En el panorama regulatorio global en rápida evolución actual, las nuevas tecnologías, entornos y amenazas están aumentando las preocupaciones sobre la ciberseguridad y la privacidad de los datos. En el último año, los órganos rectores han tomado medidas importantes para promulgar medidas de cumplimiento más estrictas y, más que nunca, se están centrando en las amenazas relacionadas con la identidad.
Algunos cambios notables incluyen:
- El Instituto Nacional de Estándares y Tecnología (NIST) publicó su Marco de Ciberseguridad NIST revisado, enfatizando la gestión de riesgos de la cadena de suministro y las pautas de implementación de IA.
- El La Unión Europea actualizada. La Directiva NIS2 entró en vigor, ampliando su alcance a todas las industrias e introduciendo sanciones más altas por incumplimiento.
- Las normas de protección de datos continuaron endureciéndose en todo el mundo. En los EE.UU., la actualización Ley de Derechos de Privacidad de California (CPRA) otorga a los consumidores mayores derechos de privacidad de datos e introduce nuevas reglas para los sistemas automatizados de toma de decisiones. Mientras tanto, países como Brasil e India introdujeron leyes ampliamente alineadas con la Ley General de Protección de Datos (GDPR) de la UE para garantizar la transferencia y protección global de datos.
- A medida que la adopción de la nube continúa aumentando, el Programa Federal de Gestión de Autorizaciones y Riesgos de EE. UU. (FedRAMP) y la Agencia de Ciberseguridad de la Unión Europea (ENISA) introdujeron Nuevos requisitos de certificación para proveedores de servicios en la nube (CSP). para asegurar el acceso a datos y sistemas gubernamentales críticos.
La confianza cero es un hilo conductor en muchos cambios regulatorios recientes. Esta filosofía de “nunca confiar, siempre verificar” supone que cualquier identidad (usuario humano, dispositivo, máquina o aplicación) podría representar una amenaza y debe protegerse adecuadamente.
Hoy en día, cualquier identidad se puede configurar con miles de permisos para acceder a servicios, datos y otros recursos confidenciales. Esto significa que cualquier identidad puede convertirse en privilegiada y ser explotada para lanzar ataques o robar datos confidenciales, en cualquier momento. Considere, por ejemplo, una identidad que fue autorizada y confiable hace cinco minutos pero que acaba de verse comprometida y ya no se puede confiar en ella. Para adoptar plenamente la confianza cero, las organizaciones deben poder proteger dinámicamente las identidades y gestionar el acceso a sus recursos empresariales, evaluando los riesgos potenciales en tiempo real y creando contexto en los mecanismos de autenticación.
Para muchos, la seguridad de la identidad está surgiendo como una forma de superar los desafíos tradicionales, como las políticas de acceso rígidas, los permisos estáticos y la falta de detección de amenazas en tiempo real, y alinear sus posturas de seguridad con los requisitos de cumplimiento en evolución. Las herramientas de seguridad de identidad imponen privilegios permanentes cero (ZSP) al eliminar el acceso persistente y otorgar acceso temporal justo a tiempo (JIT) basado en el principio de privilegio mínimo. Esto minimiza la superficie de ataque elevando y revocando dinámicamente los privilegios del usuario según sea necesario. Con la seguridad de la identidad, las organizaciones pueden navegar por la incertidumbre regulatoria y abordar los riesgos centrados en la identidad a lo largo del viaje de cumplimiento continuo y dinámico.
Trazando un rumbo para cumplir con el cumplimiento y la auditoría de la seguridad de la identidad
El cumplimiento no se trata sólo de cómo se almacenan los datos de los consumidores, sino también de cómo se recopilan, procesan y utilizan. De hecho, el cumplimiento ya no se trata sólo de datos. Los reguladores, auditores e incluso miembros de la junta directiva se están centrando en la resiliencia: sondear la capacidad de las organizaciones para prevenir, resistir y recuperarse de ciberataques e interrupciones. Ahora, el cumplimiento y la seguridad están inextricablemente conectados, lo que subraya la necesidad de una estrategia integrada y una “brújula” de seguridad de identidad para ayudar a las organizaciones a trazar su rumbo.
Mejora de la ventaja estratégica
La verdad es que incluso las organizaciones más obedientes sufren violaciones. Los líderes de seguridad expertos reconocen esto y ya no ven el cumplimiento como un ejercicio de marcar casillas. En cambio, abordan los mandatos regulatorios como una forma estratégica de hacer cumplir controles amplios que mitiguen los riesgos y que, lo más importante, aseguren y hagan avanzar el negocio y, en consecuencia, cumplan con las demandas de cumplimiento necesarias.
Un gran ejemplo de esto son las instituciones financieras sujetas a la Ley Sarbanes-Oxley (SOX). Sí, se les exige que tengan controles internos efectivos sobre los informes financieros, pero también consideran que los controles centrados en la identidad, como la gestión de acceso privilegiado (PAM), son fundamentales para generar confianza en el cliente. Al garantizar que solo las personas autorizadas tengan acceso a cuentas privilegiadas y que cualquier cambio en los datos sea rastreado y auditado, las instituciones financieras pueden demostrar de manera efectiva su compromiso de mantener la integridad, protección y confiabilidad de los datos de los clientes, la base sobre la cual se construye la confianza.
Anticipando las mareas regulatorias
Los organismos reguladores actuales esperan una gestión de riesgos proactiva; eso es un hecho. Sin embargo, la verdadera proactividad significa ir más allá de los requisitos básicos de saber dónde existe el riesgo y tener planes para abordarlo.
