Cómo integrar la gobernanza de identidades no humanas (NHI) en su estrategia de identidad y acceso

Este artículo explica por qué las identidades no humanas (NHI) son un importante punto ciego en el cumplimiento normativo y la seguridad de las empresas. Aprenderá a identificarlas y clasificarlas, a evaluar sus riesgos de cumplimiento normativo y a comprender por qué los marcos tradicionales se quedan cortos.

Describiremos las mejores prácticas para el inventario, la gobernanza, la gestión del ciclo de vida y la supervisión que satisfagan las necesidades normativas y empresariales, proporcionándole una hoja de ruta para reforzar el cumplimiento, reducir el riesgo de infracción y hacer de la gobernanza de NHI un activo estratégico.

Entender las identidades no humanas

Las identidades no humanas (NHI) -cuentas de servicio, claves API, bots de automatización y roles en la nube- son entidades digitales que operan dentro de los sistemas empresariales sin interacción humana directa.

Se autentican, interactúan y realizan acciones de forma muy similar a los usuarios humanos, pero existen únicamente para permitir el funcionamiento de procesos, aplicaciones y servicios. Los NHI se pueden encontrar en todas las capas de la infraestructura moderna y a menudo son fundamentales para las operaciones empresariales.

Se han convertido silenciosamente en la población dominante en los ecosistemas empresariales. En algunas organizaciones, superan en número a las identidades humanas en una proporción de hasta 100:1.

Sin embargo, a pesar de su ubicuidad, las IPN siguen siendo un punto ciego en materia de cumplimiento. Marcos como PCI DSS, GDPR, ISO 27001, SOC 2 y NIS2 exigen controles de acceso y supervisión, pero en la práctica, la mayoría de los programas de cumplimiento siguen centrándose en las cuentas humanas.

 

Tipos de NHI

  • Usuarios de máquinas: Cuentas creadas específicamente para servidores, máquinas virtuales u otros componentes de infraestructura para realizar tareas sin intervención humana.
  • API (interfaces de programación de aplicaciones): Interfaces que permiten a los sistemas de software comunicarse. Cada API a menudo requiere sus propias credenciales de autenticación, lo que la convierte en una NHI por derecho propio.
  • Microservicios: Servicios ligeros y modulares que se comunican entre sí a través de API. Cada microservicio puede tener su propia identidad y conjunto de permisos.
  • Bots de automatización: Scripts o programas diseñados para realizar tareas repetitivas a velocidad de máquina, a menudo interactuando con múltiples sistemas y fuentes de datos.
  • Roles en la nube: Construcciones de identidad dentro de las plataformas en la nube (como los roles de AWS IAM o Azure Managed Identities) que otorgan permisos de acceso a servicios y recursos.

 

Por qué son importantes

Los NHI son esenciales para el funcionamiento de los entornos de nube, SaaS, DevOps y automatización. Cada canalización de despliegue, migración a la nube o integración de servicios suele crear nuevos NHI. Esto significa que la huella del NHI se expande continuamente a medida que las organizaciones adoptan nuevas tecnologías y flujos de trabajo.

Las mismas características que hacen que las NHI sean valiosas -velocidad, escalabilidad y automatización- también las convierten en un reto único a la hora de gestionarlas. Sin visibilidad y gobernanza, las NHI pueden acumularse rápidamente, convirtiéndose en vectores de riesgo invisibles incrustados en lo más profundo de la infraestructura.

Los riesgos de cumplimiento y seguridad que no puede permitirse ignorar

Los equipos de cumplimiento y los líderes de seguridad están sometidos a una presión cada vez mayor para abordar las vulnerabilidades. Sin embargo, cuando se trata de identidades no humanas, los riesgos a menudo permanecen ocultos hasta que causan daños cuantificables. He aquí las áreas de riesgo más comunes y costosas que requieren atención inmediata.

