Gobernanza de acceso (AG)

La gobernanza de acceso (AG) es un aspecto de la gestión de la seguridad de la tecnología de la información (TI) que busca reducir los riesgos asociados con los usuarios finales que tienen privilegios de acceso innecesarios. La necesidad de gobernanza del acceso ha cobrado importancia a medida que las organizaciones buscan cumplir con los mandatos de cumplimiento normativo y gestionar el riesgo de una manera más estratégica.

Un objetivo importante de la gobernanza del acceso es reducir el costo y el esfuerzo que implica supervisar y hacer cumplir las políticas de acceso y los procedimientos de administración, incluida la recertificación. A tal efecto, las herramientas de software de control de acceso pueden ayudar a rastrear el acceso, validar las solicitudes de cambio, automatizar la aplicación de las políticas de control de acceso basado en roles (RBAC) o control de acceso basado en atributos (ABAC) y simplificar los informes.

Muchas aplicaciones de software de gobernanza de acceso combinan el control de acceso (AC) con las capacidades de gestión de identidades, imponiendo un conjunto estándar de derechos de acceso para las funciones comerciales, sin dejar de ser lo suficientemente flexible para adaptarse a las necesidades de los superusuarios. Debido a que el software proporciona transparencia, a los gerentes les resulta más fácil detectar la fuga de privilegios. y hacer cumplir la principio de privilegio mínimo (POLP).

En algunas organizaciones, la responsabilidad de la gobernanza del acceso la comparten los miembros directivos de los equipos de tecnología de la información (TI), empresarial y legal de la organización. Debido a que los usuarios privilegiados continúan sirviendo como vector principal para las brechas de seguridad, es importante que los gerentes tengan visibilidad del acceso y trabajen juntos para mitigar el riesgo y disminuir la superficie de ataque de la organización. Cuando la gobernanza del acceso se convierte en un esfuerzo interdepartamental, la organización mejora para mantenerse al tanto de los requisitos regulatorios cambiantes, adherirse a las políticas internas y realizar revisiones de acceso de forma regular.