Funcionamiento de la gestión de identidades

Como parte del marco general de IAM que cubre la gestión del acceso y la de identidades, las empresas suelen utilizar componentes tanto de gestión de usuarios como de directorio central, como pueden ser o Apache Directory Studio o Open LDAP para sistemas Linux, o Active Directory para Windows.

El componente de gestión de usuarios se ocupa de delegar la autoridad administrativa, efectuar el seguimiento de roles y responsabilidades para cada usuario y grupo, aprovisionar y desaprovisionar cuentas de usuario y, gestionar las contraseñas. La totalidad o parte de estas funciones, como el restablecimiento de contraseñas, suelen ser de autoservicio para reducir la carga del personal de TI.

El directorio central es un repositorio que contiene todos los datos sobre los usuarios y grupos de la empresa. Como tal, una función importante de este componente es sincronizar el directorio o repositorio en toda la empresa, lo que puede abarcar componentes locales y de nube privada o pública. Esto permite una vista única de los usuarios y sus permisos en cualquier momento y lugar de una infraestructura de nube híbrida o multinube.

Un marco de IAM también incluye dos componentes de acceso. La autenticación se ocupa de asuntos como el inicio de sesión (y el inicio de sesión único), la gestión de sesiones activas y la implementación de una autenticación sólida mediante llaves o dispositivos biométricos. La autorización usa los roles, atributos y reglas del registro de usuario para determinar si un usuario, dispositivo o aplicación en particular debe tener acceso a un recurso.

¿Qué diferencia hay entre la gestión de identidades y la gestión del acceso?

Gestión de identidades

La identidad digital es la clave para el acceso. Las identidades contienen la información y los atributos que definen un rol. En concreto, permiten o impiden el acceso a un recurso específico, e informan a otros usuarios de la organización sobre el dueño de la identidad, cómo contactarle si es una persona y dónde encajan en la jerarquía general de la empresa. Crear una identidad puede repercutir en toda la organización, por ejemplo, al crear una cuenta de correo electrónico, configurar un registro del empleado o generar una entrada en un organigrama. Las identidades son como seres vivos que pueden cambiar con el tiempo, por ejemplo, si un empleado asume un nuevo rol o se traslada a un nuevo lugar de trabajo.

La gestión de identidades se ocupa del seguimiento y la gestión de los cambios en los atributos y las entradas que definen las identidades en el repositorio de la empresa. Por lo general, estos cambios solo pueden implementarlos unas pocas personas selectas en la organización, como un representante de recursos humanos que anote un cambio en el salario, o el propietario de una aplicación que otorgue a un grupo de empleados (por ejemplo, representantes del servicio al cliente) acceso a una nueva función del sistema de gestión de relaciones con el cliente (CRM).

Gestión del acceso

La gestión del acceso es la autenticación de una identidad que solicita acceso a un recurso en particular, y las decisiones de acceso son simplemente la respuesta afirmativa o negativa a permitirlo.

Este puede ser un proceso escalonado, con servicios de acceso que determinan si un usuario está autorizado para acceder a la red en general, y niveles inferiores de acceso que autentican las ubicaciones a las que la identidad puede acceder en servidores, unidades, carpetas, archivos y aplicaciones específicos.

Recuerde que la autenticación no es lo mismo que la autorización. Aunque una identidad (usuario) pueda estar autorizada para entrar en la red corporativa y tenga una cuenta en el directorio, esto no le otorga automáticamente la capacidad de acceder a todas las aplicaciones de toda la empresa. La autorización para cada aplicación o recurso la determinan los atributos de la identidad, como a qué grupos pertenece, su nivel en la organización o un rol específico que se le haya asignado previamente.

Al igual que ocurre con la autenticación, la autorización puede ocurrir a distintos niveles dentro de la organización, por ejemplo, como un servicio centralizado y nuevamente a nivel local para una aplicación o recurso específicos. No obstante, la autenticación a nivel de recurso o servicio no goza de buena fama, ya que la autenticación central proporciona un control más coherente.

La diferencia entre la gestión de identidades y del acceso

La diferencia entre la gestión de identidades y la gestión del acceso se puede simplificar así:

La gestión de identidades consiste en gestionar los atributos relacionados con el usuario, el grupo de usuarios u otra identidad que pueda requerir acceso de vez en cuando.

La gestión del acceso consiste en evaluar estos atributos en función de las políticas existentes y tomar una decisión de acceso (afirmativa o negativa) según los atributos.

¿Para qué necesitamos la gestión de identidades?

Un estudio reciente (ISC)² reveló que el 80 % de vulneraciones se debieron a problemas en la identidad de acceso, es decir, credenciales débiles o mal gestionadas. Si no se implementan los controles adecuados, o no se siguen correctamente los procedimientos y procesos de IAM, es posible que las contraseñas se vean comprometidas, que se pongan en marcha ataques de suplantación de identidad o que tengan lugar vulneraciones y ataques de programas de secuestro. Afortunadamente, las plataformas IAM modernas permiten automatizar muchas de las funciones que ayudan a garantizar que se apliquen los controles, como, por ejemplo, eliminar a un usuario del directorio cuando el sistema de recursos humanos indique que el empleado ha dejado la organización.

Dada la frecuente aparición de legislación nueva sobre la privacidad y la información confidencial, IAM puede desempeñar otro papel importante: el de ayudar a la organización a cumplir con la gran cantidad de exigencias normativas y de control, garantizando que los datos se encuentren en la ubicación adecuada y que solo los usuarios autorizados tengan acceso a ellos. Al final, la seguridad de TI concierne principalmente al acceso, por lo que una estrategia de IAM sólida es un elemento fundamental de la seguridad de TI general y ofrece una primera línea de protección ante cualquier amenaza, ya provenga de fuera o de dentro del cortafuegos.

Ventajas empresariales de la gestión de identidades

La capacidad para proteger con éxito los activos, incluidos los digitales, puede repercutir directamente en los beneficios de la organización y en su valor total. IAM acelera la rentabilidad para cualquier persona que necesite acceder a los recursos empresariales para realizar su trabajo, a menudo acortando de días a minutos el tiempo transcurrido entre la incorporación de un nuevo empleado y el momento en el que obtiene acceso a los recursos del sistema.

Además del aumento en el valor comercial como resultado de la seguridad mejorada, existen otras ventajas empresariales tangibles. Automatizar las tareas de IAM libera al departamento de TI y le permite centrarse en proyectos enfocados a los beneficios. Las herramientas de gestión de identidades de autoservicio mejoran la productividad general de los empleados, los trabajadores externos y otros usuarios que deban acceder a los recursos corporativos.

Implementar un marco general de IAM puede brindar oportunidades de crecimiento, ya que mejora la escalabilidad de los servicios que son esenciales para la incorporación de nuevos usuarios. Al requerir menos personal de TI, se mejora el ROI de la organización de TI en general.

La gestión de identidades y del acceso se ha convertido en la base de todas estas ventajas empresariales, y continúa protegiendo a la empresa de amenazas que podrían conducir al robo de datos, a ataques maliciosos o a la vulneración de información confidencial legal, de clientes o de pacientes.