Pasar al contenido principal

Gestión de identidades y accesos

¿A quién va dirigido?

Especialmente a todas las grandes organizaciones, públicas o privadas, preocupadas por la gestión de sus usuarios y sus derechos de acceso y por el cumplimiento de las normativas actuales y futuras. La mediana empresa también se beneficiará de muchas de las ventajas, pudiéndose centrar en aspectos particulares que le aporten el máximo beneficio con un coste aceptable.

¿Qué es?

También conocida como IAM (Identity & Access Management), se trata de una amplia disciplina de seguridad y de negocio que permite que sólo los individuos adecuados accedan a los recursos en el momento y con los motivos apropiados. Esto se traduce en un conjunto de políticas, procesos y tecnologías encargadas de gestionar el acceso y salvaguardar la información.

Las identidades gestionadas suelen estar asociadas a usuarios (empleados, clientes, partners, proveedores) pero también pueden estar asociadas a dispositivos.

En el mercado existen tanto soluciones IAM integrales, que cubren todos o casi todos los aspectos de la gestión de identidades, como soluciones más específicas que cubren alguna de las problemáticas en particular. Algunas de las capacidades que tienen los sistemas IAM son las siguientes:

  • Provisionamiento de cuentas en los sistemas
  • Provisionamiento de accesos a las aplicaciones en base a roles
  • Mecanismos de autenticación y autorización robustos para las aplicaciones
  • Dotar de Single Sign-On
  • Gestión delegada única y centralizada
  • Portal de auto restablecimiento de contraseñas
  • Gestión de cuentas privilegiadas
  • Recertificación de accesos
  • Auditoría de cuentas y accesos
  • Detección de riesgos asociados a las identidades y sus accesos
  • Proteger las aplicaciones con múltiple factor de autenticación, incluso autenticación adaptativa o inteligente
  • Federación de identidades.

Objetivos

Los principales objetivos de una gestión de identidades se resumen en los siguientes puntos:

  • Asegurar el acceso a los recursos en entornos tecnológicos cada vez más heterogéneos (on-premise, cloud, IoT)
  • Cumplimiento de requisitos normativos cada vez más rigurosos
  • Automatización del provisionamiento de cuentas y accesos para las contrataciones/altas, cambios y bajas
  • Reducir los costes asociados a la gestión de la identidad
  • Dotar de visión global de las identidades y sus autorizaciones, accesos, y actividad en los sistemas
  • Normalización de las identidades, permisos, roles, políticas y procesos de la organización y su mantenimiento desde un único punto
  • Control integral de las identidades. Permite identificar y asociar las numerosas cuentas repartidas por los sistemas con una única identidad primaria asociada a una persona o dispositivo.

Beneficios

Los beneficios de una correcta implementación de IAM varían en importancia de una organización a otra. Algunos de los más habituales son los siguientes:

  • Reducción de costes asociados a la gestión de las identidades (contraseñas, altas/bajas/modificaciones, control de accesos, autenticación única, …).
  • Aumento de la productividad. Los empleados pueden realizar sus funciones desde el primer momento y los administradores pueden centrarse en labores evolutivas y preventivas.
  • Aumento de la seguridad mediante la eliminación de errores de provisión que redundan en un exceso de permisos y la mejor implementación del principio de mínimo privilegio.
  • Control de cuentas huérfanas
  • Agiliza significativamente el afrontar nuevas iniciativas de negocio
  • Facilita la consolidación de identidades de múltiples dominios o delegaciones, a menudo producto de fusiones y adquisiciones
  • Visibilidad completa de los privilegios de acceso que permite detectar mejor los riesgos
  • Interoperabilidad con otras entidades mediante la federación e intercambio de identidades
  • Facilita el cumplimiento normativo y simplifica la generación de informes y labores forenses.

Factores a tener en cuenta para la Gestión de Identidades

  • Ir despacio, el camino es largo. Definir una estrategia de gestión de identidades que permita avanzar dando pequeños pasos en la dirección correcta es un factor determinante para garantizar el éxito
  • Importante contar con el apoyo de toda la organización, especialmente desde la parte de negocio.        
  • Definir la fuente autoritativa de las identidades y ejercer control sobre la misma
  • Priorizar implementación de “quick-wins” como, por ejemplo: auto-servicio de recuperación de contraseñas, consolidación de varios directorios, Single Sign-On, provisionamiento de cuentas en AD, gestión delegada unificada, cuentas privilegiadas, …
  • Buscar la consolidación de los directorios de usuarios reduciendo la cantidad de sistemas a mantener
  • Perseguir siempre el objetivo de “mínimo privilegio”, incluso en cuentas de administrador. Los administradores no necesitan todos los permisos a diario y existen soluciones de PAM para gestionar y auditar su uso
  • Cerrar el ciclo de vida del usuario desde su creación hasta su baja evitando la existencia de cuentas huérfanas o la acumulación de privilegios de los usuarios a lo largo de su evolución en la organización
  • Ejercer el gobierno de las identidades manteniendo el cumplimiento normativo y la privacidad en todas las fases del desarrollo.

