por Sandra Gittlen y Linda Rosencrance
La gestión de identidades y accesos (IAM) es un marco de procesos, políticas y tecnologías empresariales que facilita la gestión de identidades electrónicas o digitales. Con un marco de IAM implementado, los gerentes de tecnología de la información (TI) pueden controlar el acceso de los usuarios a la información crítica dentro de sus organizaciones. Los sistemas utilizados para IAM incluyen sistemas de inicio de sesión único, autenticación de dos factores , autenticación multifactor y administración de acceso privilegiado . Estas tecnologías también brindan la capacidad de almacenar de forma segura datos de identidad y perfil, así como funciones de gobierno de datos para garantizar que solo se compartan los datos que son necesarios y relevantes.
Los sistemas IAM se pueden implementar en las instalaciones, proporcionados por un proveedor externo a través de un modelo de suscripción basado en la nube o implementarse en un modelo híbrido.
En un nivel fundamental, IAM abarca los siguientes componentes:
- cómo se identifican las personas en un sistema (comprenda la diferencia entre la gestión de identidad y la autenticación );
- cómo se identifican los roles en un sistema y cómo se asignan a las personas;
- agregar, eliminar y actualizar personas y sus roles en un sistema;
- asignar niveles de acceso a individuos o grupos de individuos; y
- proteger los datos confidenciales dentro del sistema y asegurar el sistema en sí.
¿Por qué es importante IAM?
Los líderes empresariales y los departamentos de TI se encuentran bajo una mayor presión regulatoria y organizativa para proteger el acceso a los recursos corporativos. Como resultado, ya no pueden depender de procesos manuales y propensos a errores para asignar y rastrear privilegios de usuario. IAM automatiza estas tareas y permite el control de acceso granular y la auditoría de todos los activos corporativos en las instalaciones y en la nube.
IAM, que tiene una lista cada vez mayor de características, que incluyen biometría , análisis de comportamiento e inteligencia artificial, se adapta bien a los rigores del nuevo panorama de seguridad. Por ejemplo, el estricto control de IAM sobre el acceso a los recursos en entornos dinámicos y altamente distribuidos se alinea con la transición de la industria de firewalls a modelos de confianza cero y con los requisitos de seguridad de IoT . Para obtener más información sobre el futuro de la seguridad de IoT , consulte este video.
Si bien los profesionales de TI pueden pensar que IAM es para organizaciones más grandes con presupuestos más grandes, en realidad, la tecnología es accesible para empresas de todos los tamaños.
Componentes básicos de IAM
Un marco de IAM permite a TI controlar el acceso de los usuarios a la información crítica dentro de sus organizaciones. Los productos IAM ofrecen control de acceso basado en roles, que permite a los administradores de sistemas regular el acceso a sistemas o redes según los roles de los usuarios individuales dentro de la empresa.
En este contexto, el acceso es la capacidad de un usuario individual para realizar una tarea específica, como ver, crear o modificar un archivo. Los roles se definen según el puesto, la autoridad y la responsabilidad dentro de la empresa.
Los sistemas IAM deben hacer lo siguiente: capturar y registrar la información de inicio de sesión del usuario, administrar la base de datos empresarial de identidades de usuario y orquestar la asignación y eliminación de privilegios de acceso.
Eso significa que los sistemas utilizados para IAM deben proporcionar un servicio de directorio centralizado con supervisión y visibilidad de todos los aspectos de la base de usuarios de la empresa.
Las identidades digitales no son solo para humanos; IAM puede administrar las identidades digitales de dispositivos y aplicaciones para ayudar a establecer la confianza.
En la nube, IAM se puede manejar mediante autenticación como servicio o identidad como servicio ( IDaaS ). En ambos casos, un proveedor de servicios externo asume la carga de autenticar y registrar a los usuarios, además de administrar su información. Obtenga más información sobre estas opciones de IAM basadas en la nube .
Beneficios de IAM
Las tecnologías de IAM se pueden utilizar para iniciar, capturar, registrar y administrar las identidades de los usuarios y sus permisos de acceso relacionados de manera automatizada. Una organización obtiene los siguientes beneficios de IAM :
- Los privilegios de acceso se otorgan de acuerdo con la política, y todas las personas y servicios están debidamente autenticados, autorizados y auditados.
- Las empresas que administran adecuadamente las identidades tienen un mayor control del acceso de los usuarios, lo que reduce el riesgo de violaciones de datos internos y externos.
- La automatización de los sistemas IAM permite a las empresas operar de manera más eficiente al disminuir el esfuerzo, el tiempo y el dinero que se requerirían para administrar manualmente el acceso a sus redes.
