Diez verdades universales acerca de la gestión de identidad y acceso

Todd Peterson, IAM Evangelist, Dell Software

La mayoría de las empresas consideran la tecnología un elemento clave para ser más ágiles, lo que a menudo choca con procesos y políticas de seguridad tan complejos como inflexibles. Por eso la gestión de identidad y acceso (o IAM, por sus siglas en inglés) se ha convertido en la base de una gran parte de las operaciones de TI, pues si bien se centra sencillamente en los usuarios y en sus derechos, conlleva muchas implicaciones para ambos.

En la industria de IAM, existen diez verdades universales que pueden mejorar muchísimo cualquier enfoque de IAM convirtiéndolo en una herramienta para que las empresas sean más ágiles sin ser un freno para la productividad o una fisura en la seguridad.

1. La seguridad y el cumplimiento son conceptos que invocan un camino, no un destino

Es recomendable abordar ambos como un conjunto único y con una estrategia básica que sea común a ambos.

2. No se pueden solucionar los problemas que ni siquiera se pueden ver

Cuanto más unificado sea el planteamiento de IAM, más sencillo resultará entender los derechos y las actividades de los usuarios, viéndolo de una forma sencilla.

3. Los administradores siempre ayudan… y ese es el problema

Una vez más, “el informático” de cada empresa no debe ir caso a caso atendiendo peticiones de acceso en base a la confianza. El equipo de TI y los usuarios deben seguir una política de IAM que permita solicitar acceso de forma rápida y sencilla a cualquier necesidad, al tiempo que se coteja de forma instantánea y automática dicha petición con la política de seguridad establecida.

4. A diferencia de usted, los malos no tienen nada mejor que hacer

Al eliminar los riegos de las cuentas con privilegios compartidos y optar por un modelo de mínimos privilegios para el acceso del administrador se cierra un importante hueco. El empleo de tecnologías sencillas como la autenticación multifactorial, el inicio de sesión único y la supervisión de la actividad del usuario pueden apuntalar los muros de la fortaleza aún más.

5. Los usuarios escribirán sus contraseñas, pero recordarán su contraseña

Si los usuarios se acostumbran a emplear una única contraseña en vez de muchas con tecnologías de inicio de sesión único (o SSO, por sus siglas en inglés), es muy probable que la recuerden, evitando escribirla en una nota junto a la pantalla. Si además añadimos un segundo factor a la autentificación, incluso el riesgo asociado a anotarla resulta insignificante.

6. Si mide el riesgo de las amenazas internas en función de los cambios de humor de los administradores de TI, tiene un problema…

Es inevitable tener una cuenta de superusuario pero sí que se pueden evitar las prácticas que la pongan en riesgo, aplicando un método seguro de privilegios que la emita automáticamente, en función de la política, y con una completa visibilidad de las actividades asociadas. Por otra parte, y en la medida de lo posible, es aconsejable implementar un modelo de mínimos privilegios de acceso, en el cual los subconjuntos de una credencial administrativa completa se deleguen a los administradores concretos, que contarán con los derechos suficientes para hacer su trabajo, ni más, ni menos

7. Enviar flujos de trabajo a la nube no hace que resulte más sencillo de definir o entender

Cualquier plan de IAM debe tener en cuenta si la solución está bien preparada para el tratamiento de datos y aplicaciones en la nube, sin que ello signifique crear un protocolo paralelo para ella.

8. Si definió su proyecto de IAM hace más de seis meses, probablemente esté desfasado…

Es preciso definir las políticas de IAM sin vincularlas a una tecnología o distribuidor específicos. Busque soluciones que se puedan implementar rápidamente para solucionar el problema de hoy en el día de hoy, pero sin dejar de estar alerta a lo que pueda surgir mañana y sin aferrarse a dispositivos que quedarán obsoletos antes de que el proyecto finalice. Busque más bien soluciones modulares e integradas que incluyan la flexibilidad de cambiar cada aspecto de IAM sin que se tambaleen los cimientos.

9. Si no consigue que los ejecutivos utilicen una herramienta para X, ¿qué hará para conseguir que utilicen cinco?

Cuando una empresa unifica IAM (identidad, política, flujo de trabajo, certificación, etc.), define al mismo tiempo una gran parte de su política de gestión de identidad de acceso, en cuanto que obtiene de una forma muy simplificada la fotografía de lo que lo que cada usuario debe hacer, por qué, cómo… y todo ello con una única herramienta.

10. Resulta muy complicado cumplir con la eficiencia y la seguridad, y dicha dificultad es directamente proporcional a la complejidad de su entorno

«¿Quiere que sea seguro o quiere que sea eficiente?» Si la respuesta es “ambos” es preciso que reduzca al máximo la complejidad en su entorno TI. Reducción de contraseñas, gestión de accesos unificada, limitación de funciones, una política de seguridad común… Al unificar estos componentes cruciales de IAM lo máximo posible, la seguridad es el producto natural y la eficiencia le sigue muy de cerca.