Un proceso de Identity and access management contribuye a la mejora de los niveles de seguridad de la información de las organizaciones y minimiza los riesgos derivados del acceso de los usuarios.
La gestión de los accesos e identidades o identity and access management (IAM por sus siglas en inglés) es uno de los principales dominios de la seguridad de la información.
El continuo incremento de la complejidad y diversidad de las redes de las organizaciones incrementa también la complejidad de tener visibilidad sobre quién puede acceder a la red, a qué recursos accede y cuándo. Esto es debido a cada vez más a una mayor dependencia del negocio de las organizaciones de los sistemas de TI y aplicaciones (ERM, CRM, ERP, etc.). Además las organizaciones disponen de diferentes tipos de usuarios: socios, contratistas, consultores, empleados fijos y temporales, etc. Todo ello redunda en la complejidad de gestionar las identidades y los accesos de distintas personas y roles de usuario a distintos sistemas y aplicaciones, y es por ello fundamental disponer de procesos de gestión formales y automatizados.
El identity and access management es un término amplio que abarca el uso de diferentes productos o mecanismos que permiten la identificación, autenticación y autorización de los usuarios de una organización de manera automática. Incluye la gestión de las cuentas de usuario, el control de acceso, la gestión de contraseñas, la funcionalidad de Single Sign On (SSO), la gestión de derechos y permisos de las cuentas de usuario, y la monitorización y auditoría de todos estos ítems.
Involucra la gestión de entidades de identificación únicas (p. ej. usuarios nominales), sus atributos (p. ej. nombre, apellidos, email, etc.), sus contraseñas y derechos (permisos sobre la información y/o sistemas de TI como acceso, lectura, escritura…).
¿Cómo se implementa el IAM?
La gestión de identidades y accesos generalmente se implementa mediante una solución que permite la gestión de todo el ciclo de vida de las identidades digitales (alta, baja, modificación) de manera automática a lo largo del tiempo.
Las soluciones de IAM, actualmente, se centran en dar respuesta a los siguientes requisitos:
- Reducir los costes administrativos: tiempo dedicado por el personal a la gestión de identidades y accesos y sencillez de los procedimientos o procesos involucrados.
- Incremento de la seguridad de la información de las organizaciones.
- Cumplimiento de los requisitos normativos o regulatorios de seguridad.
- Mejora de los SLA derivados de la IAM.
Pero antes de implantar una solución, producto o mecanismo de identity and access management debemos disponer de una estrategia o proceso que responda claramente a las siguientes preguntas:
- ¿A qué información y sistemas debería tener acceso cada usuario?
- ¿Quién es el responsable de aprobar y permitir el acceso de los usuarios?
- ¿Cómo se relaciona el IAM con las políticas de seguridad de la información de la organización?
- ¿Cómo se gestionan los accesos y las identidades en lo relativo al alta, baja y modificación?
- ¿Cómo se gestiona el IAM en la continua evolución y cambios del entorno de las organizaciones?
- ¿Cómo se gestiona centralizadamente la identidad y los permisos y la monitorización de los accesos y acciones de los usuarios sobre la información y los sistemas?
- ¿Cómo se centraliza el IAM para las diferentes aplicaciones y sistemas?
- ¿Cómo cumplimos los distintos requisitos regulatorios y normativos de seguridad?
- ¿Cómo se gestionan las contraseñas de los distintos usuarios y cuantas tienen que recordar?
Soluciones y gestión de identity and access management
Tradicionalmente, la gestión de accesos e identidades se realizó de manera manual usando servicios de directorio con permisos (Dominio o Directorio Activo), listas de control de accesos (ACLs) y perfiles.
Con el aumento de la complejidad motivado por la dependencia y evolución de los sistemas de TI y aplicaciones, esto se ha vuelto inmanejable para organizaciones grandes, por lo que han surgido productos que facilitan y automatizan todo el proceso de IAM, mediante el modelado de perfiles y roles para los distintos usuarios de las organizaciones, grupos de usuarios y conectores que automatizan las tareas relativas a los derechos de acceso y permisos sobre los distintos sistemas de TI y aplicaciones, como por ejemplo, el alta, baja y modificación de usuarios y grupos de usuarios sobre el Directorio Activo.
Existen múltiples productos para la gestión centralizada de accesos e identidades. Según el último cuadrante mágico de Gartner y el informe Forrester Wave, los líderes de este tipo de soluciones son:
- Okta
- Ping Identity
- Microsoft
- CyberArk
- ForgeRock
- IBM
- One Login
Habitualmente, para las organizaciones con un elevado número de usuarios, tanto internos como externos, los proyectos de implantación de soluciones de IAM les suelen resultar muy costosos y dilatados en el tiempo, ya que son proyectos complejos en los que hay que modelar un gran número de roles y perfiles, derechos de acceso y permisos sobre la información y los sistemas de TI asociados, integrar la solución con los distintos sistemas y aplicaciones, etc.
La implantación exitosa de este tipo de soluciones tienen un ROI asegurado y traducido en una disminución muy significativa de las horas dedicadas a una gestión manual del IAM y un aumento de la seguridad de la información o disminución del riesgo asociado a esta gestión manual. Para ello, es fundamental contar con profesionales con la formación adecuada, como el Máster en Ciberseguridad online de UNIR.
