Preguntas y respuestas: El líder de seguridad de CyberArk explica por qué la inteligencia artificial de Agentic hace que la confianza cero sea más importante que nunca.

HEALTHTECH: ¿Cómo la IA, especialmente la IA agente, complica la gestión de la identidad para las organizaciones?

IYER: Como pueden imaginar, la IA agencial introduce el concepto de bots autónomos y cargas de trabajo autónomas , con la idea de que estos bots gestionen automáticamente las cargas de trabajo. Esto impide que las estrategias tradicionales de IAM funcionen, ya que la mayoría de estos bots se aprovisionan de forma autónoma.

También introducen la noción de comportamientos impulsados ​​por lo que pretenden hacer, a veces impulsados ​​por acciones muy conocidas y a veces por acciones completamente desconocidas. En ocasiones, es completamente impredecible. Esto presenta desafíos en las estrategias de IAM. Los controles tradicionales de seguridad de identidad que se suelen usar para controlar y gestionar el acceso no funcionan realmente para estos agentes autónomos. Eso es lo que hace la IA agéntica.

HEALTHTECH: ¿Qué otras amenazas están dificultando la gestión de identidad y es importante que las organizaciones les presten atención?

IYER: Cuando se habla de otros factores que impulsan y dificultan la gestión de identidades en la empresa, pienso en el phishing de credenciales, la gestión de credenciales, el robo de credenciales, el phishing y los controles de privilegios elevados. Todos estos factores dificultan enormemente la gestión de identidades, especialmente con la IA de por medio.

Lo que realmente ocurre es que los agentes de IA suelen heredar los controles y la gestión de acceso de la identidad desde donde se les solicita. Esto significa que, cuando estos agentes ejecutan acciones, muchas veces heredan privilegios. Esto dificulta mucho el proceso, ya que tenemos demasiados privilegios, lo que aumenta el riesgo de robo de credenciales.

EXPLORAR: Navegue por la gestión de identidad y acceso en la era de la IA.

HEALTHTECH: ¿Cómo pueden los principios de confianza cero ayudar a las organizaciones a protegerse contra estas amenazas?

IYER: Los principios básicos de la confianza cero son "nunca confiar, siempre verificar". Por lo tanto, existen ciertos principios que las personas deben considerar al implementar una arquitectura de confianza cero en su entorno. Durante mucho tiempo, se ha considerado la confianza cero como algo muy centrado en el ser humano. Al decidir implementar una arquitectura de confianza cero , se la considera principalmente desde una perspectiva humana: a qué información tiene acceso el personal y cómo lo tiene, garantizando que la organización verifique cada vez que se presente una solicitud de acceso que deba gestionarse.

Esto cambia por completo cuando se piensa en la IA, porque en su contexto, aunque decimos confiar, pero verificar, la verificación se vuelve compleja porque no se piensa en cómo estos agentes se manifiestan en un entorno. ¿Qué controles de acceso tienen? ¿Qué hacen realmente para acceder a los datos y realizar otras tareas?

En una arquitectura de confianza cero, es necesario seguir haciendo todo lo que se hace para los humanos, pero una perspectiva centrada en las máquinas también es importante. En CyberArk, hemos examinado a muchos de nuestros clientes y sus datos, y hemos descubierto que la proporción de identidades de máquinas a humanas es de aproximadamente 82 a 1. Esto significa que, por cada identidad humana, vemos más de 80 identidades de máquinas en la organización.

Esto dificulta la implementación de una arquitectura de confianza cero, ya que es necesario considerar no solo proporcionar acceso, sino también garantizar que estos agentes tengan un nivel de control muy granular. Deben tener la visibilidad adecuada sobre a qué acceden para que podamos integrar los registros y mecanismos de auditoría adecuados en nuestros procesos. Lo más importante es que las organizaciones deben evaluar continuamente cómo y a qué acceden estas identidades de máquina, y asegurarse de implementar identidades basadas en el comportamiento, en lugar de los controles estáticos que suelen verse en una organización.

IYER: Considere siempre la implementación de una arquitectura de confianza cero como un proceso. No existe un botón que diga: "Haga clic aquí y tendrá la confianza cero habilitada". Eso no ocurre en ninguna organización.

