El objetivo de este artículo es ofrecer una visión general del ámbito de la gobernanza y la administración de identidades (Identity Governance and Administration, IGA), una rama de la gestión de identidades y accesos (Identity and Access Management, IAM). Soy consultora en ciberseguridad desde hace cuatro años: trabajé dos años en el ámbito de la integración de soluciones de IGA (en concreto, la solución Identity IQ, de SailPoint) y llevo dos años trabajando en el desarrollo de una solución de informes y paneles de control para las herramientas de IAM
¿Qué es el IAM?
La IAM es un ámbito de la ciberseguridad que abarca las cuestiones relacionadas con la gestión de identidades, autorizaciones (o derechos de acceso) y accesos. La idea general es conceder el acceso adecuado al recurso adecuado a la persona adecuada en el momento adecuado y por el motivo adecuado.
Las principales actividades del IAM
Los retos
La gestión de identidades y accesos (IAM) es un ámbito amplio y poco conocido por el público en general, pero que se ha vuelto indispensable debido al reciente aumento de los dispositivos conectados, los accesos y los usuarios de los sistemas de información. Este crecimiento exponencial hace necesaria una gestión profesional y organizada de las identidades y los accesos.
El reto financiero
La implantación de una solución de IGA es una inversión financiera que, a la larga, permite reducir los costes en múltiples ámbitos.
La gestión de accesos permite una mejor gestión de las licencias de pago: ya no se paga por licencias que no se utilizan sin saberlo. La automatización de las tareas repetitivas permite reducir el trabajo humano en el sistema de información: la solución gestiona el trabajo para el que basta con definir un proceso o una política.
Se reducen los costes en términos de productividad. Los nuevos empleados disponen de los accesos adecuados, los procesos son más rápidos y fluidos, la información está centralizada y la respuesta ante cualquier incidente es más rápida: todos estos aspectos reducen los obstáculos a la productividad de los empleados. La seguridad del sistema de información es un reto financiero en sí mismo: reducir los riesgos equivale a reducir los riesgos financieros asociados.
El reto de la seguridad
La gestión de la seguridad de la información (IAM) permite prevenir intrusiones, proteger los accesos, rastrear las modificaciones de la información y todas las acciones realizadas en el sistema de información. Además de reducir los fallos de funcionamiento, mejora la capacidad de respuesta del sistema ante un ataque o un incidente.
Un sistema de gestión de identidades y accesos (IAM) eficaz permite prevenir los ciberataques y minimizar sus repercusiones, al facilitar una visión global de los accesos y la revocación de aquellos que se hayan visto comprometidos o sean inadecuados.
Todo ello sin complicar el acceso a los recursos para quienes tienen una necesidad legítima. Las soluciones de IAM permiten alcanzar un buen equilibrio entre la seguridad de los datos, a los que no puede acceder la mayoría, y la fluidez de la experiencia para el empleado que necesita legítimamente acceder a dichos datos.
Las políticas de acceso están automatizadas y son claras: esto permite reducir drásticamente los errores y acelerar su resolución en caso necesario.
La flexibilización de la experiencia de los empleados
Como ya se ha mencionado anteriormente, las soluciones de IAM facilitan enormemente la experiencia de los empleados.
La información se centraliza en un único repositorio, lo que facilita cualquier búsqueda relacionada con identidades y autorizaciones.
Los empleados reciben las autorizaciones necesarias para desempeñar su trabajo y se les retiran cuando ya no son necesarias: la automatización de los procesos reduce considerablemente la carga que supone la gestión de derechos, el riesgo de obtener derechos innecesarios y la espera para obtener la aprobación de los derechos de acceso imprescindibles para el desempeño de sus funciones.
Las soluciones de gestión de accesos permiten una navegación más fluida y segura por las aplicaciones del sistema de información: un ejemplo es el inicio de sesión único (Single Sign-On), que permite acceder a todas las aplicaciones con solo iniciar sesión en una de ellas. Todo ello garantiza el cumplimiento automático de las políticas de seguridad: laspolíticas y los cambios de contraseña obligan a los usuarios a utilizar una contraseña que cumpla con los requisitos del sistema de información y se actualice periódicamente.
Las diferentes ramas del IAM
IGA: Gestión y administración de identidades
La IGA consiste en la gestión y administración de identidades y sus autorizaciones (o derechos de acceso). El objetivo es garantizar que los usuarios del sistema de información dispongan de las autorizaciones adecuadas sobre los recursos pertinentes en el momento oportuno, de acuerdo con su puesto de trabajo, sus necesidades y las políticas de la empresa.
Las grandes cuestiones de la IGA y las formas de abordarlas
El IGA permite gestionar las etapas del ciclo de vida de la identidad, ofrecer visibilidad sobre las identidades presentes en el sistema de información y mantener un registro de los eventos pasados.
El IGA también permite gestionar las autorizaciones y establecer políticas para su concesión y retirada.
La IGA aporta una mayor visibilidad del sistema de información: la información se centraliza, los procesos se automatizan y los informes y cuadros de mando permiten realizar un seguimiento de la evolución del sistema de información.
