29
julio
2019

IAM: Gestión de Identidades y Accesos

Para una organización, mantener el flujo necesario de sus datos de negocio, al tiempo que gestiona el acceso a ellos, siempre requerirá de la completa atención no solo de su área tecnológica, sino también de la alta gerencia.

El entorno empresarial actual está en constante evolución, y nuevos retos de seguridad informática se incorporan, con las tendencias recientes de: “traiga su propio dispositivo” (BYOD: Bring Your Own Device), la computación en la nube, las aplicaciones de teléfonos celulares, y una fuerza de trabajo cada vez más móvil, a lo que se suma que los usuarios pueden variar desde empleados a clientes o proveedores.

A medida que se implementan y consumen más software, datos y servicios digitales, las organizaciones necesitan gestionar el acceso a esos sistemas con mayor eficacia. El usuario típico puede tener decenas (a veces incluso centenas) de aplicaciones a las que debe acceder para poder realizar su trabajo, y todas ellas pueden contener información confidencial, sensible y regulada.

Un sistema de Gestión de Identidades y Accesos (IAM: Identity and Access Management, por sus siglas en inglés) es un marco de trabajo de procesos de negocio, que facilita la gestión de las identidades electrónicas para el acceso a los datos en una organización.

La tecnología IAM se puede utilizar para iniciar, capturar, registrar y gestionar las identidades de los usuarios y sus permisos de acceso correspondientes de forma automatizada, lo que asegura que los privilegios de acceso se conceden de acuerdo con una política de seguridad informática, de modo que todos los individuos y los servicios están debidamente autenticados, autorizados y puedan ser auditados.

En este sentido, IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red de una organización. Con esta gestión, la entidad mantiene el control sobre qué usuarios inician sesión y realizan acciones en los sistemas, aplicaciones, bases de datos, entre otros.

Funciones de un Sistema IAM

Los sistemas IAM tienen dos funciones fundamentales: la primera, verificar la identidad de aquellos que quieren iniciar sesión; y la segunda, determinar qué autorizaciones tiene el usuario. Ambas se pueden realizar de distintas formas:

Verificar la identidad

Lo primero que se hace en la gestión de identidad y acceso es averiguar quién inicia en el sistema o en la base de datos. Lo más sencillo para confirmar la identidad es mediante la combinación de usuario y contraseña. Para hacerlo de una forma más avanzada se realiza con la autenticación de múltiples factores.

Un esquema fuerte de autenticación de múltiples factores requiere una correspondencia más estrecha entre la identidad del usuario y la credencial de identidad, que puede ser:

  • Empleando un token: donde se utiliza una identidad ligada a un objeto físico que se posee (el token), junto con un número de identificación personal (PIN) o una contraseña que se conoce. Su seguridad depende tanto de la protección física del token como del conocimiento de la contraseña o PIN.
  • Empleando la Biometría: donde se emplea una característica física única del usuario, como las huellas dactilares, el reconocimiento facial, de iris, el escaneo de retina o el reconocimiento de voz, entre otros.

Comprobar el nivel de autorización

Tras quedar confirmada la identificación del usuario, el siguiente paso del sistema IAM es el gestionar el acceso. Gracias a esto, el usuario adquiere un acceso personalizado basado en un conjunto complejo de reglas de autorización que están almacenadas en el sistema.

Los ajustes dependen de cada organización, pero generalmente lo que toman en consideración es la función, el puesto o autoridad, y la competencia del empleado. En algunos casos, la localización puede ser muy importante, entendida esta como la ubicación desde donde se realiza la petición de acceso a los servicios.

El control de acceso debe comenzar con la elección de qué usuarios tendrán privilegios limitados, y cuales ejercerán con más amplio acceso dentro del flujo de trabajo organizacional del sistema empresarial.

Acceso inmediato a diferentes sistemas

Hay ciertos casos en los que resulta de utilidad que, a través un solo inicio de sesión, los usuarios puedan acceder a diferentes sistemas o aplicaciones. La autenticación única (SSO: Single Sign-On), permite que, por ejemplo, un usuario con una única autenticación, puede acceder tanto a una base de datos como a sistemas de gestión.

Sin embargo, este tipo de autenticación no significa que el usuario reciba una autorización de acceso completo sobre todas las aplicaciones o información dentro de una organización, sino que el sistema IAM regula las reglas de autorización establecidas y proporciona el acceso sobre la base de la identificación individual.

Implementar un Sistema IAM

Los sistemas de IAM incluyen un servicio de directorio centralizado que se incrementa conforme una empresa crece. Este directorio central impide que las credenciales terminen siendo registradas al azar en archivos y notas cuando los usuarios tratan de hacer frente a la carga de múltiples contraseñas para diferentes sistemas.

Los sistemas IAM deben facilitar el proceso de aprovisionamiento de usuarios y la configuración de la cuenta. IAM disminuye el tiempo necesario de autenticación, con un flujo de trabajo controlado, que reduce los errores y el potencial para el empleo malintencionado de privilegios, al tiempo que proporcionar a los administradores la posibilidad de ver y cambiar al instante los derechos de acceso.