El primer paso de cualquier implementación de confianza cero consiste en obtener la visibilidad adecuada, ya que se necesita una lista completa de identidades y saber si son humanas o máquinas, a qué tienen acceso, qué están haciendo, qué controles están implementados actualmente y cuál es el estado actual de todas las identidades y los accesos que se construyen en torno a ellas. Ese suele ser el primer paso: crear un inventario, obtener visibilidad y luego comenzar a comprender si estas identidades tienen más acceso del previsto.

Luego, decida cómo proporcionar acceso granular a estas identidades, ya sean cuentas de servicio (que tienen privilegios excesivos) o claves API que pueden hacer cualquier cosa si sus credenciales son robadas por falta de seguridad. Estos son todos los elementos que debe comenzar a crear para crear un inventario una vez que tenga la visibilidad establecida.

LEER MÁS: ¿Cómo aborda IAM los desafíos de los entornos de TI cada vez más complejos?

El siguiente paso sería desarrollar un plan para asignar las identidades visibles a su propietario. Asigne las identidades a las aplicaciones y unidades de negocio a las que están vinculadas, y luego comience a pensar en cómo integrar un modelo de seguridad continua.

Ahora que ha encontrado miles de cuentas de servicio, claves API e identidades de carga de trabajo, ¿cómo gestiona todas estas identidades y garantiza que tengan el nivel de acceso necesario para realizar la acción prevista? Y una vez realizada la acción, ¿cómo elimina los controles de privilegios para garantizar que solo haya un cierto nivel de acceso integrado en esos agentes?

En el mundo de la IA (y en especial de la IA agente), se puede extrapolar que conocer la cantidad de identidades que existen y la necesidad de confianza cero es más importante que nunca.

HEALTHTECH: ¿Existen errores comunes que las organizaciones deberían evitar cuando se trata de gestión de identidad y confianza cero?

IYER: Desde mi perspectiva, un error común es intentar considerar a los humanos y a las máquinas de la misma manera. Eso es lo que veo que ocurre en muchas organizaciones. Creen tener una estrategia de confianza cero y que pueden aplicarla como estrategia general para toda la organización. No es posible tener las mismas políticas de control de acceso y modelos de gobernanza integrados en la plataforma de seguridad de la organización de la misma manera.

Ese es un obstáculo que la gente debe considerar. Otro tiene que ver con la visibilidad. Se desea implementar una arquitectura de confianza cero, pero no se tiene en cuenta que no se cuenta con un inventario completo. No se sabe quién posee qué identidades. Desarrollar esto como primer paso es fundamental, especialmente al pensar en por qué y cómo se quiere gestionar estas identidades.

El tercer obstáculo es considerar la confianza cero como una afirmación puntual. Debe aprender continuamente de ello. Esto significa contar con un sistema que examine específicamente las identidades de IA de la agencia vinculadas a sus cargas de trabajo y las asigne a otras cargas de trabajo a las que estas puedan acceder. Si tiene una carga de trabajo que accede a otra, esta podría estar dentro de su propio centro de datos o en el entorno del proveedor de la nube.

Contar con el nivel adecuado de controles de acceso en ese momento garantizará que comience a modelarse como una forma de decir: "La próxima vez que implementemos una nueva aplicación, ya tenemos una práctica establecida sobre cómo podemos implementar una arquitectura de confianza cero en torno a estas cargas de trabajo".

Haga clic en el banner a continuación para suscribirse al boletín semanal de HealthTech.

HEALTHTECH: ¿Hay algo que quieras añadir?

IYER: La identidad es el nuevo perímetro de seguridad. Todo comienza con una identidad, ya sea para cargas de trabajo a las que acceden personas o máquinas. Es importante que todos reflexionen sobre la importancia de la identidad en los controles, la gobernanza, las políticas de auditoría y todo lo demás, impulsado desde una perspectiva centrada en la identidad. Esto ayudará a conciliar el estado actual de la organización con su crecimiento deseado, ya que el número de identidades de IA con agentes crecerá exponencialmente.

Abordar todos los aspectos de su organización desde una perspectiva centrada en la identidad le permitirá optimizar la implementación de controles de políticas y gobernanza. En CyberArk, consideramos la seguridad de la identidad como la base de todo lo que las organizaciones necesitan hacer. Creo que, desde esa perspectiva, ya se trate de identidades humanas, de máquinas, de cargas de trabajo o de la federación del acceso entre cargas de trabajo, contar con un sistema de seguridad de identidades ayudará a proteger su organización.