Vídeo: Filosofía para cuestionar el mundo que nos rodea. José Carlos Ruiz, filósofo y profesor (De novembre 2024)
El robatori d’identitat és un gran problema per a tothom, però especialment per a aquells en seguretat informàtica. Per combatre aquest problema, les empreses necessiten un enfocament fort i alhora controlat i controlat pel govern de la identitat. Això és especialment difícil perquè comporta gestionar acuradament qui té accés a les aplicacions i serveis i assegurar-se que la informació es registra correctament i és fàcilment accessible per a aquells que ho necessitin. Si algú no autoritzat compromet la passarel·la de xarxa privada virtual (VPN) que la vostra empresa utilitza per a accés remot, haureu d’iniciar la vostra correcció en saber exactament qui té accés a la passarel·la i exactament quins drets controlen cadascun d’aquests usuaris.
El govern d’identitat també implica complir les regulacions que regulen la privadesa de dades, inclosa la Llei de portabilitat i rendició de comptes de l’assegurança mèdica (HIPAA) per a les dades d’atenció sanitària i el Reglament general de protecció de dades (GDPR) de la UE. El GDPR exigeix que es verifiquin les identitats i que s’institueixi l’autenticació multifactorial (MFA) per a qualsevol persona que accedeixi a qualsevol informació identificable personalment (PII). Una forta governança identitària també significa adoptar un enfocament híbrid per a la gestió de la identitat (IDM) al núvol i a les instal·lacions locals. Aquest enfocament híbrid per a la governança requereix utilitzar un procés unificat, segons Darren Mar-Elia, cap de producte del proveïdor IDM de l'empresa Semperis. A la recent Conferència de Protecció de la Identitat Híbrida a la ciutat de Nova York, PCMag va agafar contacte amb Mar-Elia per prendre les millors pràctiques en governança identitària.
PCMag (PCMag): què comporta l’IDM híbrid?
Darren Mar-Elia (DME): Un sistema d’IDM híbrid és només un sistema d’identitat que s’ha estès des dels locals al núvol i normalment sol donar accés a aplicacions basades en núvol.
DME: Moltes empreses administren AD i la gestionen des de fa anys. És aquí on es mantenen els vostres noms d’usuari i contrasenyes i és aquí on es mantenen les vostres membres del grup. Tot això pot afegir-se al núvol o bé crear comptes des de zero al núvol i tenir encara publicitat local. Ara teniu un sistema d’identitat basat en núvols que permet accedir a les aplicacions al núvol i és només una manera de proporcionar identitat. Dit d’una altra manera, qui sóc i a què tinc accés en un entorn de núvol, ja sigui Microsoft Azure o Amazon, o qualsevol cosa que sigui.
PCM: On s'utilitza el tauler de control del programari real per gestionar aquest tipus de govern?
DME: Microsoft, per descomptat, proporciona un portal de gestió per gestionar les identitats del núvol. També hi ha una peça local que us permet fer aquesta sincronització amb Microsoft Azure Active Directory; així controles aquesta peça. Es tracta d’un programari que podríeu executar i gestionar, assegureu-vos que funciona i tot això. En funció de la flexibilitat que necessiteu, podeu treure el màxim profit del portal. Obviouslybviament, funciona al núvol de Microsoft i us ofereix una visió del vostre inquilí. Així, teniu un inquilí que defineix tots els vostres usuaris i tot el vostre accés a les aplicacions.
PCM: Per a quins tipus d'aplicacions necessiteu per gestionar l'accés?
DME: en el cas de Microsoft, podeu gestionar l’accés a aplicacions d’Office com Exchange, SharePoint i OneDrive. Aquestes són les aplicacions que normalment gestionarien en aquest entorn. I administrar significa donar accés a la bústia de algú per poder enviar en nom d’un altre usuari o poder fer informes. Per exemple, podeu veure quants missatges es van enviar al meu sistema i on els van enviar. En el cas de SharePoint, pot ser que estigui configurant llocs a través dels quals les persones puguin col·laborar o especificar qui pot concedir accés a aquesta informació.
PCM: Quins són els reptes clau per abordar l'IDM al núvol versus locals?
DME: Crec que el gran repte és poder fer-ho de manera constant tant al núvol com a les instal·lacions locals. Per tant, tinc l’accés adequat a les instal·lacions i al núvol? Tinc massa accés al núvol enfront del que tinc local? Així doncs, és important fer un seguiment d’aquest tipus de disparitat entre el que puc fer a les instal·lacions i el que puc fer al núvol.
PCM: Quina és la millor manera de trobar l’equilibri entre IDM local i què faig al núvol?