Las herramientas de IGA se han implementado para gestionar de forma automática los procesos de gestión de identidades y autorizaciones, lo que reduce el riesgo de errores humanos, aumenta la eficiencia y garantiza un control constante.
Las soluciones de IGA
Las soluciones de IGA que se utilizan son soluciones de terceros.
Se trata de plantillas muy completas que permiten implementar las funcionalidades que desea el cliente mediante su interfaz gráfica y scripts.
Las soluciones de IGA son numerosas y los proveedores ofrecen diferentes opciones: algunas soluciones, más económicas, son poco personalizables según las necesidades del cliente, pero rápidas de implementar, mientras que otras son más caras y ofrecen una amplia variedad de funcionalidades y configuraciones diferentes, llegando incluso a una personalización ilimitada gracias a funcionalidades que se pueden desarrollar e integrar en el esqueleto.
Estas soluciones pueden ser locales o estar disponibles en la nube, dependiendo del proveedor y del entorno del cliente.
Hay disponible una interfaz de usuario personalizable que permite a los distintos usuarios (usuarios, responsables, administradores, etc.) supervisar y gestionar el estado del sistema de información de acuerdo con los derechos de lectura que tienen sobre la solución IGA.
Las principales líneas de actuación de la IGA
La gestión de identidades
La IGA abarca la gestión de identidades y su ciclo de vida dentro de la organización del cliente. La creación de un repositorio único y centralizado de identidades permite una gestión simplificada, así como una detección de anomalías más eficaz.
Los eventos relacionados con la gestión de identidades se pueden detectar y activar desde la solución: nos referimos, en particular, a las contrataciones, los traslados, las bajas por enfermedad, las bajas definitivas, etc. La detección de un evento activa un proceso asociado de acuerdo con las políticas del sistema de información (retirada o concesión de derechos, cálculo de datos, notificaciones, etc.).
El objetivo principal de este eje es el almacenamiento y la actualización de la información relevante relativa a la identidad en forma de ficha (nombre, apellidos, puesto, fecha de inicio y fin del contrato, responsable, etc.). Esta información se lee o se calcula y se almacena en la identidad.
Estos atributos también pueden escribirse, modificarse o eliminarse de las aplicaciones mediante la función de escritura en aplicaciones. Esto permite la sincronización automática de la información relativa a la identidad entre la solución IGA y las aplicaciones del sistema de información.
La gestión de autorizaciones
La gestión de autorizaciones se lleva a cabo mediante la lectura, el análisis y la escritura de las cuentas de aplicación de las identidades en el sistema de información del cliente, a través de un conector entre la solución IGA y la aplicación. El conector permite leer las cuentas de aplicación y correlacionarlas con las identidades existentes: cada cuenta se asigna a la identidad a la que corresponde. Los objetos leídos en la aplicación (cuentas, grupos, derechos, etc.) se almacenan en la solución IGA: esto constituye el catálogo de aplicaciones.
Los conectores permiten leer y escribir en las aplicaciones. La solución de IGA puede gestionar la actualización de los datos de una aplicación, escribiendo directamente en ella. La escritura puede ser automática, gracias a procesos desarrollados para activarse mediante eventos, o manual, en cuyo caso se notificará por correo electrónico a las personas implicadas las tareas que deben realizar para que la aplicación en cuestión esté actualizada, y la solución recordará que la acción debe realizarse hasta que una lectura de la aplicación confirme que así es.
El IGA se encarga de la gestión de las autorizaciones concedidas dentro de la empresa. Para ello, se han definido políticas de cumplimiento.
La definición de roles —conjuntos de características que agrupan identidades y otorgan autorizaciones— permite simplificar la asignación de derechos de acceso y su posterior revisión.
Mecanismos como la SoD (separación de funciones) permiten verificar automáticamente la coherencia de las autorizaciones vigentes y señalar las anomalías. La SoD se basa en combinaciones de derechos de acceso que están prohibidas. La solución detecta las combinaciones prohibidas y las señala o las corrige, según lo que se haya decidido.
Estas políticas permiten la concesión y la retirada automáticas de autorizaciones, así como la activación de alertas en caso de incumplimiento.
La inteligenciaanalítica
La parte de análisis de inteligencia se basa en varios requisitos:
Las necesidades de análisis en IGA
Las funciones de análisis de datos se presentan, entre otras formas, en forma de informes y búsquedas. Los informes y los paneles de control permiten, por ejemplo, realizar un seguimiento de las acciones o contabilizar objetos. Pueden ser extensos y completos, por lo que están destinados al análisis de cifras; o breves y concisos, y destinados a la trazabilidad y la información.
El cliente configura las búsquedas directamente desde la interfaz gráfica, lo que permite obtener una visión general rápida de las identidades, los accesos y las autorizaciones presentes en la solución.
Uno de los ejes fundamentales de IGA es el control del modelo de autorización efectivo. Las campañas de certificación permiten revisar, revocar o confirmar los accesos de las identidades. Las campañas se pueden configurar con gran precisión, lo que permite adaptarse al máximo a las necesidades del cliente.
