O gerenciamento de acesso deve ficar mais forte em um mundo de confiança zero

O gerenciamento de acesso (AM) bem feito é o combustível para uma transformação digital bem-sucedida. Identidades e AM são essenciais para conquistar a confiança dos clientes — uma obrigação para as iniciativas digitais para obter um início sólido e gerar receita.

AM e identidades devem ser granulares, baseadas em função e o mais just-in-time possível. As empresas que alcançam isso hoje estão vendo as estruturas de segurança de confiança zero se tornando fundamentais para o crescimento da receita impulsionado digitalmente.

Os CISOs dizem à VentureBeat que seus orçamentos de segurança cibernética estão mais intimamente ligados do que nunca à proteção dos ganhos de receita da transformação digital. E eles veem o trabalho para aumentar os canais de receita digitais como uma oportunidade de crescimento na carreira.

Os profissionais de segurança e gerenciamento de riscos devem transformar AM em força de segurança cibernética e mostrar que as estruturas de confiança zero são adaptáveis ​​e flexíveis na proteção de novas identidades digitais de clientes. A confiança zero contribui para proteger todas as identidades e validar que todos os usuários de um sistema são quem dizem ser. Ganhar e aumentar a confiança do cliente em um mundo de confiança zero começa com uma forte estratégia de AM que se expande à medida que a empresa cresce.

A autorização, o acesso adaptável e a sincronização correta de diretórios e identidades também se tornam desafios significativos à medida que uma organização cresce.

Proteger identidades é fundamental para a transformação digital

“Adicionar segurança deve ser um facilitador de negócios. Deve ser algo que aumenta a resiliência do seu negócio e deve ser algo que ajude a proteger os ganhos de produtividade da transformação digital”, disse George Kurtz, cofundador e CEO da CrowdStrike, durante o evento anual de sua empresa no ano passado. Os conselhos de administração e os CEOs que se reportam a eles estão começando a olhar para a confiança zero não apenas como uma estratégia de redução de riscos.

CIOs e CISOs dizem à VentureBeat que agora estão incluindo confiança zero nas primeiras fases dos projetos de transformação digital. E acertar o AM é essencial para oferecer excelentes experiências ao cliente que escalam com segurança em um mundo de confiança zero.

“Enquanto os CISOs precisam continuar trabalhando na tradução de tecnologia e risco técnico em risco de negócios e … no valor final para o acionista e nas metas de negócios”, disse Lucia Milica, CISO residente global da Proofpoint.

Excelência na proteção de identidades para tornar sua marca mais confiável

Não é preciso muito para perder a confiança de um cliente para sempre. Uma coisa que a maioria não consegue ignorar é ser pessoalmente vitimado por ter suas identidades comprometidas durante uma violação. Sessenta e nove por cento deixarão de comprar de marcas que usam seus dados sem permissão. Sessenta e oito por cento saem se suas preferências de tratamento de dados forem violadas e 66% deixam uma marca para sempre se uma violação colocar em risco seus dados de identidade. A Geração Z é de longe a menos tolerante de todos os segmentos de clientes, com 60% dizendo que nunca mais comprarão de uma marca que quebra sua confiança. Com o tempo, é preciso uma série de experiências consistentes para conquistar a confiança dos clientes e apenas uma brecha para perdê-la.

Joe Burton, CEO da empresa de verificação de identidade Telesign, tem uma perspectiva centrada no cliente sobre como o gerenciamento de acesso deve ser fortalecido em um ambiente de confiança zero. Em uma entrevista recente, Burton disse à VentureBeat que, embora as experiências dos clientes de sua empresa variem significativamente dependendo de suas metas de transformação digital, é essencial projetar segurança cibernética e confiança zero em seus fluxos de trabalho.

Enza Iannopollo, principal analista da Forrester, disse à VentureBeat que a privacidade e a confiança nunca dependeram tanto uma da outra, reforçando a importância de acertar o AM em um mundo de confiança zero. Como Iannopollo escreveu em um post recente no blog, “as empresas entendem que a confiança será fundamental nos próximos 12 meses. — e mais do que nunca. As empresas devem desenvolver uma estratégia deliberada para garantir que ganhem e protejam a confiança de seus clientes, funcionários e parceiros.”

Como o gerenciamento de acesso precisa se tornar mais forte

Para 64% das empresas, a transformação digital é essencial para a sobrevivência. E um em cada cinco (21%) diz que incorporar tecnologias digitais em seu modelo de negócios atual é necessário para permanecer no mercado.

É hora de inovar ou morrer para as empresas que dependem da receita gerada digitalmente. Nove em cada 10 empresas acreditam que seus modelos de negócios devem evoluir mais rápido do que estão evoluindo hoje, e apenas 11% acreditam que seus modelos são economicamente viáveis ​​até 2023.

