Video: 6TO SECUNDARIA (CIENCIAS SOCIALES) MARTES 17/11/2020 (Noviembre 2024)
El robo de identidad es un gran problema para todos, pero especialmente para aquellos en seguridad de TI. Para combatir este problema, las empresas necesitan un enfoque fuerte pero cuidadosamente administrado y controlado para el gobierno de la identidad. Eso es especialmente difícil porque implica administrar cuidadosamente quién tiene acceso a las aplicaciones y servicios, y asegurarse de que la información se registre adecuadamente y sea fácilmente accesible para aquellos que la necesiten. Si alguien no autorizado compromete la puerta de enlace de red privada virtual (VPN) que utiliza su empresa para el acceso remoto, entonces debe comenzar su reparación sabiendo exactamente quién tiene acceso a la puerta de enlace y exactamente qué derechos controlan cada uno de esos usuarios.
La gobernanza de la identidad también implica cumplir con las reglamentaciones que rigen la privacidad de los datos, incluida la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) para los datos de atención médica y el Reglamento General de Protección de Datos (GDPR) de la UE. El RGPD exige que se verifiquen las identidades y se instituya la autenticación multifactor (MFA) para cualquier persona que acceda a cualquier información de identificación personal (PII). Una gobernanza de identidad sólida también significa adoptar un enfoque híbrido para la gestión de identidad (IDM) en la nube y en las instalaciones. Este enfoque híbrido para la gobernanza requiere el uso de un proceso unificado, según Darren Mar-Elia, Jefe de Producto del proveedor de IDM empresarial Semperis. En la reciente Conferencia de Protección de Identidad Híbrida en la ciudad de Nueva York, PCMag se encontró con Mar-Elia para conocer sus mejores prácticas en materia de gobierno de identidad.
PCMag (PCM): ¿Qué implica el IDM híbrido?
Darren Mar-Elia (DME): un sistema IDM híbrido es solo un sistema de identidad que se ha extendido de forma local a la nube, y generalmente es para dar acceso a aplicaciones basadas en la nube.
DME: Muchas empresas ejecutan AD y lo han ejecutado durante años. Ahí es donde se guardan sus nombres de usuario y contraseñas, y es donde se guardan las membresías de su grupo. Todas esas cosas pueden llegar a la nube, o puede crear cuentas desde cero en la nube y aún tener AD local. Ahora tiene un sistema de identidad basado en la nube que le otorga acceso a aplicaciones en la nube, y es solo una forma de proporcionar identidad. En otras palabras, quién soy y a qué tengo acceso en un entorno de nube, ya sea Microsoft Azure o Amazon, o lo que sea.
PCM: ¿Dónde se usa el tablero de software real para administrar ese tipo de gobierno?
DME: Microsoft, por supuesto, proporciona un portal de administración para administrar las identidades de la nube. También hay una pieza local que le permite hacer esa sincronización con Microsoft Azure Active Directory; entonces controlas esa pieza. Esa es una pieza de software que ejecutaría y administraría, asegúrese de que funcione y todo eso. Dependiendo de la flexibilidad que necesite, puede hacer más desde su portal. Obviamente se está ejecutando en la nube de Microsoft, y le está dando una visión de su inquilino. Entonces tiene un inquilino que define a todos sus usuarios y todo su acceso a las aplicaciones.
PCM: ¿Para qué tipos de aplicaciones necesita administrar el acceso?
DME: en el caso de Microsoft, puede administrar el acceso a aplicaciones de Office como Exchange, SharePoint y OneDrive. Esas son las aplicaciones que normalmente administraría en ese entorno. Y administrar significa dar acceso, digamos, al buzón de alguien para poder enviarlo en nombre de otro usuario o poder hacer informes. Por ejemplo, puede ver cuántos mensajes se enviaron a través de mi sistema y a dónde se enviaron. En el caso de SharePoint, podría estar configurando sitios a través de los cuales las personas pueden colaborar o especificando quién puede otorgar acceso a esa información.
PCM: ¿Cuáles son los desafíos clave para abordar IDM en la nube versus local?
DME: Creo que el gran desafío es poder hacerlo de manera consistente tanto en la nube como en las instalaciones. Entonces, ¿tengo el acceso correcto en las instalaciones y en la nube? ¿Tengo demasiado acceso en la nube en comparación con lo que tengo en las instalaciones? Por lo tanto, es importante tener en cuenta ese tipo de disparidad entre lo que puedo hacer en las instalaciones y lo que puedo hacer en la nube.
PCM: ¿Cuál es la mejor manera de lograr el equilibrio entre IDM local y lo que hago en la nube?
