Los cuatro pilares de la Identidad

En el mundo de la ciberseguridad, la gestión de la identidad y el acceso se ha convertido en un componente crítico. Con la proliferación de usuarios, dispositivos y aplicaciones, proteger la identidad digital es esencial para mantener la seguridad y la integridad de los sistemas. Este artículo explora los cuatro pilares fundamentales de la identidad: Administración, Autenticación, Autorización y Auditoría, y cómo cada uno de ellos contribuye a una gestión efectiva y segura de las identidades.

De forma rápida podemos decir que en Administración revisaremos los permisos que tienes, en Autenticación determinaremos quién eres, en Autorización evaluaremos si se te permite acceder a un recurso y finalmente en Auditoria revisaremos si todo lo comentado se ha realizado de forma correcta.

Administración de Identidades

A la hora de realizar la administración de los usuarios, lo principal es identificar los diferentes tipos de usuarios que tiene tu organización, ¿tienes empleados internos y proveedores? ¿Tienes personal en la producción y en ventas? Lo primero que tendremos que hacer para definir una política de Identidad y Acceso es crear los grupos o colectivos de los usuarios que posteriormente asignaremos a diferentes roles.

Lo segundo que vamos a tener que identificar son los directorios principales donde guardaremos o sincronizaremos nuestras identidades. Una identidad es un acceso que utilizará una persona para acceder a un recurso en un determinado sistema. Los directorios son los repositorios (normalmente LDAP) donde vamos a buscar los usuarios. En grandes organizaciones tendrás varios repositorios, igual tu sistema SAP tendrás que sincronizarlo con sus sistemas Windows como Active Directory o sistemas Cloud (AWS, Entra ID, etc…). Dependiendo del tipo de aplicaciones que consuman tus usuarios, tendrás más o menos directorios. Uno de los retos a nivel de Identidad es tener sincronizada esta información si utilizas diferentes repositorios.

LDAP creado por Tim Howes mientras estaba en la universidad de Michigan es uno de los protocolos más utilizados para consultar información entre directorios y se debe utilizar de forma cifrada, es decir, LDAP seguro, o LDAPS para los amigos

Una vez que ya tenemos claro los directorios, los tipos de usuarios, tenemos que pensar en mantener lo que comúnmente se llama el ciclo de vida de las cuentas, es decir, su creación, sus modificaciones, sus asignaciones de permisos y eliminación cuando ya no son necesarias. Para hacer todo esto es recomendable tener una herramienta, el término se suele llamar IGA, que es una abreviatura de Identity Gonvernance and Administration. Existen muchos fabricantes de IGA a continuación te mostraré una pequeña lista de los más habituales para las grandes empresas:

Identity Security Platform de Sailpoint

One Identity Manager de One Identity

IBM Security Verify Governance

Microsoft Entra ID

Unified Identity Security Platform de CyberArk

En estos sistemas son los que tendremos que configurar toda clase de conectares para mantener el ciclo de vida y asociación de los usuarios, con los roles en función de sus colectivos (RBAC) o según sus atributos (ARBAC). Esto nos puede llegar a cubrir en una empresa muy bien organizada el 80% de los accesos, pero siempre tendremos ese 20% de excepciones que tendremos que mantener de forma unitaria o por usuario. Las excepciones es algo que siempre tenemos que trabajar para estandarizar.

Autenticación Segura

La autenticación es el proceso mediante el cual se verifica la identidad de un usuario. Es fundamental en la gestión de la identidad porque responde a la pregunta: "¿Quién eres?". Existen varios métodos de autenticación que los usuarios pueden utilizar para confirmar su identidad, y estos métodos suelen clasificarse en tres categorías: algo que sabes (como una contraseña), algo que tienes (como un dispositivo físico o un código enviado a tu teléfono), y algo que eres (como datos biométricos como huellas dactilares o reconocimiento facial).

En la actualidad, la industria está haciendo un esfuerzo significativo para moverse hacia la autenticación sin contraseñas. Las contraseñas son vulnerables a ser transferidas o robadas, y la autenticación sin contraseñas, como los dispositivos de autenticación física y los datos biométricos, ofrece un nivel de seguridad mucho más alto.

Otro concepto importante en autenticación es el inicio de sesión único, o Single Sign-On (SSO). En organizaciones donde los usuarios tienen múltiples identidades y contraseñas para diferentes sistemas y aplicaciones, habilitar un sistema de SSO es altamente recomendable. Esto permite a los usuarios autenticarse una vez y acceder a múltiples sistemas sin necesidad de reintroducir sus credenciales.

