Dónde y cómo trabajan los empleados ha cambiado drásticamente en la última década. Antes, los trabajadores solo podían acceder a los recursos corporativos mientras trabajaban en la oficina.
Pero en el entorno laboral actual, los empleados han sacado el trabajo de la oficina y lo han llevado a nuestros hogares y dispositivos móviles. En la era de esta transformación digital—y para apoyar a una fuerza laboral cada vez más móvil y remota—es crucial que los equipos de TI y ciberseguridad acierten con la seguridad.
La seguridad corporativa moderna va más allá de los modelos de seguridad tradicionales basados en el perímetro y también emplea modelos de seguridad de "confianza cero". Los modelos de seguridad de confianza cero proporcionan capas adicionales de seguridad, particularmente para el trabajo remoto y los entornos en la nube. La autenticación es un primer paso para lograr un modelo de seguridad de confianza cero, y comienza verificando que la persona al otro lado del escritorio, portátil o dispositivo móvil sea realmente un colega, no un ciberdelincuente.
El software de gestión de identidad y acceso (IAM), también conocido como "identidad de la fuerza laboral" o herramientas de "identidad y acceso de empleados", ayuda a las empresas a garantizar que solo los usuarios autorizados—como empleados en el sitio, empleados que viajan o contratistas remotos—puedan acceder a las aplicaciones y datos corporativos. El software IAM autentica la identidad de un usuario antes de otorgarle acceso a los activos de la empresa para los que tiene permisos específicos. Por ejemplo, el director financiero de una empresa probablemente debería tener acceso al software de contabilidad de la empresa, pero una persona del equipo de ventas no. Lograr que los empleados adopten este tipo de herramientas de seguridad a diario es fundamental, por lo que las soluciones IAM están diseñadas para ofrecer experiencias intuitivas y fáciles de usar.
¿Qué es la autenticación?
La autenticación es el proceso de verificar las identidades de los usuarios; que los usuarios son quienes dicen ser. El proceso requiere que los usuarios prueben su identidad de una o varias maneras antes de recibir acceso a una cuenta. La autenticación puede incluir una combinación de factores, como algo que un usuario sabe, posee, un hábito personal del usuario o su ubicación. Estos pueden incluir contraseñas, teléfonos móviles, huellas dactilares, un gesto de mano específico o la dirección IP del dispositivo del usuario.
Proporcionar experiencias de autenticación y acceso positivas y seguras para empleados remotos
Las mejores herramientas de seguridad son aquellas que la gente realmente usa. La tecnología lenta y obsoleta puede impedir que los empleados sean productivos en el trabajo. Por lo tanto, proporcionar a los trabajadores remotos un acceso fácil a sus sistemas cotidianos es fundamental para la productividad y el resultado final de una empresa.
El software IAM ofrece una serie de herramientas fáciles de usar, incluida la funcionalidad de inicio de sesión único, que facilitan un proceso de autenticación y acceso seguro y fluido para que los usuarios finales accedan a todas sus aplicaciones críticas para el negocio iniciando sesión solo una vez. Esto reduce la fatiga de las contraseñas y permite que los empleados comiencen a usar sus aplicaciones más rápidamente.
Implementar soluciones de autenticación como el software IAM también ayuda a prevenir que los usuarios implementen soluciones de TI en la sombra, donde los empleados utilizan su propio software o hardware no autorizado (y potencialmente riesgoso) para resolver sus necesidades comerciales. Tener procesos de acceso fáciles de usar también ayuda a prevenir que los empleados accedan a datos por otros medios, como descargar copias personales de datos comerciales sensibles para usar en sus propias máquinas locales, lo que introduce riesgos de seguridad y privacidad. Las herramientas de prevención de pérdida de datos también pueden ayudar a prevenir que los datos se descarguen de esta manera.
Para ayudar a los compradores de software IAM a determinar qué software es el mejor para ellos, G2 ha compilado un Índice de Usabilidad para la Gestión de Identidad y Acceso (IAM) | Invierno 2020, que califica el software en facilidad de administración y facilidad de uso basado en reseñas de usuarios actuales de software IAM. La próxima iteración de este informe se publicará a finales de marzo de 2020, así que vuelva para obtener actualizaciones.
