BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Identidad, autenticación y autorización se ven impulsados por riesgos

La gestión de identidades, y la autenticación y el gobierno de la autorización están dejando de ser iniciativas puramente de TI, según RSA.

Tradicionalmente, las iniciativas en torno a la identidad, autenticación y autorización se han centrado en ser más eficientes y permitir un aprovisionamiento más rápido.

"Pero estamos viendo un cambio hacia que estas iniciativas sean parte de un claro esfuerzo direccional para abordar el riesgo", dijo Prashant Darisi, director senior de gobernanza de identidad y productos de ciclo de vida de RSA.

Esto comienza con la evaluación del riesgo, la identificación de los objetivos de riesgo y la determinación del apetito real por el riesgo de una organización, dijo a Computer Weekly.

"Cuando vemos a Target, Sony o cualquiera de las otras compañías que han sido violadas, los costos de reputación ahora son más altos que nunca", dijo Darisi.

Como resultado, la responsabilidad de evaluar y mitigar el riesgo relacionado con brechas está cambiando en muchas empresas, desde el director de seguridad de la información (CISO) hasta el director de información (CIO).

Las organizaciones quieren asegurarse de que el riesgo empresarial está informado por el riesgo asociado con asuntos tales como cuentas huérfanas y combinaciones tóxicas de derechos.

La empresa también está preocupada por el aumento de la brecha entre TI y el negocio a través de la adopción de servicios en la nube por varias unidades de negocio, sin pasar por TI.

"Mientras que esta llamada 'TI en las sombras' le da a la empresa tremenda agilidad, también significa a menudo que los datos comercialmente sensibles están sentados en la nube", dijo Darisi.

"Esto da lugar a una creciente ‘brecha de dolor’ entre la necesidad de agilidad del negocio y la necesidad de seguridad desde la perspectiva de TI".

Debe haber una manera para que las organizaciones se aseguren de que ambas necesidades se satisfacen equilibrando seguridad y conveniencia, dijo Darisi.

La clave para habilitarlo, dijo, es lograr la garantía continua de la identidad a través de un sistema que desafía automáticamente a los usuarios a autenticarse cuando se detectan anomalías.

Pero es importante que los usuarios sean desafiados solo cuando sea necesario, y que se requiera un nivel apropiado de autenticación dependiendo del contexto, dijo.

Darisi dijo que RSA ha añadido una opción de autenticación como servicio basada en la nube en el producto RSA SecurID Access para proporcionar a las organizaciones una garantía de identidad continua que sea fácil de usar para los empleados.

El objetivo, dijo, es ofrecer un acceso sin fisuras tanto a los recursos y sistemas locales, como a los basados ​​en la nube a través de una funcionalidad adicional dinámica y de puntaje de riesgo, y el soporte para una variedad de opciones de autenticación multifactorial porque la definición de conveniencia es diferente para diferentes personas.

"Una persona puede elegir fichas de OTP, mientras que otra persona prefiere escaneos de huellas dactilares o bloqueo y desbloqueo de proximidad, por lo que tenemos que acomodarlos a todos ellos para que la gente pueda autenticarse en la forma que sienten más conveniente", dijo Darisi. En parte, dijo, esto está habilitado por los 400 socios de RSA que han desarrollado agentes de autenticación para una amplia gama de métodos disponibles de autenticación.

Un enfoque basado en el riesgo significa que las organizaciones pueden ajustar automáticamente el número de factores de autenticación requeridos entre uno y siete, dependiendo del contexto y de acuerdo con las directrices de las mejores prácticas.

Además de la garantía de identidad continua y la autenticación de usuarios a su manera, RSA también está abordando la necesidad de las organizaciones de proteger las aplicaciones heredadas.

"Al poner a SecurID en una plataforma unificada, las empresas pueden acceder a las aplicaciones en la nube y las aplicaciones locales en el mismo lugar, con la conveniencia de un inicio de sesión único, pero sin usar [el enfoque peligroso de] sincronizar las identidades en la nube", dijo Darisi.

"Proporcionamos una visión de 360 ​​grados de la identidad de un individuo a través de nuestro portal –del rol, ubicación y dispositivos de la persona– pero no combinamos los almacenes de identidad", dijo.

Más fácil de implementar y usar

De acuerdo con Darisi, este enfoque hace que SecurID sea más fácil y sencillo de implementar para las organizaciones y más fácil de usar para los empleados, lo que a menudo se pasa por alto, con el énfasis típicamente en la tecnología y sus características. También elimina el riesgo de que se rompa un solo almacén de identidad fusionado, basado en la nube.

RSA se ha centrado en hacer que la tecnología sea más fácil de adoptar y desplegar, así como en hacerla más de integrar, y usar, con las tecnologías ya en el entorno de TI de una organización, dijo.

"Las organizaciones ahora también pueden elegir si quieren una implementación en la nube, una implementación local, o una implementación híbrida", dijo, y agregó que RSA es uno de los pocos proveedores de servicios de identidad que ofrecen los tres.

RSA también ha reconocido la importancia de proteger tanto los datos no estructurados como las aplicaciones. "Las organizaciones están almacenando cada vez más información crítica en SharePoint, por ejemplo, y las empresas necesitan proteger esos activos tanto como protegen las aplicaciones", comentó Darisi.

Pero es importante entender que las plataformas de identidad no definen el apetito de riesgo de una organización, dijo. Por lo tanto, deben ser utilizadas conjuntamente con los productos de gobernabilidad, riesgo y cumplimiento que están específicamente diseñados para definir y gestionar el riesgo.

"Es por eso que tenemos que intercambiar esos metadatos ricos", dijo Darisi, "y por qué la interoperabilidad es también extremadamente importante en el contexto de la identificación, la autenticación y la autorización impulsadas por el riesgo".

Finalmente, dijo que a la luz del creciente número de tareas relacionadas con la identidad a las que se enfrentan las organizaciones a medida que los entornos de TI se vuelven más complejos, los sistemas de gestión de identidad y acceso necesitan ser más racionalizados y automatizados.

"Los productos de identidad tienen que reducir el volumen de datos para mejorar a través de la automatización, y sacar a la superficie solo lo que es más significativo mediante un enfoque impulsado por el riesgo para identificar cuando las revisiones son esenciales solo cuando algo ha cambiado, o para identificar cosas como cambios atípicos, comportamiento anómalo, cambios no autorizados y acceso deshonesto, para reducir el riesgo mediante la prestación de garantías de identidad continua", dijo Darisi.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close