La autenticación multifactor (MFA) es también una práctica esencial. MFA añade capas adicionales de seguridad al requerir más de un método de autenticación, combinando algo que el usuario sabe, tiene y es. Este enfoque asegura que incluso si una capa de seguridad es comprometida, las otras capas pueden proteger la identidad del usuario.

A continuación os detallaré algunos de los proveedores de autenticación:

Okta Verify

RSA

One Login de One Identity

Microsoft Entra ID

Autorización Eficiente

La autorización es el proceso que determina si un usuario autenticado tiene permiso para acceder a un recurso o realizar una acción. En otras palabras, responde a la pregunta: "¿Estás autorizado para hacer lo que intentas hacer?". La autorización se puede implementar de varias maneras, incluyendo autorizaciones basadas en roles, autorizaciones basadas en riesgos y autorizaciones basadas en aprobaciones.

Las autorizaciones basadas en roles (RBAC) son comunes en muchas organizaciones. En este modelo, los permisos se asignan a roles específicos en lugar de a individuos. Esto simplifica la gestión de permisos, ya que los usuarios pueden ser asignados a roles según sus funciones laborales. Las autorizaciones basadas en riesgos evalúan factores como la dirección IP desde la que se está intentando acceder o el nivel de riesgo asociado con la acción que se está intentando realizar. Por ejemplo, acceder a un sistema bancario para realizar transferencias puede requerir una autorización adicional si el importe de la transferencia excede un cierto umbral.

En PAM y los piratas de Silicon Valley ya os hablé de las herramientas PAM. La gestión de accesos privilegiados (PAM) es una subcategoría importante dentro de la autorización. Los sistemas PAM protegen las cuentas privilegiadas, que son aquellas con permisos elevados que permiten administrar sistemas. Estas cuentas son objetivos frecuentes de atacantes, por lo que es crucial implementar medidas adicionales de seguridad. Entre las herramientas PAM más comunes se encuentran CyberArk Privileged Access Management, One Identity Safeguard, BeyondTrust Privileged Remote Access y Okta Privileged Access.

La autorización eficiente no solo asegura que los usuarios correctos tienen acceso a los recursos adecuados, sino que también protege los sistemas contra accesos no autorizados y potencialmente dañinos.

Auditoría y Monitorización

La auditoría es el proceso de revisar y verificar que todos los procesos de administración, autenticación y autorización se han llevado a cabo correctamente. La auditoría responde a la pregunta: "¿Se ha hecho todo de forma correcta?". Este pilar es crucial para detectar y corregir cualquier anomalía en los sistemas de identidad y acceso.

La analítica del comportamiento del usuario (UBA) es una herramienta esencial en la auditoría. UBA analiza los patrones de comportamiento de los usuarios para identificar actividades sospechosas o anómalas. Por ejemplo, si un usuario crea una cuenta, realiza una autorización y accede a un recurso, pero luego elimina la cuenta en pocos segundos, esto podría indicar un comportamiento malicioso. .

Customer Identity and Access Management (CIAM) se centra en la gestión de accesos de los clientes. A diferencia de los empleados, los clientes pueden necesitar menos controles estrictos, pero igualmente requieren un sistema robusto para asegurar sus datos y accesos.

Herramientas como Microsoft Sentinel, Splunk Enterprise, QRadar SIEM de IBM y Trellix Security Manager son comunes para realizar estas auditorías y análisis.

Conclusión

Los cuatro pilares de la identidad - Administración, Autenticación, Autorización y Auditoría - son esenciales para una gestión eficaz de identidades en cualquier organización. La administración asegura que las identidades se gestionen de manera estructurada y segura; la autenticación verifica quién eres; la autorización asegura que solo los usuarios correctos accedan a los recursos adecuados; y la auditoría garantiza que todo se realiza correctamente y de manera segura. Al implementar estos pilares de manera efectiva, las organizaciones pueden proteger mejor sus sistemas, datos y usuarios, asegurando una infraestructura de identidad sólida y segura.

Mención a parte me gustaría hacer con el concepto de federación, que permite a los usuarios iniciar sesión en un proveedor de identidad y acceder a otros proveedores de servicios es especialmente útil en entornos empresariales donde los usuarios necesitan acceder a múltiples servicios en la nube con una única identidad.

Os dejo este link de Microsoft que os explica muy bien el modelo de acceso Enterprise y su forma de protegerlo.

Espero que os sirva de ayuda para definir y organizar vuestros planes de IAM en vuestras organizaciones.