- En términos de seguridad, el uso de un marco de IAM puede facilitar la aplicación de políticas en torno a la autenticación , validación y privilegios de usuarios , y abordar problemas relacionados con la filtración de privilegios.
- Los sistemas IAM ayudan a las empresas a cumplir mejor con las regulaciones gubernamentales permitiéndoles mostrar que la información corporativa no se está utilizando indebidamente. Las empresas también pueden demostrar que los datos necesarios para la auditoría pueden estar disponibles bajo demanda.
Las empresas pueden obtener ventajas competitivas implementando herramientas IAM y siguiendo las mejores prácticas relacionadas. Por ejemplo, las tecnologías IAM permiten a la empresa brindar a los usuarios externos a la organización, como clientes, socios, contratistas y proveedores, acceso a su red a través de aplicaciones móviles, aplicaciones locales y SaaS sin comprometer la seguridad. Esto permite una mejor colaboración, mayor productividad, mayor eficiencia y menores costos operativos.
Tecnologías y herramientas de IAM
Las tecnologías de IAM están diseñadas para simplificar el proceso de configuración de cuentas y aprovisionamiento de usuarios. Estos sistemas deberían reducir el tiempo que lleva completar estos procesos con un flujo de trabajo controlado que reduce los errores y el potencial de abuso al tiempo que permite el cumplimiento automatizado de la cuenta. Un sistema IAM también debería permitir a los administradores ver y cambiar instantáneamente los roles y derechos de acceso en evolución .
Estos sistemas deben equilibrar la velocidad y la automatización de sus procesos con el control que los administradores necesitan para monitorear y modificar los derechos de acceso. En consecuencia, para gestionar las solicitudes de acceso, el directorio central necesita un sistema de derechos de acceso que empareje automáticamente los cargos de los empleados, los identificadores de las unidades de negocio y las ubicaciones con sus niveles de privilegios relevantes.
Se pueden incluir varios niveles de revisión como flujos de trabajo para permitir la verificación adecuada de solicitudes individuales. Esto simplifica la configuración de los procesos de revisión apropiados para el acceso de nivel superior, así como también facilita las revisiones de los derechos existentes para evitar el arrastre de privilegios, que es la acumulación gradual de derechos de acceso más allá de lo que los usuarios necesitan para hacer su trabajo.
Los sistemas IAM deben usarse para brindar flexibilidad para establecer grupos con privilegios específicos para roles específicos, de modo que los derechos de acceso basados en las funciones laborales de los empleados se puedan asignar de manera uniforme. El sistema también debe proporcionar procesos de solicitud y aprobación para modificar privilegios porque los empleados con el mismo título y ubicación de trabajo pueden necesitar un acceso personalizado o ligeramente diferente.
Tipos de autenticación digital
Con IAM, las empresas pueden implementar una variedad de métodos de autenticación digital para probar la identidad digital y autorizar el acceso a los recursos corporativos.
Contraseñas únicas. El tipo más común de autenticación digital es la contraseña única. Para que las contraseñas sean más seguras, algunas organizaciones requieren contraseñas más largas o complejas que requieren una combinación de letras, símbolos y números. A menos que los usuarios puedan recopilar automáticamente su colección de contraseñas detrás de un punto de entrada de inicio de sesión único , generalmente encuentran oneroso recordar contraseñas únicas.
Clave precompartida (PSK). PSK es otro tipo de autenticación digital en el que la contraseña se comparte entre usuarios autorizados para acceder a los mismos recursos; piense en una contraseña de Wi-Fi de sucursal. Este tipo de autenticación es menos seguro que las contraseñas individuales.
Una preocupación con las contraseñas compartidas como PSK es que cambiarlas con frecuencia puede resultar engorroso.
Autenticación de comportamiento. Cuando se trata de información y sistemas altamente confidenciales, las organizaciones pueden usar la autenticación de comportamiento para ser mucho más granulares y analizar la dinámica de las pulsaciones de teclas o las características de uso del mouse. Al aplicar inteligencia artificial, una tendencia en los sistemas IAM , las organizaciones pueden reconocer rápidamente si el comportamiento del usuario o de la máquina se sale de la norma y pueden bloquear automáticamente los sistemas.
Biometría. Los sistemas IAM modernos utilizan datos biométricos para una autenticación más precisa. Por ejemplo, recopilan una variedad de características biométricas, que incluyen huellas dactilares, iris, rostros, palmas, pasos, voces y, en algunos casos, ADN. Se ha descubierto que los análisis biométricos y basados en el comportamiento son más efectivos que las contraseñas.
Al recopilar y utilizar características biométricas, las empresas deben considerar la ética en las siguientes áreas:
- seguridad de los datos (acceso, uso y almacenamiento de datos biométricos);
- transparencia (implementación de divulgaciones fáciles de entender);
- opcionalidad (brindando a los clientes la opción de optar por participar o no participar); y
- Privacidad de datos biométricos (comprender qué constituyen datos privados y tener reglas para compartir con socios.