En caso de que se detecte una discrepancia entre la teoría y la solución real, es posible conciliar manualmente las cuentas, las identidades y las autorizaciones, y luego adaptar la solución creando reglas que tengan en cuenta los casos particulares observados.
Estas herramientas, junto con la centralización de las identidades en un único repositorio, permiten obtener una visión completa e instantánea del conjunto de datos de la empresa.
Las profesiones de la IGA
Un proyecto de IGA puede consistir en la creación de una solución, pero también en la actualización, el mantenimiento o la mejora de una solución ya integrada.
La IGA suele implicar proyectos bastante largos: pueden ser necesarios desde unos meses hasta más de un año para integrar una solución de IGA en un sistema de información. Es necesario comprender el sistema de información en su totalidad, personalizar la solución en función de las necesidades y las políticas de la empresa, y conectar el parque de aplicaciones a la nueva solución. Todo depende de la empresa en cuestión: necesidad de seguridad media o alta, número de usuarios y aplicaciones, reflexión previa en materia de IGA, etc.
La arquitectura de sistemas de información (ASI) es un campo amplio y complejo: la diversidad de clientes, sistemas de información y funcionalidades disponibles hace que cada proyecto sea diferente al anterior y, por ello, enriquecedor.
El razonamiento funcional
Las funciones relacionadas con la IGA tienen, por un lado, un aspecto funcional: el diálogo con el cliente, el asesoramiento, la comprensión técnica de las necesidades que este expresa y la transferencia de conocimientos una vez implementada la solución, para que se utilice en las mejores condiciones. La corrección de un funcionamiento organizativo interno deficiente, la incorporación de buenas prácticas y la reflexión funcional son necesarias para la integración de una solución de IGA segura.
Por otra parte, estas profesiones tienen un componente técnico: el desarrollo, la implementación y la integración de una solución que se ajuste a las especificaciones establecidas.
El aspecto técnico es inherente a las profesiones relacionadas con la ciberseguridad. Si bien todos los ámbitos de la ciberseguridad requieren un enfoque funcional, la IGA destaca por la complejidad y la diversidad de las funcionalidades y los aspectos que hay que tener en cuenta incluso antes de iniciar una integración o una actualización.
La gestión del cambio
El IGA requiere encontrar un equilibrio entre las necesidades del cliente y las funcionalidades disponibles en la solución elegida. Un aspecto de este compromiso reside en la gestión del cambio por parte del cliente, es decir, el hecho de pedirle que modifique su organización y sus prácticas en beneficio de la solución de IGA propuesta. Definir el cambio indispensable, defenderlo y ponerlo en práctica es uno de los retos de las profesiones relacionadas con la IGA (y con la IAM en general).
La integración de una solución de IGA en un sistema de información que nunca ha contado con ella puede plantear algunos retos: algunos clientes nunca han tenido en cuenta ciertas funcionalidades o deben revisar por completo sus procesos para ajustarse a las buenas prácticas.
Adaptar las interfaces a lo que ya se hace en el sistema de información y crear procesos similares a los existentes es una forma de simplificar la gestión del cambio para el cliente.
La cultura de la empresa cliente es determinante a la hora de implementar cambios en un sistema de información. Algunas empresas funcionan por imposición: se elaboran nuevas normas y procesos, se explican y se defienden ante los equipos, y luego estos deben acatarlas sin otra opción.
Algunas empresas funcionan mediante propuestas: la solución de IGA se integra únicamente en una parte del parque , los procesos antiguos siguen existiendo, la solución se explica y se promociona dentro de la empresa, y luego los equipos deciden si conectan o no sus aplicaciones a la solución y utilizan los nuevos procesos. Este último funcionamiento se basa en la idea de que, si la solución realmente aporta un ahorro de tiempo, mayor seguridad y eficiencia, los equipos se sumarán a ella por sí mismos. Entre estos dos ejemplos existe todo un abanico de culturas empresariales.
Cursos para editores
Las soluciones de IGA son todas diferentes, aunque su funcionamiento sea similar. Por eso, es necesario formarse en la solución del proveedor que se utilice al incorporarse a un proyecto.
Los proveedores ofrecen cursos de formación para familiarizarse con las soluciones y adquirir competencias rápidamente. Algunos proveedores también ofrecen certificaciones de distintos niveles. Esto supone un importante ahorro de tiempo al incorporarse a un proyecto y una ventaja a la hora de optar a otros proyectos de IGA. Para los principiantes, permite profundizar en los retos de la IGA y en las funcionalidades de la solución. Para un experto, permite descubrir las formas de personalizar la solución y la organización de las funcionalidades entre sí.
Los principales editores también cuentan con una comunidad activa y foros que permiten un intercambio continuo de conocimientos. Es una mina de oro para verificar una hipótesis funcional, salir de un atolladero técnico y ahorrar tiempo de desarrollo.
Marianne Faure
Consultora de ciberseguridad