Dado que cualquier identidad puede convertirse en privilegiada y ser explotada para lanzar ataques o robar datos confidenciales, el desafío es: ¿Cómo obtenemos la visibilidad y el control necesarios para garantizar que los permisos y derechos otorgados no pongan en peligro nuestra organización?
La seguridad de la identidad brinda a las organizaciones una visión unificada de quién tiene acceso a qué, con capacidades para descubrir, ajustar, certificar y revocar el acceso. Empoderadas, las organizaciones pueden detectar y mitigar riesgos antes se convierten en amenazas reales. Por ejemplo, los proveedores de atención médica que enfrentan desafíos en la gestión del aumento de identidades digitales y privilegios de acceso en sus diversos sistemas interconectados están recurriendo al gobierno y administración de identidades (IGA) para optimizar el cumplimiento de HIPAA y otras regulaciones estrictas de la industria, al tiempo que demuestran liderazgo en datos de pacientes. protección.
A medida que el negocio se acelera y los requisitos de auditoría evolucionan, las organizaciones también necesitan una visión constante de su progreso hacia los requisitos regulatorios y de dónde existen brechas. Deben poder mostrar a los auditores y a la Junta qué datos (e identidades asociadas) están bajo control y qué datos (e identidades asociadas) aún deben abordarse y ponerse bajo control. La seguridad de la identidad permite a las organizaciones evaluar continuamente sus controles, priorizar los esfuerzos de mitigación de riesgos para áreas específicas y predecir mejor dónde se centrarán los auditores a continuación.
Generar confianza en el mar abierto de las interacciones digitales
La confianza es primordial en la economía digital. Un solo incidente puede dañar la reputación y las relaciones de una empresa, como se ha visto en recientes violaciones de alto perfil. Es más, las multas regulatorias y los acuerdos legales paralizantes pueden ser enormes impedimentos para el crecimiento y la transformación futuros.
La seguridad de la identidad puede ayudar a las empresas a generar y fortalecer la confianza al imponer la transparencia y la responsabilidad y, al mismo tiempo, demostrar una administración responsable de los datos para cumplir con el RGPD y otras regulaciones importantes.
Navegando por el futuro del cumplimiento de la seguridad de la identidad
Navegando suavemente en piloto automático: Históricamente, muchas empresas han tenido dificultades para gestionar los derechos y cumplir con las normas de privacidad de datos y ciberseguridad. A pesar de la creciente prevalencia de la automatización inteligente, muchos continúan dependiendo de procesos manuales inconexos para incorporar y retirar usuarios y supervisar la evolución de sus derechos de acceso. Estos métodos son ineficientes en el mejor de los casos y propensos a errores en el peor, lo que dificulta la visibilidad y el control, obstaculiza la agilidad del servicio de TI y aumenta el riesgo. Las soluciones de seguridad de identidad pueden ayudar a agilizar y automatizar procesos administrativos intensivos manualmente y propensos a errores, garantizando que todos los derechos de acceso se asignen correctamente y se certifiquen continuamente. Estas herramientas también pueden desempeñar un papel de “copiloto” al automatizar la toma de decisiones basada en datos contextuales sobre los usuarios. Y cuando se trata del tan temido proceso de generación de informes, proporcionan análisis en profundidad y pistas de auditoría para ayudar a los equipos a identificar fácilmente posibles problemas de cumplimiento y optimizar los informes.
Adaptarse a las condiciones cambiantes con controles dinámicos: El panorama regulatorio es muy parecido al océano: se mueve y cambia constantemente y, a veces, toma a los viajeros con la guardia baja. Es por eso que las medidas de seguridad estáticas tienden a fallar bajo presión, y las organizaciones buscan cada vez más controles de seguridad de identidad dinámicos, por ejemplo, para la autenticación que pueda ajustar los requisitos según la situación específica y adaptarse a las amenazas en tiempo real.
Mantenerse alerta en alta mar: El viaje de cumplimiento continuo requiere una vigilancia interminable (léase: monitoreo y certificación continuos). Limitar el alcance de lo que debe observarse hace que esto sea mucho más fácil de lograr. Las soluciones de seguridad de identidad ayudan al aplicar los principios de privilegio mínimo en los entornos de TI híbridos y altamente distribuidos de la actualidad. Eliminar cuentas privilegiadas innecesarias y accesos de alto riesgo y controlar estrictamente lo que los usuarios pueden hacer en una sesión determinada puede reducir significativamente la superficie de ataque y la carga de cumplimiento asociada. Con una visión clara y consolidada, las organizaciones pueden detectar problemas antes, demostrar con confianza el cumplimiento y obtener información para tomar decisiones comerciales estratégicas.
Dirigiéndose hacia el liderazgo en cumplimiento con la seguridad de la identidad: En el entorno regulatorio actual, la única constante es el cambio. Las organizaciones que estén preparadas para navegar en aguas turbias e inciertas (y armadas con un mapa confiable para el viaje) no sólo sobrevivirán sino que prosperarán. Al adoptar la seguridad de la identidad como parte de un enfoque completo de acceso de confianza cero, las organizaciones pueden satisfacer de manera integral el cumplimiento y al mismo tiempo fortalecer su postura de seguridad para obtener una ventaja competitiva.
Para obtener más información sobre cómo reducir el riesgo con la seguridad de la identidad, consulte la serie de seminarios web «Confiar en la confianza cero» que ahora está disponible bajo demanda.