Uso de software IAM en un modelo de seguridad de confianza cero
Según un estudio de 2019 de la Cloud Security Alliance, el 69% de las organizaciones están migrando datos para aplicaciones críticas para el negocio a la nube, lo que significa que la seguridad necesita adaptarse. Anteriormente, la seguridad perimetral se consideraba suficiente para proteger los activos en las instalaciones; sin embargo, para asegurar los datos que residen fuera del sitio, las empresas han adoptado un modelo de seguridad de confianza cero para proteger sus negocios. Las herramientas IAM son parte de una solución de modelo de seguridad de confianza cero.
¿Qué es el modelo de seguridad de confianza cero?
El modelo de seguridad de confianza cero se puede resumir como "no confíes en nadie", lo que significa que las empresas no confían en ningún usuario en su red, incluso aquellos que están trabajando dentro del perímetro de la red, como los empleados en el sitio. Las herramientas de seguridad de confianza cero proporcionan formas para que los administradores de seguridad monitoreen puntos finales como laptops y teléfonos móviles. También monitorean el comportamiento del usuario mientras están en la red para detectar cualquier actividad anormal, como extracción de datos u otras acciones realizadas por criminales y actores malintencionados.
Usemos una analogía para explicar la seguridad basada en el perímetro. Imagina que una organización benéfica está organizando una cena de gala en un salón de baile de un hotel. A medida que los asistentes ingresan al vestíbulo del hotel, son recibidos por porteros que les piden sus nombres y una frase secreta. Una vez que los nombres de los asistentes se refieren a la lista y proporcionan la frase secreta correcta, los porteros abren las cuerdas de terciopelo rojo y dejan entrar a los asistentes a la fiesta. Mientras los asistentes están en el evento, son libres de moverse, mezclarse, tal vez detenerse en el bar, hojear la bandeja de postres y, en general, pasar un buen rato sin que se les hagan preguntas. En esta analogía, los porteros representan la seguridad perimetral de la empresa y los asistentes representan a los usuarios corporativos, como los empleados. Una vez que los asistentes proporcionan sus nombres y las frases secretas correctas (es decir, nombres de usuario y contraseñas), son libres de deambular por la fiesta (es decir, acceder a lo que necesitan en la red corporativa).
Modelo de seguridad de confianza cero para fuerzas laborales móviles y entornos en la nube
Sin embargo, ¿es suficiente la seguridad perimetral con la fuerza laboral móvil actual accediendo a aplicaciones corporativas, ya sea en las instalaciones a través de VPN o a través de aplicaciones basadas en la nube? No. Es por eso que, además de la seguridad perimetral, muchas empresas emplean un modelo de seguridad de confianza cero en capas. En este modelo, no se confía en ningún usuario y deben autenticarse para acceder a los activos, incluso si ya están en la red.
Volvamos a la analogía del evento de gala del hotel para esta vez explicar cómo funciona la seguridad de confianza cero. Digamos que además de asistir al evento, algunos asistentes también pasan la noche en las habitaciones de huéspedes del hotel. Un entorno de seguridad de confianza cero opera de manera similar a cómo se aseguran las habitaciones de huéspedes del hotel, registrándose y recibiendo una tarjeta llave para acceder a los ascensores y a la cerradura de la habitación de huéspedes. El hecho de que un huésped tenga acceso al vestíbulo principal del hotel y a las salas de reuniones públicas (es decir, la red) no significa que el huésped también deba poder acceder a los ascensores del hotel o, en última instancia, a las habitaciones de huéspedes del hotel (los datos o aplicaciones de una empresa) sin permiso.
En última instancia, ya sea que una empresa necesite asegurar una habitación de huéspedes de hotel en el entorno físico o un conjunto de datos en la nube, un enfoque de seguridad en capas es clave.
El software IAM facilita la adopción y administración por parte del usuario
Las mejores soluciones de seguridad son las que se utilizan. Tener herramientas de seguridad que sean fáciles de usar y que mejoren la experiencia de autenticación del usuario final es fundamental para la adopción de la solución. Las mejores herramientas de seguridad son las que se utilizan, y el software IAM satisface las necesidades tanto de los equipos de seguridad como de la fuerza laboral de una empresa.
Explora el software mejor calificado en categorías relacionadas:
¿Quieres aprender más sobre Software de gestión de identidades? Explora los productos de Gestión de Identidad.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
