La gestión segura de identidades y accesos no es un concepto nuevo. Después de todo, los expertos en TI han estado haciendo sonar el tambor para la autenticación multifactor y los administradores de contraseñas digitales durante años para combatir el riesgo de compromiso de las credenciales. Ese mismo riesgo es también el vector de ciberataque inicial más común de  acuerdo con el Informe del Costo de una Violación de Datos de IBM del año  , el culpable del 20% de las violaciones. La gestión de identidades y accesos está disfrutando de otro momento en el centro de atención en este momento, ya que una confluencia de factores la convierte en la solución perfecta para atender una variedad de problemas de seguridad.

El movimiento limitado por la pandemia significó que todo el mundo estaba abriendo nuevas cuentas en línea para la comunicación, la educación, las compras, el entretenimiento y los negocios. En un estudio global  realizado por Morning Consult para IBM, los  investigadores determinaron que las personas crearon un promedio de 15 nuevas cuentas en línea por persona en todo el mundo durante la pandemia. Pero una desventaja importante de ese bombardeo de creación de cuentas es el hecho de que esos usuarios no siempre tuvieron cuidado de crear contraseñas nuevas y seguras , abriendo todas las cuentas que tenían hasta el riesgo de comprometer las credenciales. Más del 80% de los encuestados admitió que habían reutilizado regularmente las contraseñas al crear esas cuentas.  

Obtener una contraseña legítima es, por mucho, la forma más fácil para que un ciberdelincuente ingrese a la red de una empresa para robar datos o implementar ransomware. La repentina proliferación de cuentas en línea generadas por la pandemia también brindó a los ciberdelincuentes aún más oportunidades de robar contraseñas, además de aumentar la probabilidad de que una contraseña que robaran sea útil. Se estima que  20 mil millones de contraseñas nuevas  llegarán a la web oscura en 2020.  Este año también se han acumulado enormes grupos nuevos de contraseñas en la web oscura , poblados a través de volcados de contraseñas gigantes en la web oscura como el  archivo de texto de 100 GB denominado Rock You 2021.  

Un informe reciente de la organización sin fines de lucro Identity Theft Resource Center  mostró que la cantidad de violaciones de datos  que registraron en 2021 ya superó la cantidad total de eventos en el año completo (AF) 2020 en un 17%. Sus investigadores habían totalizado 1.291 infracciones para octubre de 2021, superando las 1.108 registradas en todo 2020 con dos meses restantes en el año. Se espera que esta tendencia continúe y apunta a la alta probabilidad de que el 2021 sea un año récord para el compromiso de los datos (el máximo histórico de 1,529 infracciones se estableció en 2017). Las credenciales fueron el principal tipo de información  robada en violaciones de datos en todo el mundo en 2020. 

Después de que una serie de ciberataques de alto perfil aparecieran en los titulares de todo el mundo, los gobiernos y los reguladores de la industria han comenzado a reconsiderar los requisitos de ciberseguridad para muchas industrias, incluida la gestión de identidades y accesos . Al menos 38 estados, Washington, DC y Puerto Rico tienen legislación pendiente en forma de más de  280 proyectos de ley o resoluciones  que tratan de la seguridad cibernética. Esto incluye un impulso para la administración de acceso después de incidentes de compromiso de credenciales como Colonial Pipeline . La autenticación multifactor (MFA), un elemento básico de IAM, ya es un requisito de muchas de las principales regulaciones de la industria, incluidas HIPAA, PCI-DSS, CJIS, FFIEC. Eso se está convirtiendo rápidamente en el caso en otros sectores. MFA es una práctica recomendada de seguridad. En la UE, el impulso de Privacidad por diseño de GDPR también incluye disposiciones que fomentan la gestión segura de identidades y accesos.

El gobierno federal de los EE. UU. Es uno de los mayores clientes de tecnología y servicios tecnológicos, y se está moviendo rápidamente hacia la confianza cero. El presidente Joseph R. Biden firmó una orden ejecutiva de ciberseguridad el 12 de mayo de 2021 que pide que el gobierno federal adopte una arquitectura de confianza cero. La orden ejecutiva ordena al Departamento de Comercio que cree estándares de ciberseguridad para las empresas que venden servicios de software al gobierno federal, un poderoso motivador en el mercado. Según esta orden, las agencias deben adoptar un enfoque de confianza cero para la identidad y los permisos de los usuarios. La orden también aconseja a las agencias que utilicen varias formas de confirmar la identidad de un usuario cuando inician sesión o se conectan a los sistemas de las agencias federales. 

Las cifras de delitos cibernéticos no están disminuyendo y las empresas están bajo presión para hacer todo lo que sea necesario para reducir el riesgo de ataques cibernéticos. Una de las formas más inteligentes de hacerlo es impulsar la resiliencia cibernética de una empresa. Una organización ciber resiliente  es capaz de enfrentarse a los problemas como un ciberataque. Tener una seguridad de identidad estricta aumenta la resiliencia cibernética de una organización al garantizar que solo las personas y los dispositivos adecuados puedan acceder a su red sin importar en qué condiciones esté operando una empresa. Esto es especialmente importante en un panorama de riesgos en rápido movimiento donde es difícil predecir lo que sucederá a continuación.  

Fuente: ID Agent