Com a viabilidade econômica de muitos negócios em jogo, mesmo antes da turbulência imprevisível da economia ser contabilizada, é encorajador ver os conselhos de administração analisando como podem tornar as estruturas de segurança de confiança zero mais fortes, começando pela identidade. Dê crédito aos CISOs quando eles educam seus conselhos de que a segurança cibernética é uma decisão de negócios porque afeta todos os aspectos de um negócio hoje.

O Gartner fornece uma estrutura útil para obter uma visão abrangente e estratégica do amplo escopo do gerenciamento de acesso de identidade (IAM) em empresas de grande porte. Um de seus aspectos mais valiosos é a representação gráfica que explica como as tecnologias adjacentes ao IAM estão relacionadas a quatro áreas principais. O Gartner escreve no Guia dos líderes do Gartner IAM para gerenciamento de acesso (fornecido por cortesia da Ping Identity) que “o panorama geral do escopo de um programa IAM inclui quatro áreas funcionais principais: administração, autorização, garantia e análise. A disciplina AM fornece autorização, garantia, análise e recursos administrativos. Ele é responsável por estabelecer e coordenar decisões de acesso em tempo de execução em aplicativos e serviços de destino.”

O diagrama estrutural do Gartner é útil para empresas que precisam sincronizar suas estruturas de confiança zero, infraestrutura de acesso à rede de confiança zero (ZTNA) e decisões de pilha de tecnologia com as iniciativas de transformação digital de sua organização.

Os CISOs dizem à VentureBeat que o AM e seus componentes principais, incluindo autenticação multifator (MFA), gerenciamento de identidade e acesso (IAM) e gerenciamento de acesso privilegiado, são ganhos rápidos de confiança zero quando bem implementados. A chave para fortalecer o AM em um mundo de confiança zero é adaptar cada uma das seguintes áreas para melhor reduzir as superfícies de ameaças do modelo de negócios principal de uma empresa.

Fortalecer a autenticação do usuário para ser contínua

MFA e logon único (SSO) são as duas formas mais populares de gerenciamento de identidade e autenticação, dominando o aplicativo SaaS e o cenário da plataforma. Os CISOs dizem que o VentureBeat MFA é uma vitória rápida em roteiros de confiança zero, pois eles podem apontar resultados mensuráveis ​​para defender os orçamentos.

Certificar-se de que as técnicas de MFA e SSO sejam projetadas em fluxos de trabalho para interromper o mínimo a produtividade dos funcionários é fundamental. As implementações mais eficazes combinam rotinas de autenticação do que você sabe (senha ou código PIN) com fatores do que você é (biometria), do que você faz (biometria comportamental) ou do que você tem (token). MFA e SSO são as linhas de base que todo CISO VentureBeat entrevistado sobre suas iniciativas de confiança zero almeja hoje – ou já realizou.

Uma parte crucial do fortalecimento da autenticação do usuário é auditar e rastrear cada permissão de acesso e conjunto de credenciais. Toda empresa está lidando com ameaças crescentes de tráfego de rede externo, exigindo melhor autenticação contínua, um princípio central de confiança zero. As estruturas ZTNA estão sendo aprimoradas com sistemas IAM e AM que podem verificar a identidade de todos os usuários conforme eles acessam qualquer recurso e alertar as equipes para revogar o acesso se uma atividade suspeita for detectada.

Capitalize o CIEM aprimorado de fornecedores da plataforma PAM

Os provedores de plataforma PAM devem fornecer uma plataforma capaz de descobrir contas de acesso privilegiado em vários sistemas e aplicativos em uma infraestrutura corporativa. Outros itens obrigatórios são gerenciamento de credenciais para contas privilegiadas, avaliação de credenciais e controle de acesso a cada conta, gerenciamento de sessão, monitoramento e gravação. Esses fatores são apostas de mesa para uma plataforma PAM baseada em nuvem que fortalecerá AM em uma estrutura ZTNA.

Os fornecedores de plataformas PAM baseadas em nuvem também estão intensificando seu suporte para o gerenciamento de direitos de infraestrutura em nuvem (CIEM). As equipes de segurança e os CISOs que os executam podem incluir o pacote CIEM em uma renovação do PAM na nuvem negociando uma licença plurianual, descobriu a VentureBeat. O mercado de PAM está projetado para crescer a uma taxa composta de crescimento anual de 10,7% de 2020 a 2024, atingindo um valor de mercado de US$ 2,9 bilhões.