Un peligro de depender en gran medida de la biometría es que si los datos biométricos de una empresa son pirateados, la recuperación es difícil, ya que los usuarios no pueden intercambiar el reconocimiento facial o las huellas dactilares como lo hacen con las contraseñas u otra información no biométrica.
Otro desafío técnico crítico de la biometría es que puede ser costoso de implementar a escala, con costos de software, hardware y capacitación a considerar.
Antes de conectarse a IAM sin contraseña, asegúrese de comprender los pros y los contras de la autenticación biométrica .
Implementación de IAM en la empresa
Antes de implementar cualquier sistema IAM en la empresa, las empresas deben identificar quién dentro de la organización desempeñará un papel principal en el desarrollo, la promulgación y el cumplimiento de las políticas de identidad y acceso. IAM afecta a todos los departamentos y a cada tipo de usuario (empleado, contratista, socio, proveedor, cliente, etc.), por lo que es esencial que el equipo de IAM comprenda una combinación de funciones corporativas.
Los profesionales de TI que implementen un sistema IAM principalmente en las instalaciones y principalmente para los empleados deben familiarizarse con el patrón de diseño OSA IAM para la administración de identidades, SP-010 . El patrón establece la arquitectura de cómo los distintos roles interactúan con los componentes de IAM, así como los sistemas que dependen de IAM. La aplicación de políticas y las decisiones de políticas están separadas entre sí, ya que son tratadas por diferentes elementos dentro del marco de IAM.
Las organizaciones que quieran integrar a los usuarios que no son empleados y hacer uso de IAM en la nube en su arquitectura deben seguir estos pasos para construir una arquitectura de IAM efectiva , como lo explicó el experto Ed Moyle:
- Haga una lista de uso, incluidas aplicaciones, servicios, componentes y otros elementos con los que interactuarán los usuarios. Esta lista ayudará a validar que las suposiciones de uso sean correctas y será fundamental para seleccionar las funciones necesarias de un producto o servicio de IAM.
- Comprenda cómo se vinculan los entornos de la organización, como las aplicaciones basadas en la nube y las aplicaciones locales. Estos sistemas pueden necesitar un tipo específico de federación ( Security Assertion Markup Language OpenID Connect , por ejemplo).
- Conozca las áreas específicas de IAM más importantes para el negocio. Responder a las siguientes preguntas ayudará:
- ¿Es necesaria la autenticación multifactor ?
- ¿Es necesario que los clientes y los empleados estén respaldados en el mismo sistema?
- ¿Se requiere aprovisionamiento y desaprovisionamiento automatizados?
- ¿Qué estándares deben respaldarse?
Las implementaciones deben llevarse a cabo teniendo en cuenta las mejores prácticas de IAM , incluida la documentación de las expectativas y responsabilidades para el éxito de IAM. Las empresas también deben asegurarse de centralizar la seguridad y los sistemas críticos en torno a la identidad. Quizás lo más importante es que las organizaciones deberían crear un proceso que puedan utilizar para evaluar la eficacia de los controles actuales de IAM.
Riesgos de IAM
IAM no está exento de riesgos, que pueden incluir descuidos de configuración de IAM . El experto Stephen Bigelow describió cinco descuidos que deben evitarse, incluido el aprovisionamiento incompleto, la automatización deficiente de procesos y las revisiones insuficientes. También explicó que prestar atención al principio de privilegio mínimo es fundamental para garantizar una seguridad adecuada.
La biometría, como se mencionó anteriormente, también plantea desafíos de seguridad, incluido el robo de datos. Recopilar y conservar solo los datos necesarios reduce ese riesgo. Las organizaciones deben saber qué datos biométricos tienen , qué necesitan, cómo deshacerse de lo que no necesitan y cómo y dónde se almacenan los datos.
La IAM basada en la nube puede ser motivo de preocupación cuando el aprovisionamiento y el desaprovisionamiento de las cuentas de usuario no se manejan correctamente, si hay demasiadas cuentas de usuario asignadas inactivas vulnerables y si hay una expansión en las cuentas de administrador. Las organizaciones deben garantizar el control del ciclo de vida sobre todos los aspectos de la IAM basada en la nube para evitar que los actores malintencionados obtengan acceso a las identidades y contraseñas de los usuarios.
Al mismo tiempo, características como la autenticación multifactorial podrían implementarse más fácilmente en un servicio basado en la nube como IDaaS que en las instalaciones debido a su complejidad.
