Gestión de identidades
¿Qué es la gestión de identidades?
La gestión de identidades (IDM), también llamada «gestión de identidades y accesos» (IAM), garantiza que solamente las personas autorizadas, y nadie más, tengan acceso a los recursos tecnológicos que necesitan para realizar su trabajo. Incluye las políticas y tecnologías que conforman un proceso, que abarca toda la organización, para identificar, autenticar y autorizar adecuadamente a personas, grupos de personas o aplicaciones de software a través de atributos como los derechos de acceso de los usuarios y las restricciones basadas en sus identidades.
Un sistema de gestión de identidades evita el acceso no autorizado a sistemas y recursos, ayuda a evitar el robo de datos empresariales o protegidos, y genera alertas y alarmas cuando personas o programas no autorizados intentan acceder a estos, ya sea desde dentro o desde fuera del perímetro de la empresa.
Las soluciones de gestión de identidades no solo protegen el acceso al software y los datos, sino que también protegen los recursos de hardware de una empresa, como servidores, redes y dispositivos de almacenamiento, de accesos no autorizados que podrían desembocar en un ataque de programas de secuestro. La gestión de identidades ha ganado importancia durante la última década debido a la cantidad, cada vez mayor, de exigencias globales de cumplimiento normativo y control que buscan proteger los datos confidenciales de las vulneraciones de cualquier tipo.
Los sistemas de IDM e IAM suelen formar parte de la seguridad de TI y la administración de datos de TI dentro de la empresa. Hay herramientas de gestión de identidades y acceso disponibles para la amplia gama de dispositivos que los usuarios utilizan para ejecutar tareas empresariales, desde teléfonos y tabletas hasta ordenadores de sobremesa con Windows, Linux, iOS o Android.
IDM e IAM son términos que a menudo se usan indistintamente, sin embargo, la gestión de identidades se centra más en la identidad de un usuario (o nombre de usuario), sus roles y permisos, y los grupos a los que pertenece. IDM también se enfoca a proteger las identidades a través de varias tecnologías, como contraseñas, biometría, autenticación multifactor y otras identidades digitales. Esto suele lograrse mediante la adopción de aplicaciones y plataformas de software de gestión de identidades.
Funcionamiento de la gestión de identidades
Como parte del marco general de IAM que cubre la gestión del acceso y la de identidades, las empresas suelen utilizar componentes tanto de gestión de usuarios como de directorio central, como pueden ser o Apache Directory Studio o Open LDAP para sistemas Linux, o Active Directory para Windows.
El componente de gestión de usuarios se ocupa de delegar la autoridad administrativa, efectuar el seguimiento de roles y responsabilidades para cada usuario y grupo, aprovisionar y desaprovisionar cuentas de usuario y, gestionar las contraseñas. La totalidad o parte de estas funciones, como el restablecimiento de contraseñas, suelen ser de autoservicio para reducir la carga del personal de TI.
El directorio central es un repositorio que contiene todos los datos sobre los usuarios y grupos de la empresa. Como tal, una función importante de este componente es sincronizar el directorio o repositorio en toda la empresa, lo que puede abarcar componentes locales y de nube privada o pública. Esto permite una vista única de los usuarios y sus permisos en cualquier momento y lugar de una infraestructura de nube híbrida o multinube.
Un marco de IAM también incluye dos componentes de acceso. La autenticación se ocupa de asuntos como el inicio de sesión (y el inicio de sesión único), la gestión de sesiones activas y la implementación de una autenticación sólida mediante llaves o dispositivos biométricos. La autorización usa los roles, atributos y reglas del registro de usuario para determinar si un usuario, dispositivo o aplicación en particular debe tener acceso a un recurso.
¿Qué diferencia hay entre la gestión de identidades y la gestión del acceso?
Gestión de identidades
La identidad digital es la clave para el acceso. Las identidades contienen la información y los atributos que definen un rol. En concreto, permiten o impiden el acceso a un recurso específico, e informan a otros usuarios de la organización sobre el dueño de la identidad, cómo contactarle si es una persona y dónde encajan en la jerarquía general de la empresa. Crear una identidad puede repercutir en toda la organización, por ejemplo, al crear una cuenta de correo electrónico, configurar un registro del empleado o generar una entrada en un organigrama. Las identidades son como seres vivos que pueden cambiar con el tiempo, por ejemplo, si un empleado asume un nuevo rol o se traslada a un nuevo lugar de trabajo.
La gestión de identidades se ocupa del seguimiento y la gestión de los cambios en los atributos y las entradas que definen las identidades en el repositorio de la empresa. Por lo general, estos cambios solo pueden implementarlos unas pocas personas selectas en la organización, como un representante de recursos humanos que anote un cambio en el salario, o el propietario de una aplicación que otorgue a un grupo de empleados (por ejemplo, representantes del servicio al cliente) acceso a una nueva función del sistema de gestión de relaciones con el cliente (CRM).
Gestión del acceso
La gestión del acceso es la autenticación de una identidad que solicita acceso a un recurso en particular, y las decisiones de acceso son simplemente la respuesta afirmativa o negativa a permitirlo.
Este puede ser un proceso escalonado, con servicios de acceso que determinan si un usuario está autorizado para acceder a la red en general, y niveles inferiores de acceso que autentican las ubicaciones a las que la identidad puede acceder en servidores, unidades, carpetas, archivos y aplicaciones específicos.