DME: ya sea el aprovisionamiento de usuarios, la gestión de acceso de usuarios o la certificación de usuarios, todas esas cosas deben tener en cuenta el hecho de que puede estar en múltiples identidades de nube además de en las instalaciones. Entonces, si estoy haciendo una revisión de acceso, no debería ser solo de las cosas a las que tengo acceso local. También debería ser, ¿a qué tengo acceso en la nube si estoy haciendo un evento de aprovisionamiento? Si estoy en la función de trabajo de recursos humanos (RR. HH.), Tendré acceso a aplicaciones en las instalaciones, así como en la nube. Cuando me aprovisionen para esa función de trabajo, debería tener todo ese acceso otorgado. Cuando cambio las funciones de trabajo, debería tener todo ese acceso para esa función de trabajo eliminado, y eso es local y en la nube. Ese es el desafío.
PCM: ¿Qué papel juega el aprendizaje automático (ML) en IDM o identidad híbrida?
DME: Los proveedores de identidad en la nube tienen visibilidad sobre quién inicia sesión, desde dónde inician sesión y con qué frecuencia lo hacen. Están utilizando ML en esos grandes conjuntos de datos para poder inferir patrones entre esos diferentes inquilinos. Entonces, por ejemplo, ¿hay inicios de sesión sospechosos en su inquilino; ¿El usuario inicia sesión desde Nueva York y luego cinco minutos después desde Berlín? Ese es un problema de ML esencialmente. Está generando muchos datos de auditoría cada vez que alguien inicia sesión, y está utilizando modelos de máquina para básicamente correlacionar patrones que pueden ser sospechosos. En el futuro, creo que ML se aplicará a procesos como las revisiones de acceso para poder inferir el contexto de una revisión de acceso en lugar de solo darme una lista de grupos en los que estoy y decir "sí, debería estar en este grupo "o" no, no debería estar en ese grupo ". Creo que es un problema de orden superior que probablemente se resolverá eventualmente, pero esa es un área donde creo que ML ayudará.
PCM: En cuanto a ML ayudando en IDM híbrido, ¿esto significa que está ayudando tanto en las instalaciones como en la nube?
DME: Hasta cierto punto, eso es cierto. Existen productos tecnológicos particulares que recopilarán, por ejemplo, datos de auditoría o de interacción de AD entre AD local y también datos de identidad en la nube, y podrán mostrar eso con el mismo tipo de lista de riesgos donde hay inicios de sesión sospechosos. AD o en la nube. No creo que sea perfecto hoy. Desea pintar una imagen que muestre un cambio contextual perfecto. Si soy un usuario en un AD local, lo más probable es que si estoy comprometido, podría estar comprometido tanto en AD local como en Azure. No sé si este problema se ha resuelto por completo todavía.
PCM: Usted ha hablado sobre "aprovisionamiento de derechos de nacimiento". ¿Qué es esto y qué papel juega esto en IDM híbrido?
DME: el aprovisionamiento de derechos de nacimiento es simplemente el acceso que obtienen los nuevos empleados cuando se unen a una empresa. Se aprovisionan con una cuenta y qué acceso obtienen, y dónde se aprovisionan. Volviendo a mi ejemplo anterior, si soy una persona de recursos humanos que se une a la empresa, obtengo un anuncio creado. Probablemente obtendré un Azure AD, tal vez a través de la sincronización, pero tal vez no, y tendré acceso a un conjunto de cosas para hacer mi trabajo. Pueden ser aplicaciones, pueden ser archivos compartidos, pueden ser sitios de SharePoint o pueden ser buzones de Exchange. Todo ese aprovisionamiento y concesión de acceso debe ocurrir cuando me uno. Esa es la provisión de derechos de nacimiento esencialmente.
PCM: También ha hablado de un concepto llamado "estampado de goma". ¿Cómo funciona?
DME: Las reglamentaciones para muchas empresas que cotizan en bolsa dicen que tienen que revisar el acceso a los sistemas críticos que contienen información personal, datos de clientes e información confidencial. Por lo tanto, debe revisar el acceso periódicamente. Por lo general, es trimestral, pero depende de la regulación. Pero, por lo general, la forma en que funciona es que tiene una aplicación que genera esas revisiones de acceso, envía una lista de usuarios en un grupo en particular a un gerente responsable de ese grupo o aplicación, y luego esa persona tiene que certificar que todos esos usuarios todavía pertenecer a ese grupo. Si está generando muchos de estos y un gerente está sobrecargado de trabajo, es un proceso imperfecto. No sabes que lo están revisando. ¿Lo están revisando tan a fondo como lo necesitan? ¿Es realmente que estas personas todavía necesitan acceso? Y eso es lo que estampa el caucho. Entonces, si realmente no le está prestando atención, tiende a ser solo un cheque que indica "Sí, hice la revisión, ya está, me la quité del pelo", en lugar de entender realmente si el acceso es todavía necesitado.
PCM: ¿Las revisiones de acceso de estampado de goma son un problema o es solo una cuestión de eficiencia?