Las capacidades de auditoría actúan como un control para garantizar que cuando los usuarios cambian de roles o abandonan la organización, su acceso cambia en consecuencia.
Los profesionales de TI pueden obtener certificaciones de seguridad más amplias y específicas de IAM para poder evaluar la postura de seguridad de su organización y protegerse de las amenazas. Lea esta comparación de las principales certificaciones de IAM .
Proveedores y productos de IAM
Los proveedores de IAM van desde grandes empresas, como IBM, Microsoft, Oracle y RSA, hasta proveedores puros, como Okta, Ping y SailPoint. Seleccionar el mejor producto o servicio de IAM para su organización requiere un trabajo preliminar para determinar las características que abordan sus necesidades, como administración centralizada, inicio de sesión único, gobernanza, cumplimiento y análisis de riesgos. Consulte nuestra lista de proveedores, productos y funciones de IAM 2020 .
Lea también cómo Okta se enfrenta a los gigantes Microsoft y Google con sus ofertas de IAM sin contraseña. La estrategia de Okta es implementar factores sin contraseña junto con el acceso contextual , con el objetivo de mejorar la experiencia del usuario.
IAM y cumplimiento
Es fácil pensar que la seguridad mejorada es simplemente el acto de acumular más procesos de seguridad, pero como escribieron la redactora Sharon Shea y el experto Randall Gamby, la seguridad “consiste en demostrar que estos procesos y tecnologías están proporcionando un entorno más seguro “.
IAM cumple con este estándar al adherirse al principio de privilegio mínimo, donde a un usuario se le otorgan solo los derechos de acceso necesarios para cumplir con sus deberes laborales, y separación de deberes, donde una persona nunca es responsable de cada tarea. Con una combinación de control de acceso predeterminado y en tiempo real, IAM permite a las organizaciones cumplir con sus mandatos regulatorios, de gestión de riesgos y de cumplimiento.
Las tecnologías IAM modernas tienen la capacidad de confirmar el cumplimiento de una organización con requisitos críticos, incluidos HIPAA, la Ley Sarbanes-Oxley, la Ley de Privacidad y Derechos Educativos de la Familia y las pautas del NIST, entre otros.
La hoja de ruta de IAM
La innovación es abundante en torno a IAM y las empresas se benefician de nuevas estrategias respaldadas por productos y funciones.
Muchas tecnologías emergentes de IAM están diseñadas para reducir el riesgo al mantener la información de identificación personal con el propietario de la información, no distribuida en bases de datos vulnerables a violaciones y robos.
Por ejemplo, un marco de identidad descentralizado permite a las personas mantener el control y gestionar sus propias identidades. Las personas pueden dictar cómo y dónde se comparten sus datos personales, lo que probablemente reducirá el riesgo y la responsabilidad corporativa.
En el corazón de este marco y otros destinados a otorgar a los usuarios más autoridad sobre sus datos se encuentra la tecnología blockchain, que facilita el intercambio seguro de datos entre individuos y terceros.
La atención médica es un caso de uso ideal para blockchain , ya que la falta de interoperabilidad entre sistemas y entidades es increíblemente limitante. Blockchain mejora el intercambio de registros y admite mayores controles de pacientes.
Algunas organizaciones se dirigen hacia un enfoque de IAM de “traiga su propia identidad” o BYOI. Al igual que el inicio de sesión único, BYOI reduce la cantidad de nombres de usuario y contraseñas que los usuarios deben recordar, lo que podría reducir el panorama de vulnerabilidades. Lo que BYOI puede hacer por la empresa es permitir que los empleados accedan a aplicaciones fuera de la organización mediante el uso de identidades corporativas. Por ejemplo, los empleados pueden iniciar sesión en un programa de administración de beneficios para verificar la cobertura del seguro o revisar su cartera 401 (k).
Continuar leyendo Acerca de ¿Qué es la administración de identidades y accesos? Guía de IAM
- ¿Qué tan efectivos son los métodos de autenticación tradicionales?
- Estrategia de gestión de identidades y accesos: ¿Es hora de modernizarse?
- Configurar un sistema de gestión de identidad y acceso para la nube pública
- Los beneficios de IAM pueden superar con creces los costos
- Cómo elegir el mejor software de gestión de acceso a la identidad
Profundice en la gestión de identidades y accesos empresariales
- La tecnología de seguridad biométrica podría crecer en 2021 – Por: Mary Pratt
- 8 razones por las que la administración de identidades y accesos es importante – Por: Linda Rosencrance
- 6 beneficios clave de la gestión de identidades y accesos – Por: Sharon Shea
- Gestión de identidad frente a autenticación: conozca la diferencia – Por: Andrew Froehlich
Fuente: https://searchsecurity.techtarget.com/definition/identity-access-management-IAM-system