Gestión de identidades y accesos: Una guía con los conceptos más importantes

La gestión de identidades y control de acceso (Identity & Access Management, IAM) consiste, básicamente, en la gestión de la identidad digital de los usuarios (como los ID de correo electrónico) y su nivel de acceso a las aplicaciones o los datos dentro de su empresa. Se trata de una forma de proteger los datos de su empresa tanto en el frente interno como externo.

Piense en la IAM como en el carnet de socio de una aerolínea. El mero hecho de haber comprado un pasaje de avión no le permite disfrutar de ciertos privilegios como el acceso a las salas VIP de los aeropuertos; estas salas están reservadas exclusivamente a los miembros del club de la aerolínea. Análogamente, no todos los empleados de una empresa tienen acceso a todos los datos que esta posee. Disponer de una política de gestión de accesos e identidades ofrece una solución elegante al problema de la seguridad de los datos dentro de la empresa.

¿Qué beneficios ofrece la IAM?

• Reconoce a los usuarios con un identificador único definido por su equipo de TI.
• Ayuda a garantizar el acceso seguro a los recursos de su empresa.
• Reduce los costos de gestión de identidades.
• Proporciona al equipo de TI una forma de rastrear y supervisar las actividades de los usuarios y garantizar la seguridad de los datos.
• Colabora con el cumplimiento de las normativas de seguridad y las políticas corporativas vigentes.

1. Conozca su IAM actual

Para saber cuál es la solución adecuada que necesita su empresa le será útil realizar una auditoría de sus políticas actuales de seguridad de datos y cómo fue su implementación. Un buen primer paso es hacer inventario de sus activos informáticos (tanto de las aplicaciones locales como de las basadas en la nube). Su inventario también debe reflejar las aplicaciones que entran dentro de la “TI en la sombra”, es decir, aquellas aplicaciones que se utilizan sin que lo sepa el equipo de TI. Además, revise sus políticas actuales para establecer el acceso de los usuarios durante los procesos de incorporación a la empresa o salida. Este análisis detallado será útil para identificar los puntos débiles de su infraestructura de TI.

2. Establezca los objetivos y las expectativas de su nueva política de IAM

Antes de comenzar a implementar su estrategia de gestión de accesos e identidades, comprenda cómo afectará al trabajo que realiza actualmente y establezca sus expectativas. Por ejemplo, puede ver cómo su política de seguridad y otras políticas corporativas deben cambiar en función de su plan. Esto puede darle una idea de la tarea que tiene entre manos, así como del trabajo que tendrá que hacer. También hay que tener en cuenta el factor costo-beneficio. Su implementación no debe ser tan complicada ni costosa como para que el esfuerzo no valga la pena.

3. Prepare una estrategia para la implementación

El siguiente paso lógico es preparar una hoja de ruta para su plan de implementación. Es una lista de tareas que debe acordarse con todas las partes afectadas por la gestión de identidades y accesos o involucradas en ellas. Evalúe sus requisitos y asegúrese de conocer las dependencias. En esta instancia, también convendría definir los parámetros de éxito y establecer un calendario de implementación. Otra parte importante de su estrategia es investigar sobre los proveedores de IAM adecuados y sus mejores prácticas. Por último, asegúrese de que su plan cumpla estrictamente con sus normas de seguridad y otras normativas o buenas prácticas del sector que siga su empresa.

4. Mida su progreso

Una vez establecida la IAM, revise periódicamente sus métricas para asegurarse de que cumple con los objetivos establecidos en el paso anterior. Una auditoría mensual o trimestral exhaustiva es una excelente forma de evaluar su implementación, y le permite corregir cualquier error e incorporar gradualmente las mejores prácticas de IAM. Para que la implementación tenga éxito, también es recomendable fomentar la adopción de IAM dentro de la empresa. Esto puede hacerse organizando webinars internos que expliquen cómo funciona el proceso o enviando correos electrónicos periódicos a todos los empleados.

En la última década, las tecnologías de gestión de identidades y accesos han tenido un crecimiento fenomenal, tanto en términos de sus prestaciones como en su nivel de adopción. Al tratarse de un tema delicado, como la identidad de los usuarios y la gestión de los datos, es importante elegir las herramientas IAM adecuadas. Esto ayuda a reducir los gastos generales (como el mantenimiento), a minimizar los riesgos y a evitar posibles errores en su implementación.

Su herramienta IAM debería ser robusta y rica en funcionalidades, pero también altamente personalizable, ya que cada organización tiene sus particularidades. En este apartado, detallamos algunas tecnologías disponibles actualmente dentro del sector. Aunque no mencionamos herramientas concretas, esto debería darle una idea de lo que puede esperar de su proveedor de software.

Inicio de sesión único

El inicio de sesión único (Single Sign-on, SSO) es quizá la forma más fácil de implementar la gestión de la identidad digital en su organización. Requiere que el usuario solo recuerde su nombre de usuario y contraseña para una aplicación concreta y el SSO integra automáticamente esas credenciales con todas sus otras aplicaciones conectadas. Por lo tanto, cuando el usuario se conecta a una de sus aplicaciones, no tiene que volver a hacerlo en otra aplicación interna que haya sido vinculada mediante el SSO. Incluso desde la perspectiva del usuario final, esta es una forma eficiente de garantizar la gestión del acceso.

Autenticación multifactor

Aunque el SSO es una solución elegante al problema de la gestión de identidades y accesos, las empresas siempre están buscando mayor seguridad. Aquí es donde entra en juego la autenticación multifactor (Multi-Factor Authentication, MFA), que puede complementar su SSO y llevar su IAM al siguiente nivel. Dentro de la MFA, las organizaciones están pasando de los métodos de autenticación de 2 factores a los de 3. Esta última se basa en tres parámetros que, cuando se juntan, pueden identificar de modo inequívoco a un usuario específico. Entre ellos, debe haber algo que el usuario conozca (como una contraseña), algo que el usuario tenga (un dispositivo móvil) y algo que sea único para el usuario (como una huella digital). Los tres combinados proporcionan un método sólido para asegurar al máximo la gestión de identidades y control de acceso.

Integración en la nube

A medida que las empresas se alejan de las aplicaciones locales y eligen las basadas en la nube, deberían tener una herramienta IAM acorde. Con una fuerza de trabajo cada vez más remota, esto tiene mucho sentido, ya que no solo reduce los costos de implementación, sino que además ayuda a cubrir la amplia distribución de su red de empleados. Una herramienta IAM basada en la nube puede detectar cualquier tipo de hackeo en sus dispositivos y contar con un “botón de emergencia” que apague inmediatamente el sistema y expulse al hacker.

Un comentario sobre los riesgos asociados a la implementación de una herramienta IAM

Aunque las herramientas y tecnologías de gestión de identidades y accesos son inmensamente útiles para proteger sus datos, estas no están exentas de riesgos. Esencialmente, cuando se implementa una herramienta IAM se confía en un tercero para la gestión de los datos de su empresa y el acceso de los usuarios a sus aplicaciones. Pero si ese proveedor sufre un hackeo, ¿todos sus esfuerzos habrán sido en vano? No, siempre y cuando tome las debidas precauciones. En la fase de planificación, decida los tipos de datos que desea gestionar con su herramienta IAM y cree copias de seguridad de los mismos. Además, las auditorías frecuentes mencionadas anteriormente ayudan a identificar las cuentas de usuario inactivas en su base de datos. Por último, saber cómo su proveedor de IAM protege y almacena sus datos (qué encriptación utiliza, cómo se anonimizan sus datos, etc.) puede ayudarle a estar más tranquilo.