Un sistema IAM debe hacer coincidir automáticamente el puesto de trabajo de los usuarios, la ubicación y la identificación de su unidad de negocios, para gestionar las solicitudes de acceso de forma automática, lo que contribuye a clasificar las solicitudes de acceso correspondientes con las posiciones de los trabajadores existentes.

Dependiendo del empleado, algunos derechos pueden ser inherentes a su posición y aprovisionarse de forma automática, mientras que otros pueden ser permitidos bajo petición. En algunos casos, algunas peticiones pueden ser negadas, o incluso prohibidas por completo; de igual manera, pueden ser requeridas algunas revisiones.

Un IAM debe establecer flujos de trabajo para la gestión de las aprobaciones de las solicitudes de acceso. Este mecanismo puede facilitar el establecimiento de diferentes procesos de revisión del nivel apropiado de riesgo, para el acceso de nivel superior, así como una revisión de los derechos existentes para prevenir el arrastre de privilegios.

Crear y modificar los privilegios de los usuarios también se pueden aplicar a grupos y que la solución se estructure en módulos, lo que facilita su rápida implementación y un resultado eficiente, en costo y prestaciones.

En el nivel más básico, la gestión de identidad implica la definición de lo que pueden hacer los usuarios en la red, con dispositivos concretos, y bajo qué circunstancias, pero en su estado más avanzado, se utiliza para aumentar la seguridad y la productividad de la organización, a la vez que se reducen costos y esfuerzos redundantes.

Por razones de seguridad, las herramientas de gestión de identidades deben ejecutarse como una aplicación en un servidor o appliance de red dedicado, ya sea en las instalaciones o en la nube. Todo lo anterior unido a la posibilidad de definir políticas, informes, alertas, alarmas y otros requisitos de gestión y operaciones comunes.

Buenas Prácticas

Los sistemas IAM en la actualidad son una prioridad real para las entidades que deseen reforzar su ciberseguridad; no obstante, resulta evidente que numerosas iniciativas no son implementadas coherentemente, por no preparar correctamente el proyecto tanto en sus aspectos técnicos como empresariales.

De forma general, los métodos más recomendables para llevar a cabo correctamente un sistema IAM son:

  1. Creación de un equipo de proyecto combinado: Un proyecto IAM es transversal a la organización, por lo que no se puede enfocar únicamente desde un punto de vista técnico, sino que es necesario obtener colaboración del área gerencial, y partir de su conocimiento de los procesos de negocio y de la estructura organizativa de la entidad.
  2. Definición de responsables y objetivos del proyecto: se deben determinar los roles y las responsabilidades de cada participante, así como los distintos pasos de la implantación. Se deben documentar de común acuerdo entre las partes los objetivos y fases del proyecto antes del inicio de su implantación, evitando cambios posteriores que aumenten el tiempo y el costo de puesta a punto del proyecto.
  3. Implantación por fases: el establecimiento de la solución paso a paso con hitos asequibles, comenzando con un número reducido de sistemas, usuarios y funciones, para obtener resultados rápidamente, y reforzar la aceptación de la organización para ampliar el ámbito del proyecto.
  4. Interconexión con sistemas de recursos humanos: los movimientos de personal (incorporaciones, abandonos, movilidad, entre otros) se pueden comunicar al área tecnológica con algo de retardo o, incluso, no comunicarse. Estas complicaciones pueden aumentar cuando las tareas de administración del personal se llevan a cabo manualmente, por lo tanto, la fuente de datos de recursos humanos debe estar conectada con el sistema IAM de un modo automático, lo que ofrece ventajas rápidamente cuantificables como acceso simplificado, mayor productividad, y satisfacción de los usuarios, entre otros.
  5. Definición de roles: entendidos como el conjunto de permisos de accesos individuales que son necesarios para una determinada función o área de la entidad. Reducen considerablemente las tareas de administración, y deben continuamente actualizarse para que se adapten a los cambios de la organización, o de los sistemas y aplicaciones que se emplean.
  6. Incorporación de la valoración de riesgos: los sistemas IAM proporcionan una considerable cantidad de datos que se deben procesar para detectar los elementos más arriesgados. Su identificación y valoración constituye una herramienta potente para ordenar los datos de acceso, como los usuarios, roles y cuentas, según el nivel de los riesgos potenciales.

De forma general, centralizar el control de accesos, roles y permisos, y conjugar diferentes métodos de autenticación, hoy es posible gracias a las innovadoras tecnologías IAM, lo que supone una excelente oportunidad para todo tipo de negocios y administraciones que desean operar sobre la base de una gestión de identidades sólida, sencilla y eficaz.

Un programa de identidad exitoso en la práctica se reduce a unas pocas funciones esenciales, lo que incluye comprender quién tiene acceso a qué recursos y datos, quién debería realmente tener dicho acceso, y tener control y visibilidad sobre cómo se aplican esos derechos de acceso.

La gestión eficaz de identidades no solo ayudará a cualquier empresa a mejorar sus posturas de seguridad y cumplimiento normativo, sino que también le ayudará a ser más ágil y a tener más éxito en sus esfuerzos. El resultado final es una organización más flexible, eficiente, segura y conforme a la ley.