IGA y PAM: Cómo se conecta la Administración del Gobierno de la Identidad con PAM

La apropiación indebida de la identidad de un usuario es una de las causas fundamentales de muchos incidentes graves de ciberseguridad. La amenaza puede aparecer como un actor malicioso que se hace pasar por un usuario autorizado del sistema, un hacker que crea una cuenta de usuario ficticia o un usuario legítimo que realiza acciones indebidas. En cada caso, los responsables de seguridad pueden tener problemas para detectar las acciones de un usuario malintencionado o descubren el problema después de los hechos.

La Gobernanza y Administración de Identidades (IGA) ofrece una forma de mitigar esos riesgos basados en la identidad. La Gestión de Accesos Privilegiados (PAM), que gestiona los usuarios administrativos, se alinea con IGA, reforzando su eficacia. Comprender cómo trabajan juntos puede ayudar a los responsables de seguridad a reforzar la seguridad basada en una sólida gestión de identidades.

PAM refuerza IGA, mejorando significativamente la seguridad en toda la organización.

¿Qué es IGA?

La IGA forma parte del campo más amplio y en constante evolución de la Gestión de Identidades y Accesos (IAM). Originalmente, se conocía como Administración y Aprovisionamiento de Usuarios (UAP). Mientras que UAP se centraba en el aprovisionamiento de acceso al sistema basado en directorios de usuarios estáticos, IGA lleva el proceso más allá y lo hace más dinámico y granular. Dada la complejidad de las organizaciones actuales y de los sistemas de los que dependen, ya no bastaba con conceder acceso basándose en conjuntos fijos de privilegios. IGA se encarga de gestionar la identidad digital y los derechos de acceso en múltiples sistemas y aplicaciones.

Una solución IGA agrega y correlaciona datos de identidad y permisos, que suelen estar distribuidos libremente por el conjunto de sistemas y recursos de datos de una organización. IGA interviene en el gobierno de los permisos, concediéndolos y retirándolos, al tiempo que certifica el acceso. Al gestionar las solicitudes de acceso, IGA permite la auditoría de acceso e identidad, la elaboración de informes y el análisis. IGA gestiona los derechos de acceso a lo largo del ciclo de vida de la identidad. Con estos atributos, es útil para cumplir la ley Sarbanes Oxley (SOX) y otras normativas como GDPR, 23 NYCRR 500, etc. que exigen controles y auditabilidad del acceso al sistema.

IGA gestiona los derechos de acceso a lo largo del ciclo de vida de la identidad.

¿Qué es la APM?

PAM comprende una colección de procesos y herramientas que gestionan el acceso al back-end administrativo de los sistemas críticos. Los usuarios con privilegios pueden acceder a los controles de los sistemas y modificar la configuración, configurar o eliminar el acceso de los usuarios, y mucho más. Algún tipo de PAM, desde manual hasta automatizado, es absolutamente necesario para cualquier programa serio de InfoSec. Al fin y al cabo, el abuso accidental o deliberado de las cuentas privilegiadas puede tener graves consecuencias para la empresa, como la pérdida de datos, la interrupción del sistema y la violación de la privacidad. PAM ofrece una contramedida.

Una solución PAM ofrece una gestión racionalizada de los privilegios de acceso. Puede conceder y revocar derechos de usuarios privilegiados a sistemas específicos. La solución WALLIX PAM, por ejemplo, centraliza las funciones PAM, dando a los administradores un único punto de control sobre todos los usuarios privilegiados. Con WALLIX, el usuario privilegiado no conoce la contraseña de root del sistema que está administrando. Esto reduce enormemente el riesgo de compartir contraseñas o de que antiguos empleados conserven el acceso privilegiado tras su cese. WALLIX también registra las sesiones de cuentas privilegiadas, lo que resulta útil para la auditoría y la respuesta a incidentes.

Un usuario privilegiado no tiene por qué ser un empleado, ni siquiera una persona. Un usuario privilegiado puede ser casi cualquier persona o cualquier cosa. Una solución PAM gobierna todos los accesos privilegiados de empleados, contratistas y empleados de terceros proveedores. Incluso puede ser un sistema automatizado, que opere dentro o fuera de la empresa.

PAM consiste en una colección de procesos y herramientas que proporciona a los equipos de seguridad una visibilidad y un control completos sobre quién tiene acceso a los sistemas más críticos de una organización.

IGA y PAM juntos: Refuerzo mutuo

Unificar IGA y PAM permite un lugar central de definición y aplicación de políticas para todas las formas de gestión de identidades. Con un enfoque integrado de IGA y PAM, una solicitud de acceso privilegiado puede gestionarse dentro de los parámetros de las políticas de IGA de la organización. Todas las solicitudes y concesiones de acceso forman parte de una única cadena de control de acceso. Tanto el acceso de los usuarios básicos como el de los privilegiados son más fácilmente auditables.

Hay varios enfoques para lograr la relación de refuerzo mutuo entre IGA y PAM. El objetivo debe ser construir un único almacén de identidades autorizadas. Con las API, las dos soluciones pueden facilitar flujos de trabajo automatizados para procesar todas las solicitudes de acceso, incluidas las de acceso privilegiado.

Ventajas de unificar IGA y PAM

• Un único punto de control para el aprovisionamiento de todos los accesos de identidad en la organización.
• Confianza en que las sesiones de acceso privilegiado se realizarán dentro de la política de gobernanza de identidades.
• Facilita la detección de incoherencias en las autorizaciones de acceso, incluidas las violaciones de la segregación de funciones y otras restricciones de acceso basadas en roles, habituales en el cumplimiento normativo.
• Proceso racionalizado de incorporación y baja de todos los usuarios, tanto internos como externos.

Mejorar la seguridad mediante IGA y PAM

Los retos para mantenerse al tanto de la identidad de los usuarios no harán más que crecer a medida que la plantilla se extienda por el espacio físico e insista en utilizar tipos de dispositivos múltiples. Paralelamente, los activos de datos siguen desplazándose hacia nuevos modos de alojamiento, como la nube y las arquitecturas híbridas. La propia idea de «usuario» está evolucionando, con sistemas automatizados e impulsados por IA que ahora realizan una serie de tareas. En este entorno, la necesidad de controles más estrictos sobre la identidad del usuario es esencial. El trabajo conjunto de IGA y PAM ofrece una solución. Ofrecen a los administradores una forma ágil y eficaz de controlar la identidad de los usuarios y sus derechos de acceso.

¿Te interesa saber más sobre la solución WALLIX Bastion PAM y cómo puede conectar con tus procesos IGA existentes? Ponte en contacto con nosotros.