidad

La administración y gobierno de identidad (IGA) amplía las capacidades básicas de la IAM para la supervisión de identidades —desde la incorporación hasta el desaprovisionamiento— con mayores capacidades de aplicación de políticas. 

Puede utilizar la IGA para gestionar todo el ciclo de vida de los derechos de identidad.

Auditorías e informes de cumplimiento

Los registros de auditoría y los informes de cumplimiento le ofrecen información detallada sobre la actividad de los usuarios, las solicitudes de acceso y los cambios en los permisos de los usuarios.

Aplicación del acceso con privilegios mínimos

El acceso con privilegios mínimos es la base de Zero Trust. La IAM desempeña un rol fundamental a la hora de aplicar este concepto, ya que garantiza que los usuarios solo obtengan los permisos que necesitan cuando los necesitan. 

Zero Trust verifica usuarios y dispositivos constantemente. Basa las decisiones de acceso en información en tiempo real, no en credenciales estáticas. 

La IAM es la base de Zero Trust. Utilícela para verificar constantemente los usuarios, los dispositivos y el contexto de acceso en tiempo real para detener el movimiento lateral.

La información sobre activos y vulnerabilidades es clave para Zero Trust. Zero Trust de Tenable admite la verificación constante de activos, usuarios y aplicaciones para evitar el acceso no autorizado y reducir el movimiento lateral.

Autenticación y verificación constantes

Zero Trust (confianza cero) significa no confiar nunca. Siempre verificar, pero hay que hacerlo más de una vez.

La herramienta de IAM debe monitorear constantemente a sus usuarios y luego volver a autenticarlos. Debe adaptar el acceso y el permiso en tiempo real y ajustarse a cambios como una nueva ubicación o dispositivo.

La ITDR identifica y mitiga las amenazas relacionadas con la identidad. 

Monitoreo de actividad anómala

La ITDR monitorea de forma constante y automática los intentos de inicio de sesión, el acceso al sistema y el comportamiento de los usuarios. La IA y el aprendizaje automático pueden descubrir rápidamente actividades sospechosas en cuanto se producen. 

Automatización de la mitigación de incidentes

Cuando algo parece inusual, la IAM puede bloquear las cuentas, restringir el acceso o enviar alertas automáticamente para que se realice una autenticación adicional.

Aprovisionamiento de acceso a corto plazo

En ocasiones, los empleados precisan acceso a algo a lo que normalmente no tienen acceso, por ejemplo, para un proyecto o tarea específicos. 

La IAM concede acceso a corto plazo con restricciones y controles de acceso. Posteriormente, puede revocar de forma automática los privilegios cuando el usuario no los requiera.

La clave en este caso es utilizar prácticas de privilegios mínimos para que los usuarios solo obtengan el acceso suficiente para lo que necesitan hacer y nada más.

Análisis de identidades impulsado por IA

La IA está cambiando la IAM rápidamente. 

El aprendizaje automático y otras herramientas ahora pueden anticipar las amenazas a la seguridad con base en la inteligencia de amenazas del mundo real y el monitoreo de actividades. 

Cuando descubre comportamientos inusuales, puede automatizar tareas que solía hacer de forma manual, como las revisiones de acceso. Es una herramienta de seguridad avanzada y proactiva que puede detectar las amenazas de identidad con mayor rapidez y precisión.

Inteligencia de amenazas de identidades

La inteligencia de amenazas de identidad introduce datos de amenazas en tiempo real en los sistemas de la IAM. Analiza los vectores de ataque conocidos y los patrones de comportamiento riesgosos para descubrir y detener los ataques basados en identidades.

Mejora de integraciones e DevSecOps

La integración de la IAM con DevSecOps garantiza controles de acceso y verificaciones de seguridad sistemáticos a lo largo del ciclo de vida del desarrollo del software. Le ayuda a acelerar la detección (shift left) para descubrir vulnerabilidades y errores de configuración antes de la implementación.

Descripción general de las principales plataformas de IAM

Varias plataformas de IAM tienen capacidades de gestión de identidades y acceso con funcionalidades como autenticación de usuarios, control de acceso, informes de cumplimiento y otras integraciones. Las principales plataformas de IAM frecuentemente incluyen funcionalidades avanzadas como MFA, SSO y sistema de PAM.

Criterios de selección de la solución de IAM

Si está buscando una solución de IAM, debe evaluar detenidamente los productos con base en sus necesidades específicas, tales como la integración en la nube, la escalabilidad y la facilidad de uso.

Cuando busque una solución de IAM, haga las siguientes preguntas al proveedor:

• ¿Cómo ayuda la solución a aplicar el acceso con privilegios mínimos y a gestionar las identidades privilegiadas para reducir la superficie de ataque?
• ¿Monitorea constantemente las actividades sospechosas y detecta las anomalías de forma automática?
• ¿Qué marcos de cumplimiento y normas reglamentarias sigue?
• ¿Cómo simplifica los informes de auditoría?
• ¿Cómo se integra con plataformas nativas en la nube y entornos híbridos?
• ¿Aplica el acceso justo a tiempo y gestiona las credenciales temporales?
• ¿Dispone de herramientas sólidas de administración y gobierno de identidad?
• ¿Cómo proporciona visibilidad en tiempo real hacia la exposición de identidades?

La IAM evoluciona para hacer frente a la creciente complejidad de las superficies de ataque modernas. A medida que lo hace, las herramientas son cada vez más rápidas y eficaces a la hora de gestionar identidades, permisos y roles de usuarios, al tiempo que mitigan los accesos no autorizados y las amenazas internas. 

Las soluciones modernas de gestión de identidades también disponen de información en tiempo real sobre el comportamiento de los usuarios, y utilizan la IA y el aprendizaje automático para detectar amenazas y responder a ellas. 

A medida que más organizaciones adopten Zero Trust y den prioridad a los privilegios mínimos, la IAM será esencial para la seguridad, el cumplimiento y las integraciones en la nube sin complicaciones.

¿Qué es un gerente de IAM?

Un gerente de IAM supervisa los ciclos de vida de la identidad digital, aplica las políticas y garantiza el cumplimiento del sistema. Tenable proporciona a los gerentes de IAM visibilidad hacia los riesgos basados en identidades y flujos de trabajo de corrección automatizados.

¿Qué son las herramientas de gestión de identidades y acceso?

Las herramientas de gestión de identidades y acceso protegen las identidades y controlan el acceso a los recursos. Tenable ofrece herramientas de IAM tales como Tenable Identity Exposure para escanear constantemente los entornos de Active Directory (AD) con el fin de detectar errores de configuración y riesgos de escalación de privilegios.

¿Qué son las soluciones de gestión de identidades?

Las soluciones de gestión de identidades gestionan, monitorean y aprovisionan el acceso en todo el ciclo de vida del usuario. Las capacidades de gestión de identidades de Tenable incluyen análisis avanzados de identidades, CIEM y detección de amenazas en tiempo real.

¿Qué es el software de gestión de identidades?

El software de gestión de identidades incluye aplicaciones que aplican políticas de acceso y gestionan el aprovisionamiento, el desaprovisionamiento y las revisiones de acceso de los usuarios. Las herramientas de gestión de identidades de Tenable son compatibles con entornos de TI convencionales y nativos en la nube.