DME: tant si es tracta de subministraments d’usuaris, de gestió d’accés a l’usuari o de certificació d’usuari, cal tenir en compte el fet que pot estar en diverses identitats de núvol a més de les instal·lacions locals. Per tant, si faig una revisió d’accés, no hauria de ser només de les coses a les quals tinc accés a locals. També hauria de ser, a què tinc accés al núvol si faig un esdeveniment de provisió? Si estic en la funció de recursos humans (RR), tindré accés a aplicacions tant a les instal·lacions com al núvol. Quan tinc la provisió amb aquesta funció laboral, hauria de tenir tot aquest accés que se'm concedeix. Quan canvio les funcions del treball, hauria de tenir tot aquest accés per a la funció de treball, que és local i al núvol. Aquest és el repte.
PCM: Quin paper juga l'aprenentatge automàtic (ML) en l'IDM o la identitat híbrida?
DME: els proveïdors d’identitat del núvol tenen visibilitat sobre qui inicia la sessió, des d’on inicien la sessió i amb quina freqüència inicien la sessió. Utilitzen ML en aquests grans conjunts de dades per poder inferir patrons entre els diferents inquilins. Així, per exemple, hi ha accessos sospitosos al vostre llogater; L'usuari es connecta des de Nova York i cinc minuts després des de Berlín? Es tracta bàsicament d’un problema de ML. Esteu generant moltes dades d'auditoria cada vegada que algú inicia la sessió i utilitzeu models de màquines per relacionar bàsicament patrons que poden ser sospitosos. En endavant, crec que ML s’aplicarà a processos com ara les revisions d’accés per poder inferir el context d’una revisió d’accés en lloc de donar-me només una llista de grups que estic i dir: “sí, hauria d’estar en aquest grup "o" no, no hauria d'estar dins d'aquest grup. " Crec que es tracta d’un problema d’ordre superior que probablement es resoldrà, però és un àmbit on crec que ML ajudarà.
PCM: Quant a ML que ajuda a IDM híbrids, això vol dir que ajuda tant localment com al núvol?
DME: Fins a cert punt, això és cert. Hi ha productes tecnològics específics que recopilaran, per exemple, dades d’interacció d’auditoria o AD entre AD locals i també dades d’identitat del núvol, i podran presentar-los amb el mateix tipus de llista de riscos on hi ha accessos sospitosos locals. AD o al núvol. No crec que sigui perfecte avui. Voleu pintar una imatge que mostri un canvi contextual perfecte. Si sóc un usuari en un anunci de propietat local, hi ha probabilitats, si estic compromès, podria estar compromès tant en AD local com en Azure AD. No sé que aquest problema encara s'ha resolt completament.
PCM: Heu parlat sobre "aprovisionament de dret general". Què és això i quin paper té aquest paper en els IDM híbrids?
DME: El subministrament de Birthright és simplement l’accés que tenen els nous empleats quan s’uneixen a una empresa. Obtenen provisions amb un compte i quin accés tenen, i on es proporcionen. Tornant al meu exemple anterior, si sóc una persona de recursos humans que s’incorpora a l’empresa, obtindré un anunci publicitari. Probablement obtindré un AD Azure, potser mitjançant sincronització, però potser no, i accediré a un conjunt de coses per fer el meu treball. Poden ser aplicacions, pot ser que comparteixen fitxers, poden ser llocs de SharePoint o bé, poden ser bústies de bescanvi. Tota la provisió i la concessió d'accés haurien de passar quan m'uneixo. Això és bàsicament una provisió bàsica.
PCM: També heu parlat d’un concepte anomenat “estampació de goma”. Com funciona això?
DME: Les regulacions de moltes empreses cotitzades en borsa diuen que han de revisar l’accés a sistemes crítics que contenen coses com informació personal, dades del client i informació sensible. Per tant, heu de revisar l’accés de forma periòdica. Normalment és trimestral, però depèn de la regulació. Però, normalment, el que funciona és que teniu una aplicació que genera aquestes revisions d’accés, envia una llista d’usuaris d’un grup en particular a un gestor responsable d’aquest grup o aplicació i, aleshores, aquesta persona ha de certificar que tots aquells usuaris encara. pertanyen a aquest grup. Si en generes molts, i un gestor té un treball excesiu, és un procés imperfecte. No sabeu que el revisen. Ho revisen tan a fons com cal? És realment aquesta gent encara necessita accés? I això és l'estampat de goma. De manera que, si realment no hi esteu prestats atenció, sol ser una revisió que indiqui "Sí, vaig fer la revisió, ja està feta, la vaig treure del cabell", a diferència de comprendre realment si l'accés és encara necessitava
PCM: La revisió d'accés a l'estampació de cautxú és un problema o és només una qüestió d'eficiència?
