El perímetro de las empresas ya no es lo que era antes. Ahora hablamos de un nuevo perímetro, y basta con mirar el testimonio de Ricardo Dos Santos, gerente de Servicios y Ciberseguridad en eSoft Latam: “Hoy, las empresas son multicanales, con soluciones basadas en API y orientadas a dispositivos móviles, por lo cual, nadie realmente es dueño del perímetro”.
Dos Santos afirma además que “cada negocio consume o produce cargas de trabajo de aplicaciones que podrían estar ejecutándose en cualquier lugar, y ningún área de TI puede controlar el nuevo perímetro con métodos tradicionales”.
Recordemos que, al hablar de perímetro en ciberseguridad, nos referimos a esa frontera que separa los recursos internos de una organización de las amenazas externas en Internet. Un límite que solía ser protegido con soluciones como firewalls y sistemas de detección de intrusos, adecuados para su tiempo, pero los tiempos han cambiado.
Para comenzar, está la forma de acceso, ya no limitada a las paredes de la oficina y ahora liderada por dispositivos móviles. Como muestra, según datos de Branch, para 2024, Colombia contaba con una población de poco más de 52.000.000 de habitantes y más de 77.000.000 de celulares.
En ese escenario, habilitar a los usuarios finales para acceder de forma segura a recursos autorizados y así evitar incidentes como filtración de datos, uso indebido de credenciales y el secuestro de cuentas son algunas de las mayores preocupaciones que tiene una empresa cuando intenta actuar con rapidez para cumplir los objetivos comerciales, comenta Dos Santos.
Soluciones y retos ante el nuevo perímetro
Ante los desafíos de las nuevas tendencias impuestas por este nuevo perímetro, han surgido varias opciones de autenticación, como tokens OpenID Connect, tokens de acceso OAuth y, luego, tokens de forma independiente para validar el acceso a las aplicaciones.
Pero, así como debe existir una capa de seguridad en los endpoints, también debe haber una plataforma de servicios de seguridad compartida, que garantice una experiencia consistente de inicio y cierre de sesión único al acceder a recursos protegidos por Web Access Management, federados a través de SAML (Security Assertion Markup Language), en algunos casos, y por OpenID Connect, en otros.
De esta forma, el sistema IAM (Gestión de Identidad y Acceso, por sus siglas en inglés) es responsable de proporcionar acceso omnicanal a los recursos autorizados, gestionar las identidades que se asignan a aplicaciones y sistemas, y proporcionar una plataforma para definir y hacer cumplir la identidad y las políticas de acceso para lograr dichas tareas.
Una consideración muy importante para una empresa es cómo implementar un IAM para nuevas iniciativas, aplicaciones y servicios, en un ambiente en el cual los mundos perimetral y multiperímetro deben coexistir durante algún tiempo con un inicio de sesión único y fluido.
“Las empresas pueden implementar la seguridad para cada aplicación de forma heredada o pueden aprovechar una plataforma moderna, con un enfoque que les brinda una identidad única compartida y una vista de políticas en múltiples aplicaciones y servicios compartidos, lo que resulta en alineación y visibilidad omnicanal”, explica el directivo de eSoft.
Llegada de los microperímetros
Con la aparición de la nube, los teléfonos inteligentes, la computación en el borde, el auge de las apps y la evolución de los dispositivos conectados, se produce un cambio de paradigma sobre el modo de operación de la gestión de identidad y acceso centrado en la empresa.
Este cambio da como resultado que el perímetro único desaparezca alrededor de sus aplicaciones y usuarios, al tiempo que permite que las cargas de trabajo de las aplicaciones se ejecuten en cualquier lugar, alejándose del centro de datos principal en el proceso, creando nuevos microperímetros.
Proporcionar acceso seguro a aplicaciones en condiciones en las que están en juego diferentes microperímetros requiere que las empresas utilicen una gestión de acceso contextual, dinámica y consciente de la sesión, que requiera tanta (o tan poca) autenticación y autorización como sea necesario para afrontar el riesgo aceptable.
El resultado final es una organización moderna que debe ser capaz de hacer frente a esta tendencia para seguir ofreciendo servicios de forma segura y aplicaciones para usuarios finales a través de cualquier canal, en cualquier momento y lugar, aprovechando al mismo tiempo los dispositivos modernos para proporcionar una excelente experiencia de usuario.
Con esta tendencia firmemente en marcha, arraigada en los esfuerzos de transformación digital empresarial, las cargas de trabajo de las aplicaciones están abandonando el perímetro del centro de datos, y esto requiere que IAM siga las aplicaciones. La arquitectura IAM y las mejores prácticas también deben avanzar en esa dirección.
Desafíos y arquitectura
Al no existir el perímetro único, se requiere un nuevo enfoque para gestionar el conocido problema de quién tiene acceso a qué. Las empresas deben conectar de forma segura identidades y aplicaciones/datos a través de diferentes perímetros utilizando arquitectura y protocolos modernos, y esto requiere un cambio en la forma en que vemos IAM.
La arquitectura digital de IAM permite a los profesionales de seguridad de la empresa no solo satisfacer las necesidades comerciales de la empresa en el futuro, sino que, al mismo tiempo, amplía el valor de identidad existente que ya protege las aplicaciones y procesos empresariales.
Esta arquitectura permite a las organizaciones incorporar servicios de identidad basados en estándares en el tejido de sus aplicaciones, lo que da como resultado una experiencia de usuario mucho mejor y la eliminación de silos de seguridad y gobernanza.
La IAM digital, que respalda los principios de Zero Trust, habilita el negocio e impulsa nuevas oportunidades a través de una arquitectura funcional, segura y escalable, diseñada para abordar la agilidad empresarial que las organizaciones deben tener para hacer evolucionar sus negocios.
Esta plataforma IAM integral, construida según especificaciones nativas de la nube, está destinada a ser una parte integral del tejido de seguridad empresarial. Basada en estándares abiertos que permitan una rápida integración de aplicaciones, ampliando la propuesta de valor de las soluciones existentes que las empresas ya tienen implementadas.