“Os subscritores de seguros procuram controles PAM ao precificar apólices cibernéticas. Eles procuram maneiras pelas quais a organização está descobrindo e gerenciando com segurança credenciais privilegiadas, como estão monitorando contas privilegiadas e os meios de que dispõem para isolar e auditar sessões privilegiadas”, escreve Larry Chinksi na CPO Magazine.

Scott Fanning, diretor sênior de gerenciamento de produtos e segurança em nuvem da CrowdStrike, disse à VentureBeat que a abordagem da empresa ao CIEM fornece às empresas os insights de que precisam para evitar que ameaças baseadas em identidade se transformem em violações devido a direitos de nuvem configurados incorretamente em provedores de serviços de nuvem pública .

Scott disse à VentureBeat que os objetivos de design mais importantes são impor o acesso menos privilegiado às nuvens e fornecer detecção e correção contínuas de ameaças de identidade. “Estamos tendo mais discussões sobre governança de identidade e implantação de identidade em salas de diretoria”, disse Scott.

Fortaleça o gerenciamento unificado de endpoints (UEM) com uma estratégia de consolidação

As equipes de TI e segurança cibernética contam com seus fornecedores de UEM para melhorar a integração entre segurança de endpoint, plataformas de proteção de endpoint, análises e plataformas de UEM. Os principais fornecedores de UEM, incluindo IBM, Ivanti, ManageEngine, Matrix42, Microsoft e VMWare, fizeram melhorias em produtos, serviços e vendas em resposta às solicitações dos CISOs por uma pilha de tecnologia consolidada e simplificada.

Dos muitos fornecedores concorrentes, EUBM, Ivanti e VMWare lideram o mercado de UEM com melhorias em inteligência e automação no último ano. O Gartner, em seu último Magic Quadrant para UEM Tools, descobriu que “a inteligência e a automação de segurança continuam sendo uma força, pois a IBM continua a desenvolver uma integração avançada com o QRadar e outras ferramentas de identidade e segurança para ajustar as políticas para reduzir o risco dinamicamente. Além disso, o desenvolvimento recente se estende além dos casos de uso de segurança para a análise e automação de endpoints para melhorar o DEX.”

O Gartner elogiou a solução UEM da Ivanti: “Ivanti Neurons for Unified Endpoint Management é a única solução nesta pesquisa que fornece descoberta ativa e passiva de todos os dispositivos na rede, usando várias técnicas avançadas para descobrir e inventariar dispositivos não gerenciados. Ele também aplica aprendizado de máquina (ML) aos dados coletados e produz insights acionáveis ​​que podem informar ou ser usados ​​para automatizar a correção de anomalias.”

O Gartner continuou: “A Ivanti continua a adicionar inteligência e automação para melhorar a descoberta, automação, autocorreção, correção, segurança de confiança zero e DEX por meio da plataforma Ivanti Neurons. Ivanti Neurons também reforça a integração com serviços de TI, ativos e ferramentas de gerenciamento de custos.”

O que há nos roteiros de IAM dos CISOs para 2023 e além

Os casos de uso internos e externos estão criando um cenário de ameaças mais complexo para os CISOs gerenciarem em 2023 e além. Seus roteiros refletem os desafios de gerenciar várias prioridades em pilhas de tecnologia que estão tentando consolidar para ganhar velocidade, escala e visibilidade aprimorada.

Os roteiros que o VentureBeat viu (sob a condição de anonimato) são adaptados às características distintas llenges dos serviços financeiros, seguros e indústrias manufatureiras. Mas eles compartilham alguns componentes comuns. Um deles é o objetivo de obter autenticação contínua o mais rápido possível. Em segundo lugar, as políticas de higiene e rotação de credenciais são padrão em todos os setores e dominam os roteiros de AM atualmente. Em terceiro lugar, todo CISO, independentemente do setor, está restringindo quais aplicativos os usuários podem carregar independentemente, optando por apenas uma lista aprovada de aplicativos e editores verificados.

Os casos de uso interno mais desafiadores são autorização e acesso adaptável em escala; implantação de métodos avançados de autenticação de usuário em toda a empresa; e fazendo um trabalho mais completo de lidar com a habilitação de aplicativos padrão e não padrão.

Os casos de uso externo em quase todos os roteiros AM para 2023 a 2025 incluem a melhoria dos recursos de autoatendimento do usuário, traga sua própria identidade (BYOI) e habilitação de aplicativos fora do padrão.

Quanto maior o número de constituintes ou grupos que uma equipe de CISOs precisa atender, mais críticas essas áreas de AM se tornam. Os CISOs dizem à VentureBeat que administrar identidades internas e externas é essencial para lidar com vários tipos de usuários dentro e fora de suas organizações.