La fragmentación de herramientas de seguridad es un problema que muchos CISO conocen bien. Postura, detección y cumplimiento suelen operar en plataformas separadas, lo que obliga a los equipos a dedicar más tiempo a integrar datos que a reducir riesgos. La startup española 8Layers, fundada por exdirectivos de Devo, busca cambiar esta dinámica con una plataforma unificada que combina ISPM, ITDR y cumplimiento normativo (ENS, NIS2, ISO 27001) en un solo repositorio, cubriendo tanto identidades humanas como no humanas.

El problema de la fragmentación en la seguridad de identidades

Daniel G. Morán, cofundador y CEO de 8Layers, explica que la fragmentación convierte al equipo de seguridad en un equipo de integración. "En lugar de dedicar tiempo a reducir riesgo, los analistas dedican una parte significativa de su jornada a exportar datos de una herramienta, importarlos en otra y mantener manualmente la coherencia entre tres fuentes de verdad distintas". Esto provoca que las decisiones del CISO se basen en información no correlacionada o desactualizada, lo que distorsiona las prioridades y la asignación de recursos.

Un ejemplo claro: un analista que investiga una alerta de comportamiento anómalo en su ITDR necesita saber si esa identidad tiene privilegios excesivos, si está cubierta por MFA y si hay una excepción de cumplimiento activa. Con herramientas separadas, cada pregunta requiere abrir otra consola y buscar manualmente, confiando en que la información esté actualizada. Además, la mayoría de las plataformas de detección trabajan con backends como Elasticsearch o PostgreSQL que no retienen contexto en caliente más de 30-90 días. "El analista no sabe lo que no puede ver. Si un atacante lleva moviéndose discretamente durante cuatro meses, la herramienta de detección no tiene forma de conectar ese contexto con la actividad actual", señala Morán.

Riesgos de la información incompleta

El riesgo más inmediato es la falsa sensación de control. Un CISO puede ver un panel verde en su herramienta de postura sin saber que hay una campaña de acceso progresivo en curso. La información incompleta retrasa la respuesta y, a veces, la elimina del radar. Morán pone un ejemplo recurrente: un atacante compromete credenciales de un proveedor externo en enero, establece persistencia, y en marzo escala privilegios usando una cuenta de servicio con permisos excesivos que nadie había identificado. La herramienta de postura vio la cuenta sobredimensionada, pero no la marcó como urgente por falta de contexto de actividad. La herramienta de detección vio la escalada de marzo, pero sin correlacionar con los accesos de enero porque esos eventos ya habían salido de su ventana. "Nadie conectó los puntos hasta después del incidente".

Otro escenario frecuente en entornos cloud: una identidad en Okta como usuario estándar tiene acceso efectivo a recursos críticos en AWS IAM a través de una cadena de federación SAML. "El riesgo no estaba en Okta ni en AWS, sino en la combinación, y ésta sólo es visible cuando los dos entornos se analizan juntos. Con herramientas separadas, ese riesgo compuesto simplemente no aparece en ningún panel de control", advierte.

Unificar eventos, riesgos e identidades: el salto cualitativo

Unificar eventos, riesgos e identidades en una única plataforma cambia la naturaleza del trabajo del analista, que pasa de ser un integrador de datos a un investigador. "Cuando una alerta llega con el contexto completo (quién es esa identidad, qué privilegios tiene, qué federaciones la conectan, si tiene excepciones de cumplimiento activas, y toda su actividad histórica sin límite temporal), el tiempo de triaje se reduce drásticamente y la calidad de la decisión mejora". Además, la plataforma permite que el CISO acepte formalmente riesgos con registro de auditoría, algo crítico en entornos bancarios donde no todo se puede apagar de inmediato.

La velocidad también mejora al desaparecer el tiempo perdido en cambios de contexto entre herramientas. Pero el cambio más importante es cualitativo: "En cuanto el analista puede correlacionar detecciones entre sí que ya son el resultado de correlaciones previas, cambia completamente el tipo de informe que llega al CISO. En lugar de 'tuvimos 47 alertas esta semana', el reporte dice 'detectamos una campaña activa con estas tres fases, este nivel de riesgo y esta recomendación de contención'".

Consolidación de herramientas para una toma de decisiones más ágil

Los presupuestos de seguridad no crecen al mismo ritmo que la superficie de ataque. Mantener cinco herramientas que no se comunican entre sí tiene un coste de integración, formación y contexto perdido que los equipos ya no pueden asumir. 8Layers apuesta por una consolidación que no sacrifica profundidad. "Nuestro papel es demostrar que una visión unificada de todas las identidades, humanas y no humanas, en un solo contexto, sin límites temporales, es posible", concluye Morán.

Este enfoque se alinea con tendencias más amplias en ciberseguridad, como el uso de agentes de IA para cazar vulnerabilidades o la llegada de nuevos actores con SOC propio. La capacidad de correlacionar información en tiempo real y sin límites temporales es un diferenciador clave, especialmente en sectores regulados como la banca y la administración pública, donde el cumplimiento del ENS es obligatorio.

Para los profesionales IT, la propuesta de 8Layers representa una oportunidad de reducir la fatiga de alertas y mejorar la eficiencia operativa, similar a cómo Red Hat integra memoria institucional en agentes de IA o cómo Cisco apuesta por IA pese a recortes. La consolidación de herramientas de seguridad no es solo una cuestión de ahorro, sino de inteligencia estratégica.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.