Por: Joy Chik, vicepresidente corporativo de Microsoft Identity.
Cuando describí las cinco prioridades de identidad para 2020, el mundo era un lugar muy diferente. Desde entonces, la pandemia de COVID-19 ha cambiado para siempre la manera en que las organizaciones dirigen sus negocios. También ha cambiado la manera en que trabajamos, aprendemos y colaboramos. Lo que no ha cambiado es el papel fundamental que desempeña la identidad para ayudar a las organizaciones a ser seguras y productivas.
Ya hemos compartido el progreso conseguido con nuestras soluciones integradas de seguridad, cumplimiento, identidad y gestión. Por sí sola, la identidad ha crecido a un ritmo sin precedentes: de 300 millones de usuarios activos mensuales en marzo de 2020, a 425 millones en la actualidad. Las organizaciones alrededor del mundo han acelerado la adopción de aplicaciones de seguridad y colaboración. Pero detrás de esos números, hay historias de clientes como ustedes, que trabajan sin descanso para ayudar a sus organizaciones a mantenerse a la vanguardia.
Mientras se desarrolla nuestra tradicional semana de innovación conjunta con los clientes, y reflexiono sobre las metas de negocio y los desafíos de nuestros clientes, quiero compartir cinco prioridades de identidad para este año. Muchas de las recomendaciones que describí el año pasado todavía aplican. De hecho, son aún más relevantes a medida que las organizaciones aceptan la nueva normalidad del trabajo flexible mientras los malos actores continúan con su dominio de sofisticadas técnicas de ciberataques. Nuestras recomendaciones para 2021 les ayudarán a fortalecer sus bases de identidad y seguridad a largo plazo, para que estén listos para lo que venga a continuación.
-
Confiar en Cero Confianza
Cero Confianza está de vuelta este año, pero ahora está en la parte más alta de la lista. La mentalidad de “asumir una brecha” de Cero Confianza, se ha vuelto un imperativo de los negocios. Las organizaciones necesitan fortalecer sus defensas para dar a los empleados la flexibilidad de trabajar desde cualquier lugar, usar aplicaciones que viven fuera de las protecciones tradicionales de la red corporativa. Cuando sucedió la pandemia el año pasado, trabajamos codo a codo con muchos de ustedes. Nos dimos cuenta que a las organizaciones que ya estaban en su jornada de Cero Confianza les fue más fácil realizar la transición al trabajo remoto y fortalecer su capacidad de defenderse de ataques sofisticados.
La buena noticia es que 94 por ciento de los líderes de seguridad que encuestamos en julio de 2020, nos dijeron que ya se habían embarcado en una jornada de Cero Confianza. Donde sea que se encuentren en su jornada, les recomendamos hacer de la identidad la base de su enfoque. Pueden protegerse contra credenciales comprometidas con herramientas esenciales como la autenticación multifactor (MFA, por sus siglas en inglés) y beneficiarse de innovaciones como la evaluación de riesgo en Identity Protection, la evaluación de acceso continuo, las políticas de protección de aplicaciones de Intune, así como el proxy de aplicación de Microsoft Azure Active Directory (Azure AD) y Microsoft Tunnel.
De cara al futuro, a medida que más servicios actúen como personas que ejecutan aplicaciones (a través de llamadas a API o automatización) y acceden a o cambien datos, asegúrenlos con los mismos principios: asegúrense de que sólo tengan acceso a los datos que necesitan, cuando los necesitan, y protejan sus credenciales de uso indebido.
Cuándo comenzar: Tomen la evaluación Cero Confianza y visiten nuestro Deployment Center para orientación de despliegue.
-
Asegurar el acceso a todas las aplicaciones
Esta fue nuestra principal recomendación en 2020, y hoy no podría ser más importante. El crecimiento en el uso de aplicaciones con Azure AD muestra que las organizaciones conectan más aplicaciones al inicio de sesión único. Si bien esto proporciona acceso fluido y seguro a más aplicaciones, la mejor experiencia vendrá de conectar todas las aplicaciones a Azure AD, para que las personas puedan completar todas las tareas relacionadas con el trabajo desde casa, y mantenerse más seguros durante la pandemia. Conectar todas las aplicaciones a Azure AD también simplifica el ciclo de vida de la identidad, refuerza los controles y minimiza el uso de contraseñas débiles. El resultado es una seguridad más sólida a un costo menor: Forrester estima que tal movimiento puede ahorrar a una empresa promedio casi dos millones de dólares en tres años.