Recuerde que la autenticación no es lo mismo que la autorización. Aunque una identidad (usuario) pueda estar autorizada para entrar en la red corporativa y tenga una cuenta en el directorio, esto no le otorga automáticamente la capacidad de acceder a todas las aplicaciones de toda la empresa. La autorización para cada aplicación o recurso la determinan los atributos de la identidad, como a qué grupos pertenece, su nivel en la organización o un rol específico que se le haya asignado previamente.
Al igual que ocurre con la autenticación, la autorización puede ocurrir a distintos niveles dentro de la organización, por ejemplo, como un servicio centralizado y nuevamente a nivel local para una aplicación o recurso específicos. No obstante, la autenticación a nivel de recurso o servicio no goza de buena fama, ya que la autenticación central proporciona un control más coherente.
La diferencia entre la gestión de identidades y del acceso
La diferencia entre la gestión de identidades y la gestión del acceso se puede simplificar así:
La gestión de identidades consiste en gestionar los atributos relacionados con el usuario, el grupo de usuarios u otra identidad que pueda requerir acceso de vez en cuando.
La gestión del acceso consiste en evaluar estos atributos en función de las políticas existentes y tomar una decisión de acceso (afirmativa o negativa) según los atributos.
¿Para qué necesitamos la gestión de identidades?
Un estudio reciente (ISC)² reveló que el 80 % de vulneraciones se debieron a problemas en la identidad de acceso, es decir, credenciales débiles o mal gestionadas. Si no se implementan los controles adecuados, o no se siguen correctamente los procedimientos y procesos de IAM, es posible que las contraseñas se vean comprometidas, que se pongan en marcha ataques de suplantación de identidad o que tengan lugar vulneraciones y ataques de programas de secuestro. Afortunadamente, las plataformas IAM modernas permiten automatizar muchas de las funciones que ayudan a garantizar que se apliquen los controles, como, por ejemplo, eliminar a un usuario del directorio cuando el sistema de recursos humanos indique que el empleado ha dejado la organización.
Dada la frecuente aparición de legislación nueva sobre la privacidad y la información confidencial, IAM puede desempeñar otro papel importante: el de ayudar a la organización a cumplir con la gran cantidad de exigencias normativas y de control, garantizando que los datos se encuentren en la ubicación adecuada y que solo los usuarios autorizados tengan acceso a ellos. Al final, la seguridad de TI concierne principalmente al acceso, por lo que una estrategia de IAM sólida es un elemento fundamental de la seguridad de TI general y ofrece una primera línea de protección ante cualquier amenaza, ya provenga de fuera o de dentro del cortafuegos.
Ventajas empresariales de la gestión de identidades
La capacidad para proteger con éxito los activos, incluidos los digitales, puede repercutir directamente en los beneficios de la organización y en su valor total. IAM acelera la rentabilidad para cualquier persona que necesite acceder a los recursos empresariales para realizar su trabajo, a menudo acortando de días a minutos el tiempo transcurrido entre la incorporación de un nuevo empleado y el momento en el que obtiene acceso a los recursos del sistema.
Además del aumento en el valor comercial como resultado de la seguridad mejorada, existen otras ventajas empresariales tangibles. Automatizar las tareas de IAM libera al departamento de TI y le permite centrarse en proyectos enfocados a los beneficios. Las herramientas de gestión de identidades de autoservicio mejoran la productividad general de los empleados, los trabajadores externos y otros usuarios que deban acceder a los recursos corporativos.
Implementar un marco general de IAM puede brindar oportunidades de crecimiento, ya que mejora la escalabilidad de los servicios que son esenciales para la incorporación de nuevos usuarios. Al requerir menos personal de TI, se mejora el ROI de la organización de TI en general.
La gestión de identidades y del acceso se ha convertido en la base de todas estas ventajas empresariales, y continúa protegiendo a la empresa de amenazas que podrían conducir al robo de datos, a ataques maliciosos o a la vulneración de información confidencial legal, de clientes o de pacientes.
Productos, soluciones y recursos de VMware relacionados con la gestión de identidades
Workspace ONE
Distribuya y gestione de manera segura y sencilla cualquier aplicación en cualquier dispositivocon VMware Workspace ONE, una plataforma de área de trabajo digital inteligente.
Acceso inteligente para el área de trabajo digital
Ofrezca una experiencia de usuario más rápida y segura para su área de trabajo digital. Workspace ONE Access (anteriormente VMware Identity Manager) proporciona autenticación multifactor, acceso condicional e inicio...
Workspace ONE Unified Endpoint Management (UEM) con tecnología de AirWatch
Reduzca los costes y mejore la seguridad gracias a la gestión inalámbrica y moderna de todos los dispositivos (de escritorio, móviles, robustos y del Internet de las cosas [IdC]) y garantice la seguridad empresarial en todas las capas gracias a Workspace...
Impulsar el área de trabajo digital
Implemente un área de trabajo digital intuitiva sin poner en peligro la seguridad
Seguridad de confianza cero de VMware
VMware Workspace ONE combina el control de acceso condicional de confianza cero con una gestión moderna líder para ayudar al departamento de TI a proteger de forma proactiva el área de trabajo digital de usuarios, aplicaciones y terminales.
Experiencia de los empleados
El área de trabajo digital elimina las experiencias aisladas en silos y respalda la productividad de los empleados en cualquier dispositivo, con independencia de dónde trabajen.