3 inversiones que Microsoft realiza para mejorar la gestión de identidad
Por: Equipo de seguridad de Microsoft.
Como una empresa grande de alcance global, Microsoft tiene los mismos riesgos de seguridad que sus clientes. Tenemos una fuerza laboral distribuida, móvil, que accede a recursos corporativos desde redes externas. Muchos individuos luchan para recordar contraseñas complejas o reutilizan una contraseña en diferentes cuentas, lo que los vuelve vulnerables a ataques. Debido a que Microsoft ha adoptado la transformación digital para nuestro propio negocio, hemos cambiado a una estrategia de seguridad que pone al centro a fuertes identidades de empleado. Muchos de nuestros clientes se encuentran en un trayecto similar y podrían encontrar valor en nuestro enfoque actual de gestión de identidad.
Nuestra meta es reducir el riesgo de una identidad comprometida e impulsar a la gente para que sean eficientes y ágiles sin importar si están o no en nuestra red.
Nuestras soluciones de gestión de identidad se enfocan en tres áreas clave:
- Asegurar las cuentas de administrador.
- Eliminar contraseñas.
- Simplificar el aprovisionamiento de identidad.
Lean a continuación para conocer más detalles sobre cada una de estas áreas de inversión, para consejos sobre escalar su inversión para cumplir con su presupuesto, y conclusiones sobre información clave que les puede ayudar a implementar nuevas políticas de manera fluida.
Asegurar cuentas de administrador
Nuestros administradores tienen acceso a los datos y sistemas más sensibles de Microsoft, lo que los convierte en objetivo de los atacantes. Para mejorar la protección de nuestra organización, es importante limitar el número de personas que tienen acceso privilegiado e implementar controles elevados para cuándo, cómo, y dónde podrían ser utilizadas las cuentas de administrador. Esto ayuda a reducir las probabilidades de que una persona malintencionada pueda obtener acceso.
Existen tres prácticas que recomendamos:
- Asegurar dispositivos – Establezcan un dispositivo separado para tareas administrativas que esté actualizado y que cuente con el software y sistema operativo más recientes.
- Identidad aislada – Emitan una identidad de administrador desde un espacio de nombres o bosque separado que no pueda acceder a internet y que sea diferente de la información de identidad de trabajador del usuario. A nuestros administradoras se les solicita que utilicen una tarjeta inteligente para acceder a su cuenta.
- Acceso no persistente – Otorguen cero derechos por defecto a las cuentas de administrador. Soliciten que ellos pidan privilegios justo a tiempo (JIT, por sus siglas en inglés) que les brinden acceso al sistema por una cantidad finita de tiempo y registros.
Las asignaciones de presupuesto podrían limitar la cantidad que ustedes pueden invertir en estas tres áreas; sin embargo, aún recomendamos que realicen las tres al nivel que haga más sentido a su organización. Calibren el nivel de los controles de seguridad en el dispositivo seguro para cumplir con su perfil de riesgo.
Eliminar contraseñas
La comunidad de seguridad ha reconocido por varios años que las contraseñas no son seguras. Los usuarios luchan por crear y recordar docenas de contraseñas complejas, y los usuarios son mejores para conseguir contraseñas a través de métodos como phishing y ataques de dispersión de contraseña. Cuando Microsoft exploró por primera vez el uso de Autenticación Multi Factor (MFA, por sus siglas en inglés) para nuestra fuerza de trabajo, entregamos tarjetas inteligentes a cada empleado. Este era un método de autenticación muy seguro; sin embargo, era engorroso para los empleados. Encontraron métodos alternativos, como reenviar email de trabajo a una cuenta personal, lo que nos hacía menos seguros.
Con el tiempo, nos dimos cuenta que eliminar las contraseñas era una solución mucho mejor. Esto nos brindó una lección importante: cuando instituyan políticas para mejorar la seguridad, siempre recuerden que una gran experiencia de usuario es crítica para la adopción.
A continuación algunos pasos que pueden dar para prepararse para un mundo sin contraseñas:
- Apliquen MFA – Cumplan con el estándar 2.0 de identidad rápida en línea (FIDO, por sus siglas en inglés), para que soliciten un PIN y biométrico para autenticación en lugar de una contraseña. Windows Hello es un gran ejemplo, pero elijan el método MFA que funcione mejor para su organización.
- Reduzcan los flujos de trabajo legados de autenticación – Coloquen las aplicaciones que requieran contraseña en un portal separado de acceso de usuario y migren a los usuarios a flujos modernos de autenticación la mayor parte del tiempo. En Microsoft, sólo 10 por ciento de nuestros usuarios ingresan una contraseña en un día cualquiera.
- Eliminen contraseñas – Creen consistencia a través de Active Directory y Azure Active Directory (Azure AD) para permitir a los administradores eliminar contraseñas desde el directorio de identidad.
Simplificar el aprovisionamiento de identidad
Creemos que el paso de gestión de identidad más sobrevalorado que pueden dar es simplificar el aprovisionamiento de identidad. Establezcan sus identidades con acceso a justo los sistemas y herramientas adecuadas. Si brindan mucho acceso, ponen a su organización en riesgo si la identidad se compromete. Sin embargo, aprovisionar de manera baja podría impulsar a la gente a solicitar acceso para más de lo que necesitan para evitar solicitar permiso de nuevo.
Tomamos estos dos enfoques:
- Establezcan acceso basado en roles – Identifiquen los sistemas, herramientas y recursos que cada rol necesita para hacer su trabajo. Establezcan reglas de acceso que faciliten el dar a un nuevo usuario los permisos correctos cuando establezcan su cuenta o ellos cambien de rol.
- Establezcan un proceso de gobierno de identidad – Asegúrense que conforme su gente se mueve de rol no continúen con accesos que ya no necesitan.
Establecer el acceso correcto para cada rol es tan importante que si sólo pueden seguir una de nuestras recomendaciones, enfóquense en aprovisionamiento de identidad y gestión de ciclo de vida.
Lo que hemos aprendido
Conforme toman pasos para mejorar su gestión de identidad, tengan en mente las siguientes lecciones que Microsoft ha aprendido en el camino:
- Cambios culturales a nivel empresarial – Conseguir los recursos tecnológicos y de hardware para una empresa más segura puede ser complicado. Conseguir que la gente modifique su comportamiento es aún más complicado. Para poder implementar una nueva iniciativa de manera exitosa, planeen cambios culturales a nivel empresarial.
- Más allá del dispositivo – Una fuerte gestión de identidad trabaja de la mano con dispositivos saludables.
- La seguridad comienza con el aprovisionamiento – No pospongan la gobernanza. El gobierno de identidad es crucial para asegurar que las compañías de todos tamaños puedan auditar los privilegios de acceso de todas las cuentas. Inviertan de manera temprana en capacidades que den a la gente correcta el acceso a las cosas correctas en el tiempo correcto.
- Experiencia de usuario – Hemos descubierto que si combinan factores de experiencia de usuario con mejores prácticas en seguridad, obtendrán el mejor resultado.
Conozcan más
Para más detalles sobre cómo la gestión de identidad se adecúa con el marco de trabajo general de seguridad en Microsoft y a nuestro mapa de ruta, vean el webinar Speaking of security: Identity management.