Fases de un proyecto de IAM

Fase 1. Evaluar la situación actual y definir la situación deseada

El detonante de una iniciativa para implementación de IAM suele ser la existencia de problemas en la organización en diversos aspectos. Puede ser la sobrecarga del departamento IT, una auditoría fallida, o problemas de seguridad de diversa índole. Es conveniente comenzar con una evaluación de la situación actual identificando estos puntos de mejora.

Tras esto es recomendable imaginar la situación final deseada y plasmarla en una serie de objetivos. No es necesario, ni en ocasiones recomendable, implementar todos los cambios en un solo proyecto, pero disponer de un roadmap servirá para mantener el rumbo de la iniciativa, y a la larga ahorrará tiempo y recursos.

Fase 2. Identificar los requisitos de la solución

Después de definir un equipo de dirección interno encargado del gobierno de la identidad, se establecerán los requisitos que debe cumplir la solución final en orden de importancia para la organización. Deben tratarse aspectos como qué repositorios de usuarios existen y cuáles son más importantes para priorizar su integración con la solución IAM, si existirá un origen de las identidades (fuente autoritativa) y cuáles serán los protocolos, atributos e intervalos de sincronización, si la provisión de cuentas será automática o manual, y otros muchos factores.

Aspectos como la experiencia de usuario también deben ser considerados desde el principio. ¿El portal de autoservicio para los usuarios permitirá solicitar el acceso a recursos o solamente servirá para el reinicio y recuperación de contraseñas? Si la organización ya dispone de un sistema de petición de recursos funcional, quizás interese integrar la solución con el mismo en lugar de usar el de la propia solución de IAM.

Fase 3. Establecimiento de políticas en torno a la identidad

Es necesario establecer y normalizar una serie de aspectos que conformarán las políticas de la organización con respecto a la gestión de la identidad. Los identificativos de usuario deberán cumplir una nomenclatura que permitirá su generación automática y evitará conflictos en los diferentes sistemas. También conviene definir los tipos de usuarios que pueden existir (empleados, proveedores, clientes, servicios, …), sus reglas de negocio, atributos, políticas de contraseñas, entre otras. En muchas ocasiones algunas de las anteriores reglas variarán en función del contexto en que se encuentren (dentro o fuera de la organización, VPN, acceso desde cierta aplicación, etcétera).

Fase 4. Establecer catálogo de roles

Un elemento central de un sistema de IAM es el catálogo de roles de la organización, que define los accesos que debe tener un usuario en base a sus funciones. También es posible incluir una valoración del riesgo asociado a cada uno de estos perfiles. Esto permitirá más adelante la aplicación de un sistema de control de acceso basado en roles y una evaluación automática de factores de riesgo.

Será necesario establecer dicho catálogo de roles mediante el cruzado de técnicas como la minería de roles y la visión de la propia organización. Tan importante como esto es establecer pautas para mantener vigente dicho catálogo.

Fase 5. Gestión delegada y cuentas de administrador

En la gestión delegada de IAM deben quedar claramente definidas las responsabilidades de cada participante, que serán organizadas en roles para el CAU, administradores regionales y globales, aprobadores (en caso de implementar flujos de aprobación) o auditores.

Un punto crítico para mejorar la seguridad es la correcta gestión de cuentas privilegiadas en los distintos sistemas (BBDD, aplicaciones, OS). Mediante las soluciones PAM es posible regular y auditar el uso de estos super-usuarios.

Fase 6. Control de acceso a las aplicaciones

Se establecerán unos principios de autenticación y autorización para las aplicaciones, de forma que tanto las existentes como las nuevas hagan uso de estándares reconocidos. Las aplicaciones pueden delegar la autenticación a un servicio centralizado que refuerce la seguridad mediante técnicas como múltiple factor de autenticación, autenticación adaptativa o inteligente en función del contexto, o biométricas.

Se dará respuesta a las necesidades de compartición de identidades entre distintas organizaciones mediante protocolos de federación como SAML, OAuth2.0 y OpenID-Connect.

Incluso la autorización dentro de las aplicaciones puede integrarse con el catálogo de roles con una aproximación de grano grueso (RBAC) o de grano fino (mediante XACML).

Fase 7. Formación

Se formará en el uso, políticas y procesos propios de la IAM a administradores y usuarios. Ya que la gestión de identidades resulta transversal a toda la organización, resulta crítico involucrar a todo el personal.

Fase 8. Mantenimiento y evolución

Los proyectos de IAM se mantienen en constante evolución. Además de las tareas propias de mantenimiento y evolución en las funcionalidades, existen numerosos aspectos que deben tratarse para explotar al máximo la inversión. Asimismo, es necesario mantener el sistema adaptado a las nuevas normativas legales y las nuevas iniciativas de negocio.

Establecer procesos rutinarios de recertificación permitirá asegurarse del correcto cumplimiento de la política de seguridad y de las normativas vigentes.

Mediante la definición de informes y métricas de uso será posible supervisar el estado general de la organización en materia de identidad.

¿Dónde recibir asesoramiento sobre gestión de accesos?

Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Incibe - Recomendaciones Gestion Identidades eficiente

Identity Management Institute

Compartir

Compartir en Linkedin