La galería de aplicaciones de Azure AD incluye miles de aplicaciones preintegradas que simplifican la implementación de inicio de sesión único y el aprovisionamiento de usuarios. Si quieren extender MFA y el Acceso Condicional a las aplicaciones locales legadas, incluidas las aplicaciones basadas en encabezados, usen Azure AD Application Proxy o una solución integrada de uno de nuestros socios de acceso híbrido seguro. Con nuestras herramientas de migración, pueden modernizar la autenticación de todas las aplicaciones y retirar su implementación de ADFS. Esto ayudará a prevenir ataques que son en particular difíciles de detectar en sistemas locales de identidad.
También es importante limitar el número de administradores que pueden gestionar aplicaciones en su organización, para proteger a las cuentas con privilegios con MFA y Conditional Accesss, y requerir la elevación justo a tiempo (JIT, por sus siglas en inglés) a roles de administrador con Privileged Identity Management.
Donde comenzar: Aprendan cómo usar Azure AD para conectar su fuerza laboral con todas las aplicaciones que necesitan.
-
Dejen atrás las contraseñas
Vamos a seguir con el mantra “Dejen atrás las contraseñas” siempre que las contraseñas sigan siendo difíciles de recordar para las personas y fáciles de adivinar o robar para los hackers. Desde el año pasado, hemos visto un gran progreso: en mayo, compartimos que más de 150 mil millones de usuarios en las cuentas de consumidor de Azure AD y Microsoft usaban autenticación sin contraseñas. Para noviembre, el uso sin contraseña tan solo en Azure AD había aumentado en más del 50 por ciento año tras año en Windows Hello for Business, Microsoft Authenticator, y en las claves de seguridad FIDO2, de socios como AuthenTrend, Feitian o Yubico.
La autenticación sin contraseña puede minimizar o eliminar muchos vectores de ataque de identidad, incluidos los explotados en los ciberataques más sofisticados. Como mínimo, dejar atrás las contraseñas no debería ser negociable para las cuentas de nivel de administrador. Además, proporcionar a los empleados una experiencia rápida y sencilla de inicio de sesión ahorra tiempo y reduce la frustración. Forrester estima que la consolidación de una sola solución de identidad y brindar un conjunto de credenciales, ahorra en promedio a cada empleado 10 minutos a la semana, o más de 40 horas al año. Imaginen ahorros adicionales al no tener que restablecer contraseñas o mitigar ataques de phishing.
Dónde comenzar: Lean el reporte de Forrester: “The Total Economic Impact™ Of Securing Apps With Microsoft Azure Active Directory”.
-
Elegir y crear aplicaciones seguras por diseño
Debido a que los ataques a las aplicaciones continúan con su crecimiento, es importante ir un paso más allá de la integración de aplicaciones con Azure AD para implementar aplicaciones que son seguras por diseño. Construyan una autenticación segura en las aplicaciones que escribieron a través de Microsoft Authentication Library (MSAL). De manera ideal, las aplicaciones también deberían dejar atrás las contraseñas, así que asegúrense que usan credenciales sólidas como los certificados. Si sus aplicaciones interactúan con otros servicios de Microsoft, aprovechen las API de identidad en Microsoft Graph. Cuando sea posible, elijan aplicaciones de terceros de editores verificados. Dado que las insignias de verificación de editor facilitan determinar si una aplicación viene de una fuente auténtica, animen a sus socios ISV a convertirse en editores verificados si es que aún no lo han hecho.
Dado que la mayoría de las aplicaciones solicitan acceder a datos de la empresa, los administradores pueden optar por revisar las solicitudes de consentimiento antes de otorgar permisos. Si bien no revisar las solicitudes es un riesgo para la seguridad, hacerlo para cada aplicación utilizada por cada empleado toma mucho tiempo y es costoso. Por fortuna, nuevas funciones como las políticas de consentimiento de la aplicación y el flujo de trabajo de consentimiento del administrador, ayudan a evitar las opciones extremas de revisar todas las solicitudes o delegar toda la responsabilidad a los empleados. De manera regular, revisen su cartera de aplicaciones y tomen medidas sobre aplicaciones inactivas, sospechosas o con privilegios excesivos.
