Descontrol de identidades

¿Qué es la expansión de identidad?

La expansión de identidades es la acumulación de cuentas de usuario, cuentas de servicio, identidades privilegiadas y identidades no humanas en múltiples sistemas sin una gobernanza consistente. Ocurre comúnmente cuando las organizaciones adoptan nuevas aplicaciones SaaS, plataformas en la nube y directorios más rápido de lo que retiran los antiguos o los alinean bajo una única estrategia de identidad.

Cada sistema crea sus propias identidades, roles y permisos. Con el tiempo, esto resulta en cuentas duplicadas, acceso obsoleto, aplicación inconsistente del principio de menor privilegio y visibilidad limitada sobre quién tiene acceso a qué y por qué.

¿Por qué la expansión de identidad es un riesgo de seguridad?

La expansión de la identidad amplía la superficie de ataque al crear más credenciales, permisos y relaciones de confianza de las que los equipos de seguridad pueden gestionar razonablemente. Los riesgos comunes incluyen cuentas huérfanas que quedan después de que los empleados se van, usuarios con privilegios excesivos que tienen acceso muy por encima de los requisitos laborales y cuentas de servicio con credenciales de larga duración que rara vez se revisan.

Estas condiciones facilitan que los atacantes escalen privilegios, se muevan lateralmente y accedan a datos sensibles sin activar alertas. Desde una perspectiva de cumplimiento, la expansión de identidad también socava la preparación para auditorías al dificultar la prueba de controles de acceso efectivos.

¿Cómo se desarrolla la expansión de la identidad?

La expansión de identidades generalmente crece a partir de una combinación de decisiones de TI descentralizadas y procesos manuales. La adopción de la nube, fusiones y adquisiciones, IT en la sombra y la incorporación rápida de herramientas SaaS contribuyen a esto. Cuando la provisión y desprovisión se manejan por separado en cada sistema, las identidades persisten más tiempo del previsto y los permisos se acumulan con el tiempo.

La falta de propiedad es otro factor. Cuando ningún equipo único es responsable de la gobernanza de identidad en los entornos, las inconsistencias y las brechas se vuelven inevitables.

Casos de uso

• Salud: Las identidades duplicadas en sistemas clínicos y plataformas de terceros aumentan el riesgo de acceso obsoleto a PHI y exposición a HIPAA.
• Servicios financieros: Las identidades fragmentadas a través de sistemas heredados y en la nube debilitan la segregación de funciones y complican los controles de auditoría.
• Manufactura: Los entornos mixtos de TI/OT y el acceso de contratistas crean identidades no gestionadas con poca visibilidad en los sistemas de producción y la propiedad intelectual.

Cómo reducir la dispersión de identidades

Reducir la expansión de identidades comienza con la visibilidad. Las organizaciones necesitan una vista centralizada de todas las identidades, humanas y no humanas, a través de directorios, plataformas en la nube y aplicaciones.

Las prácticas clave incluyen la automatización de la gestión del ciclo de vida de la identidad para que el acceso se proporcione, ajuste y elimine según los cambios de rol; hacer cumplir el principio de menor privilegio a través de modelos de acceso basados en roles; y realizar certificaciones de acceso regulares para eliminar permisos innecesarios. Consolidar fuentes de identidad y estandarizar políticas en todos los entornos limita aún más la expansión con el tiempo.

Cómo puede ayudar Netwrix

Netwrix ayuda a las organizaciones a reducir la dispersión de identidades al centralizar la gobernanza de identidades en entornos híbridos y en la nube.

Netwrix Identity Manager proporciona una vista unificada de identidades humanas y no humanas a través de directorios, plataformas en la nube y aplicaciones. Al consolidar los datos de identidad en una única capa de gobernanza, queda claro quién tiene acceso a qué, por qué lo tiene y si ese acceso sigue siendo necesario.

Los flujos de trabajo automatizados para unirse, moverse y salir aseguran que el acceso se proporcione, ajuste y elimine según cambios reales en los roles, no procesos manuales. Los modelos de acceso basados en roles y la aplicación impulsada por políticas ayudan a prevenir la acumulación de privilegios y mantener el menor privilegio a medida que los entornos evolucionan.

Las certificaciones y atestaciones de acceso integradas facilitan la revisión regular del acceso y la eliminación de cuentas huérfanas, permisos obsoletos y derechos excesivos. Cada decisión de acceso se rastrea y documenta, apoyando la preparación para auditorías y los requisitos de cumplimiento.

Para la aplicación operativa a nivel de directorio, Netwrix Directory Manager automatiza la gestión de grupos y usuarios en Active Directory y Entra ID, asegurando que las membresías se mantengan precisas y que las identidades se desprovisionen cuando ya no sean necesarias.

Juntas, estas capacidades brindan a las organizaciones un control duradero sobre las identidades, reduciendo la expansión en la fuente en lugar de reaccionar a sus consecuencias.