  1. Visibilidad e inventario limitados
    Sin un inventario completo, las identidades no humanas se convierten en puntos de acceso no gestionados, desconocidos, no supervisados y potencialmente explotables.
  2. Propiedad y responsabilidad débiles

    Las NHIs a menudo no tienen un propietario claramente asignado, lo que hace más difícil rastrear violaciones o asignar responsabilidades.
  3. Gestión deficiente del ciclo de vida de las credenciales
    Las claves API y las credenciales de cuentas de servicio rara vez se rotan o revocan, lo que crea objetivos duraderos y de alto valor.
  4. Lagunas de supervisión
    Las IPH eluden con frecuencia los mecanismos de detección diseñados para el comportamiento humano – El 94% de las organizaciones carecen de visibilidad completa sobre ellas.
  5. Cuentas con privilegios excesivos e inactivas
    Los permisos excesivos y las cuentas inactivas proporcionan rutas de movimiento lateral fáciles para los atacantes.

El coste es real: las filtraciones que implican credenciales no humanas suponen una media de 4,81 millones de dólares , y el 80% de las filtraciones de datos están relacionadas con credenciales robadas o utilizadas indebidamente.

 

Por qué los modelos de cumplimiento tradicionales se quedan atrás

Los controles de cumplimiento actuales están diseñados para la actividad humana: avisos MAF, supervisión del inicio de sesión del usuario, líneas de base de comportamiento. NHIs:

  • No utilizan MFA
  • Se crean mediante programación y persisten indefinidamente
  • Son difíciles de evaluar mediante herramientas de supervisión centradas en el ser humano.

Este desajuste deja un peligroso vacío de gobernanza.

 

Requisitos reglamentarios para las NHI

Los reguladores son claros: las IH entran en su ámbito de aplicación. El reto consiste en implantar controles que funcionen a la velocidad y escala de las máquinas.

  • SOC 2 exige controles y auditorías estrictos para todas las identidades.
  • La norma ISO 27001 exige una gestión continua de los riesgos en todos los sistemas, incluida la automatización.
  • La NIS2 amplía las salvaguardias a las API, los scripts y otros NHI.

 

Mejores prácticas para el cumplimiento y la seguridad de las NHI

  1. Establezca un inventario exhaustivo
    Despliegue herramientas automatizadas de descubrimiento y mapeo para identificar cada NHI a través de entornos híbridos, multi-nube y on-prem.
  2. Asignar propiedad y gobernanza

    Cada ICN debe tener un propietario responsable con una clara capacidad de auditoría.
  3. Implementar la automatización del ciclo de vida de las credenciales
    Automatice la caducidad, aplique la rotación y dé de baja rápidamente las NHI no utilizadas.
  4. Aplicar el mínimo privilegio y revisiones periódicas del acceso
    Ajuste continuamente los permisos al nivel mínimo necesario y revíselos periódicamente.
  5. Aplique la supervisión continua y la detección de anomalías
    Aproveche la supervisión de la actividad en tiempo real, la detección de anomalías y los mecanismos de respuesta automatizada.
  6. Centralice la gestión de NHI
    Unifique la visibilidad y la aplicación de políticas en todas las plataformas.
  7. Sustituya los secretos estáticos por credenciales efímeras
    Adopte certificados efímeros y conscientes del contexto y verificación en tiempo de ejecución.

 

Convertir el riesgo en preparación

Las IPH son ahora los principales usuarios de los ecosistemas digitales. Tratarlas como ciudadanos de segunda clase en los marcos de cumplimiento es una apuesta arriesgada.

Los líderes de seguridad con visión de futuro están integrando de forma proactiva la gobernanza de las IHN en sus programas de cumplimiento, riesgo y gestión de identidades.

Si necesita ayuda para cerrar las brechas de auditoría, reducir la exposición a infracciones y proteger la confianza de la marca, háganoslo saber.

El camino a seguir no consiste sólo en pasar las auditorías, sino en proteger a los “usuarios” más prolíficos de su entorno antes de que lo hagan los atacantes.