Dónde comenzar: Actualicen sus aplicaciones para usar Microsoft Authentication Library y Microsoft Graph API, adopten políticas de consentimiento de aplicación y prácticas de verificación de editor, y sigan las mejores prácticas de la plataforma de identidad.
-
Romper los límites de la colaboración
Sabemos que socios, clientes y trabajadores de primera línea son esenciales para su negocio. Ellos también necesitan un acceso sencillo y seguro a las aplicaciones y recursos para poder colaborar y ser productivos, mientras que los administradores necesitan visibilidad y controles para proteger los datos sensibles.
Simplifiquen la colaboración para usuarios externos con flujos de registro de autoservicio intuitivos y la conveniencia de usar su correo electrónico o cuenta social existentes. Para los trabajadores de primera línea, Azure AD ofrece acceso sencillo, a través de inicio de sesión con un código de acceso SMS de un solo uso, que elimina la necesidad de recordar nuevas credenciales. Para los gerentes de primera línea, el portal My Staff facilita configurar el inicio de sesión por SMS, restablecer contraseñas, y conceder acceso a recursos y dispositivos compartidos sin depender del soporte técnico o de TI.
La visibilidad y el control son más fáciles de conseguir cuando se administran todas las identidades con un conjunto común de herramientas. Pueden aplicar las mismas políticas de Conditional Access para un control de acceso detallado a servicios, recursos y aplicaciones. Al configurar campañas de revisión de acceso o utilizar revisiones automatizadas de acceso para todos los invitados externos en grupos de Microsoft Teams y Microsoft 365, pueden asegurarse de que los invitados externos no alarguen su bienvenida y sólo accedan a los recursos que necesitan.
Dónde comenzar: Conozcan más sobre Azure AD External identities y usar Azure AD para impulsar a los trabajadores de primera línea.
Comiencen ahora con vistas hacia el futuro: Exploren las credenciales verificables
Durante la pandemia, han tenido que respaldar no sólo el trabajo remoto, sino también el reclutamiento remoto. Las personas suelen presentarse a la entrevista con documentos en mano que confirman su identidad y cualificaciones. Es más complicado examinar a los candidatos de manera remota, en especial cuando la contratación debe realizarse con rapidez: por ejemplo, en el caso de trabajadores esenciales.
Microsoft y los socios de verificación de identidad líderes, amplían la frontera de identidad al transformar las prácticas existentes de verificación de identidad con estándares abiertos para credenciales verificables e identificadores descentralizados. Las credenciales verificables son el equivalente digital de documentos como las licencias de conducir, pasaportes y diplomas. En este paradigma, los individuos pueden verificar una credencial con un socio de verificación de identidad una vez, luego agregarla a Microsoft Authenticator (y otras billeteras compatibles) y usarla en todas partes de manera confiable. Por ejemplo, un trabajador autónomo puede verificar su licencia de conducir y su fotografía de manera digital, y luego usarla para ser contratado por un servicio de transporte compartido y una empresa de entrega de alimentos.
Este enfoque puede mejorar la verificación y proteger la privacidad en todo el ciclo de vida de la identidad: incorporación, activación de credenciales, protección del acceso a aplicaciones y servicios, y recuperación de credenciales perdidas u olvidadas. Estamos en pruebas piloto de esta tecnología con clientes como el Servicio Nacional de Salud (NHS, por sus siglas en inglés) en Reino Unido y MilGears, un programa del Departamento de Defensa de Estados Unidos que ayuda a los miembros del servicio y veteranos a inscribirse en la educación superior e impulsar sus carreras civiles.
Dónde comenzar: Vean nuestra sesión de Microsoft Ignite sobre Identidad Descentralizada y únanse a Decentralized identity Foundation.
Ya sea que su prioridad principal sea modernizar su infraestructura y aplicaciones o implementar una estrategia de seguridad de Cero Confianza, estamos comprometidos en ayudarles en cada paso del camino. Por favor envíen sus comentarios para que sepamos qué innovaciones de identidad necesitan para avanzar en su jornada de transformación digital.