DME: Crec que són les dues coses. La gent està massa treballada. Ells reben moltes coses, i sospito que és un procés difícil seguir a més a més de fer qualsevol altra cosa. Per tant, crec que està feta per motius normatius, amb els quals estic totalment d’acord i entenc. Però no sé si és necessàriament el millor enfocament o el millor mètode mecànic per fer revisions d’accés.
PCM: Com s’enfronten les empreses al descobriment de funcions?
DME: la gestió d’accés basada en papers és aquesta idea que assigneu accés en funció del paper d’un usuari a l’organització. Potser és la funció empresarial de la persona o la feina de la persona. Es podria basar en el títol de l’individu. El descobriment de rols és el procés d’intentar descobrir quins rols poden existir de manera natural a l’organització en funció de com es concedeix avui l’accés a la identitat. Per exemple, podria dir que aquesta persona de recursos humans és membre d’aquests grups; per tant, el rol de persona en recursos humans hauria de tenir accés a aquests grups. Hi ha eines que poden ajudar-vos a construir bàsicament rols en funció de l’accés existent que s’ha concedit a l’entorn. I aquest és el procés de descobriment de rols que vivim quan intenteu construir un sistema de gestió d'accés basat en papers.
PCM: Teniu algun consell que podeu proporcionar a les empreses petites o mitjanes empreses (SMB) sobre com abordar les IDM híbrides?
DME: Si ets un SMB, crec que l’objectiu és no viure en un món d’identitat híbrida. L’objectiu és arribar a una identitat només en núvol i intentar arribar-hi el més ràpidament possible. Per a una PIME, les complexitats de la gestió de la identitat híbrida no són un negoci en què volen ser. És un esport per a les empreses realment grans que ho han de fer perquè tenen tantes coses locals. En un món amb pimes, crec que l’objectiu hauria de ser "Com puc arribar a un sistema d’identitat al núvol més aviat que tard? Com puc sortir del negoci local més aviat que tard?" Probablement aquest és el plantejament més pràctic.
PCM: Quan haurien d’utilitzar les empreses híbrides versus només locals o simplement núvols?
DME: Crec que la raó més gran que existeix l’híbrid és perquè tenim organitzacions més grans amb molta tecnologia heretada en sistemes d’identitat locals. Si una empresa comencés a zero avui… no desplegarà AD com a nova empresa; estan creant Google AD amb Google G Suite i ara viuen completament al núvol. No tenen infraestructura local. Per a moltes organitzacions més grans amb tecnologia que fa anys que no són pràctiques. Així que han de viure en aquest món híbrid. Tant si arriben només al núvol, probablement depèn del model de negoci i quina prioritat tingui per a ells i quins problemes tractin de resoldre. Tot el que hi entra. Però crec que per a aquestes organitzacions estaran en un món híbrid durant molt de temps.
PCM: Quin seria un requisit empresarial que els impulsaria al núvol?
DME: una típica és com una aplicació empresarial que es troba al núvol, una aplicació SaaS com Salesforce, Workday o Concur. I és que aquestes aplicacions esperen proporcionar una identitat al núvol per poder-los donar accés. Cal que tingueu la identitat del núvol en algun lloc, i així passa normalment. Microsoft és un exemple perfecte. Si voleu utilitzar Office 365, haureu de proporcionar identitats a Azure AD. No hi ha opció. De manera que això empenta la gent a obtenir el seu AD Azure i, un cop hi són, potser decideixen que volen realitzar la sessió única a altres aplicacions web, a altres aplicacions SaaS al núvol i ara són al núvol.
- 10 passos essencials per protegir la vostra identitat en línia 10 passos bàsics per protegir la vostra identitat en línia
- Les millors solucions de gestió de la identitat per al 2019 Les millors solucions de gestió de la identitat per al 2019
- 7 passos per minimitzar el frau i l'expressió de la identitat del CEO 7 7 passos per minimitzar el frau i l'exposició de la identitat del CEO
PCM: Hi ha grans prediccions per al futur de l'IDM o el govern?
DME: La gent encara no pensa en una governança d’identitat híbrida ni en un IDM híbrid. Crec que això ha de succeir, ja sigui per si s’imposen les regulacions o els proveïdors augmenten i proporcionen aquesta solució de govern d’identitat extrem a extrem per a aquests mons híbrids. Crec que inevitablement haurà de succeir qualsevol, i la gent haurà de resoldre problemes com la separació dels deures entre la identitat híbrida i la gestió d’accés. Crec que aquest és probablement el resultat més inevitable que es produirà més aviat que tard.