DME: Creo que son las dos cosas. La gente está sobrecargada de trabajo. Se les arrojan muchas cosas, y sospecho que es un proceso difícil de controlar además de cualquier otra cosa que se haga. Así que creo que se hace por razones regulatorias, con lo que estoy totalmente de acuerdo y entiendo. Pero no sé si es necesariamente el mejor enfoque o el mejor método mecánico para hacer revisiones de acceso.
PCM: ¿Cómo abordan las empresas el descubrimiento de roles?
DME: la gestión de acceso basada en roles es la idea de que usted asigne acceso según el rol de un usuario en la organización. Tal vez sea la función comercial del individuo o el trabajo de la persona. Podría basarse en el título del individuo. El descubrimiento de roles es el proceso de tratar de descubrir qué roles podrían existir naturalmente en la organización en función de cómo se otorga el acceso a la identidad en la actualidad. Por ejemplo, podría decir que esta persona de recursos humanos es miembro de estos grupos; por lo tanto, el rol de persona de recursos humanos debe tener acceso a esos grupos. Existen herramientas que pueden ayudar con esto, básicamente construyendo roles basados en el acceso existente que se ha otorgado en el entorno. Y ese es el proceso de descubrimiento de roles por el que pasamos cuando intentas construir un sistema de administración de acceso basado en roles.
PCM: ¿Tiene algún consejo que pueda brindar a las pequeñas y medianas empresas (PYMES) sobre cómo abordar el IDM híbrido?
DME: Si eres una PYME, creo que el objetivo es no vivir en un mundo de identidad híbrido. El objetivo es llegar a una identidad solo en la nube e intentar llegar lo más rápido posible. Para una PYME, las complejidades de administrar la identidad híbrida no es un negocio en el que quieran estar. Es un deporte para empresas realmente grandes que tienen que hacerlo porque tienen muchas cosas locales. En un mundo de PYMES, creo que el objetivo debería ser "¿Cómo llego a un sistema de identidad en la nube más temprano que tarde? ¿Cómo salgo del negocio local más temprano que tarde?" Ese es probablemente el enfoque más práctico.
PCM: ¿ Cuándo utilizarían las empresas híbrido en lugar de solo local o solo en la nube?
DME: Creo que la razón principal por la que existe el híbrido es porque tenemos organizaciones más grandes con mucha tecnología heredada en sistemas de identidad locales. Si una empresa comenzara desde cero hoy… no está implementando AD como una nueva empresa; están acelerando Google AD con Google G Suite, y ahora viven en la nube por completo. No tienen ninguna infraestructura local. Para muchas organizaciones más grandes con tecnología que existe desde hace años, eso no es práctico. Entonces tienen que vivir en este mundo híbrido. Si alguna vez llegarán solo a la nube, probablemente dependa de su modelo de negocio y de la prioridad que tengan para ellos y qué problemas están tratando de resolver. Todo lo que entra en eso. Pero creo que para esas organizaciones, estarán en un mundo híbrido durante mucho tiempo.
PCM: ¿Cuál sería un requisito comercial que los empujaría a la nube?
DME: una típica es como una aplicación comercial que está en la nube, una aplicación SaaS como Salesforce, Workday o Concur. Y esas aplicaciones esperan proporcionar una identidad en la nube para poder darles acceso. Tienes que tener esa identidad en la nube en algún lugar, y así es típicamente como sucede. Microsoft es un ejemplo perfecto. Si desea usar Office 365, debe aprovisionar identidades en Azure AD. No hay elección al respecto. Entonces, eso empuja a las personas a obtener su Azure AD y luego, una vez que están allí, tal vez deciden que quieren iniciar sesión en otras aplicaciones web, otras aplicaciones SaaS en la nube y ahora están en la nube.
- 10 pasos esenciales para proteger su identidad en línea 10 pasos esenciales para proteger su identidad en línea
- Las mejores soluciones de gestión de identidad para 2019 Las mejores soluciones de gestión de identidad para 2019
- 7 pasos para minimizar el fraude del CEO y la suplantación de identidad 7 pasos para minimizar el fraude del CEO y la suplantación de identidad
PCM: ¿ Alguna gran predicción para el futuro de IDM o gobierno?
DME: La gente aún no está pensando en el gobierno de identidad híbrido o IDM híbrido como una sola cosa. Creo que eso tiene que suceder, ya sea que se vean presionados por las regulaciones o que los proveedores den un paso adelante y proporcionen esa solución de gobierno de identidad de extremo a extremo para esos mundos híbridos. Creo que cualquiera de los dos tendrá que suceder inevitablemente, y la gente tendrá que resolver problemas como la separación de funciones entre la identidad híbrida y la gestión de acceso. Creo que ese es probablemente el resultado más inevitable que sucederá más temprano que tarde.
