IGA y PAM: Cómo la Administración y Gobierno de Identidades se conecta con la Gestión de Acceso privilegiado

La apropiación indebida de la identidad de un usuario es una de las principales causas de muchos de los incidentes graves de ciberseguridad. La amenaza puede aparecer en forma de un actor maligno que se hace pasar por un usuario autorizado del sistema, un hacker que crea una cuenta de usuario ficticia o un usuario legítimo que realiza acciones que no debe. Los responsables de seguridad pueden tener problemas para detectar las acciones de un usuario maligno en los casos anteriores, o puede que descubran el problema una vez que el hecho ya se ha producido.

La Administración y Gobierno de Identidades (IGA) ofrece una forma de mitigar dichos riesgos que se basan en la identidad. La Gestión de Acceso Privilegiado (PAM), que gestiona usuarios administrativos, se alinea con IGA y refuerza su efectividad. Comprender cómo ambas soluciones trabajan juntas puede ayudar a los responsables de seguridad a fortalecer la seguridad mediante una sólida gestión de identidades.

PAM refuerza a IGA mejorando significativamente la seguridad en toda la organización.

¿Qué es IGA?

IGA es parte del campo más amplio y en constante evolución de la Gestión de Identidades y Accesos (IAM). Originalmente, se la conocía como Aprovisionamiento Automático de usuarios (UAP). Si bien UAP se centraba en el acceso al sistema de provisión basado en directorios de usuarios estáticos, IGA lleva el proceso más allá al hacerlo más dinámico y granular. Dada la complejidad de las organizaciones actuales y los sistemas de los que dependen, ya no basta con conceder acceso mediante conjuntos fijos de privilegios. IGA se encarga de la gestión de la identidad digital y los derechos de acceso en múltiples aplicaciones y sistemas.

Una solución IGA une y relaciona la identidad y los datos de permisos, que se distribuyen generalmente de manera libre a través de la colección de sistemas y recursos de datos de una organización. IGA participa en el gobierno de los permisos, concediéndolos y anulándolos mientras certifica el acceso. A medida que maneja estas solicitudes de acceso, IGA permite la auditoría, la generación de informes y el análisis de identidad y acceso. Esta solución también gestiona los derechos de acceso a lo largo del ciclo de vida de la identidad. Todas estas características ayudan a cumplir con Sarbanes Oxley (SOX) y otras regulaciones como GDPR, 23 NYCRR 500, etc., que exigen controles y auditabilidad del acceso al sistema.

IGA gestiona los derechos de acceso a lo largo del ciclo de vida de la identidad.

¿Qué es PAM?

 

PAM comprende una colección de procesos y herramientas que gestionan el acceso a los backends administrativos de los sistemas críticos. Los usuarios privilegiados pueden iniciar sesión en los controles de los sistemas y modificar la configuración, establecer o eliminar el acceso de los usuarios y más. Es absolutamente necesario disponer de alguna forma de PAM, ya sea manual o automatizada, para cualquier programa importante de InfoSec. Después de todo, el abuso accidental o deliberado de cuentas privilegiadas puede dar como resultado graves impactos comerciales como la pérdida de datos, interrupciones sistémicas y violaciones de la privacidad para los que PAM ofrece una táctica defensiva.

Esta solución proporciona una gestión optimizada de privilegios de acceso. PAM puede conceder y revocar derechos de usuarios privilegiados a sistemas específicos. Por ejemplo, WALLIX PAM centraliza las funciones de dicha solución, dando a los administradores un único punto de control sobre todos los usuarios privilegiados. Con WALLIX, el usuario privilegiado no conoce la contraseña de root del sistema que está administrando, lo que reduce en gran medida el riesgo de compartir contraseñas o de que antiguos empleados de la organización conserven el acceso privilegiado una vez que se han marchado. WALLIX también registra sesiones de cuentas privilegiadas, lo cual resulta útil para auditorías y para la respuesta a incidentes.

Un usuario privilegiado no tiene por qué ser un empleado ni una persona, sino que puede ser casi cualquier persona o cosa. Podría ser incluso un sistema automatizado que funciona tanto dentro como fuera de la empresa. Básicamente, una solución PAM gobierna todo acceso privilegiado por parte de empleados, contratistas y empleados de proveedores externos.

PAM comprende una colección de procesos y herramientas que ofrece a los equipos de seguridad una visibilidad y control completos sobre quién tiene acceso a los sistemas más críticos de una organización.

IGA y PAM juntos: refuerzo mutuo

Al unificar IGA y PAM se habilita un núcleo central de definición y aplicación de políticas para todas las formas de gestión de identidades. Con un enfoque integrado de IGA y PAM, una solicitud de acceso privilegiado se puede gestionar dentro de los parámetros de las políticas de IGA de la organización. Todas las solicitudes y concesiones de acceso forman parte de una única cadena de control de acceso. Se vuelve más fácil de auditar tanto el acceso de un usuario básico como el de un usuario privilegiado.

Existe una variedad de enfoques para lograr la relación que se refuerza mutuamente entre IGA y PAM. El objetivo debería ser construir un almacenamiento de identidades autorizado. Con las API, las dos soluciones pueden facilitar los flujos de trabajo automatizados para procesar todas las solicitudes de acceso, incluidas las solicitudes de acceso privilegiado.

Beneficios de unificar IGA y PAM

  • Un único punto de control para aprovisionar todos los accesos de identidad en la organización.
  • Seguridad de que las sesiones de acceso privilegiado se desarrollarán en el marco de la política de gobierno de identidad.
  • Una auditoría más fácil para descubrir inconsistencias en las autorizaciones de acceso, incluida la segregación de violaciones de funciones y otras restricciones de acceso basadas en la función, habituales en el cumplimiento de la normativa.
  • Proceso simplificado de incorporación y baja de todos los usuarios, tanto internos como externos.

Mejore la seguridad con IGA y PAM

Los desafíos para permanecer en la cima de la identidad del usuario no harán más que aumentar a medida que el equipo de trabajo se extienda por el espacio físico e insista en utilizar múltiples tipos de dispositivos. De forma paralela, los activos de datos continúan convirtiéndose en nuevos modos de alojamiento, como la nube y las arquitecturas híbridas. La idea misma de que el propio «usuario» evolucione a partir de sistemas automatizados e impulsados por la IA que ahora realizan una serie de tareas hace que la necesidad de disponer de controles más estrictos sobre la identidad del usuario sea esencial. IGA y PAM, al trabajar juntas, ofrecen una solución: proporcionan a los administradores una forma ágil y eficiente de controlar la identidad del usuario y los derechos de acceso.

¿Está interesado en obtener más información sobre la solución PAM de WALLIX Bastion y sobre cómo esta puede conectarse a sus procesos IGA existentes? Contáctenos.