Seguridad y gestión de identidad en una organización

Vivimos tiempos difíciles, con proyecciones económicas que muestran un horizonte de dificultades para las organizaciones, en el que deben continuar entregando productos y servicios a sus clientes a pesar de los necesarios recortes presupuestarios, contención en proyectos e iniciativas y, lamentablemente, reducciones de plantilla que suponen menos recursos y talento para llevar a cabo los mandatos empresariales.

Ramsés Gallego
Ramsés Gallego. Security Strategist & Evangelist de Quest Software

La mayor preocupación de los directivos surge de la cancelación diaria de proyectos, y es que, históricamente, las iniciativas de TI han sido vistas como gastos innecesarios que no aportan a la misión empresarial y sufren los primeros recortes. Sin embargo, durante la recesión de 1998-2004, las organizaciones de TI ayudaron ágilmente a las organizaciones a ser más eficientes, a aumentar las ganancias corporativas y mejorar su posicionamiento, lo que muestra que la reducción de costes puede ofrecer una gran oportunidad para el sector TI… si se abordan las iniciativas correctas en el momento correcto.

Un aspecto que no debería de olvidarse, independientemente de cuál sea la situación económica, en cualquier sector o mercado, en cualquier compañía, es la perspectiva de seguridad. No importa el delicado momento por el que puedan estar pasando, la protección de las personas, de los datos sensibles, de uno de los activos más importantes para cualquier entidad: la información se presenta como instrumental para la supervivencia. Son pocas las entidades, públicas o privadas, que conozcan quién tiene acceso a qué, en qué momento, desde qué dispositivo, con qué derechos, con qué fin. A menudo, cuando las personas cambian o se van de un departamento siguen teniendo acceso a los sistemas de información; en ocasiones, desde terminales remotos y durante muchos meses. Este riesgo de seguridad podría ser enorme en entidades que trabajan con información crítica y protegida por las regulaciones existentes. Un hospital, un gobierno local o una entidad financiera tienen datos de vital importancia para las personas a las que ofrecen servicios, y debe ser objetivo prioritario dentro del marco de gestión del riesgo y buen gobierno corporativo proteger esos activos.

Esta situación se puede evitar con un buen sistema de seguridad que facilite el establecimiento de procesos y procedimientos, que se integre con la realidad corporativa (en algunas ocasiones multi-empresa) y sin grandes inversiones de capital, incluso protegiendo la inversión realizada en este ámbito hasta el momento. Los departamentos de TI sólo tienen que ser conscientes de su rol de protectores, y facilitadores a la vez, del negocio y establecer una serie de medidas que garanticen el correcto acceso a los datos, en forma y tiempo seguros, con agilidad para que la actividad del negocio fluya como se desea.

Un aspecto que no debería olvidarse, independientemente de cuál sea la situación económica, en cualquier sector o mercado, en cualquier compañía, es la perspectiva de seguridad

El primer consejo es optimizar el entorno actual y asegurarse de que la empresa está lista para cualquier eventualidad. Esto se consigue con una clara percepción del riesgo y con el análisis acerca de qué contramedidas son necesarias para mitigar/reducir la probabilidad o impacto. Una de las principales áreas en las que concentrarse es la automatización de la Gestión de Identidades y Accesos (IAM). IAM, dentro del marco de gestión total de la identidad de empleados, socios, proveedores,… facilita que muchas tareas repetitivas que se realizan manualmente, puedan hacerse de forma automatizada. La automatización en tiempos de cambios organizacionales y con reestructuraciones que implican movimiento de empleados limitará significativamente cualquier brecha de seguridad. Por otro lado, los tres factores que contribuyen a la ineficiencia de IAM y que hay que evitar con buenos procedimientos y controles y con tecnología que apoye esa visión son: el trabajo manual, la redundancia y el exceso de centralización. A continuación aportamos ideas para mitigar estas ineficiencias y aumentar la seguridad, reducir costes y mejorar los niveles de servicio.

Automatizar

Probablemente, la mayor ineficiencia en IAM es el trabajo manual. En la empresa de hoy existen demasiadas identidades, demasiados permisos de acceso, demasiados directorios –desactualizados–, demasiadas contraseñas, demasiado complejo.

Este enfoque de IAM no es sólo ineficiente e ineficaz en algunos casos, sino que también presenta un riesgo innecesario. Las personas cometemos errores y éstos pueden conducir a guardar identidades y permisos comprometiendo la seguridad , ya que se autorizan fuera del marco de gestión corporativo. Si logramos simplificar estas tareas se pueden reducir drásticamente los errores humanos, obteniendo una gestión de identidad y accesos más eficiente y más segura.

La automatización en tiempos de cambios organizacionales y con reestructuraciones que implican movimiento de empleados limitará significativamente cualquier brecha de seguridad

¿Qué se puede hacer? Automatizar todas las etapas de aprovisionamiento de identidad y acceso con herramientas centralizadas, capaces de entender todo el ecosistema de aplicaciones y directorios que usan políticas de acceso de alto nivel, gestión basada en roles y conectividad entre plataformas.

Las ventajas adicionales que aporta la automatización, además, son que las políticas IAM serán cumplidas automáticamente, ya que se cederán derechos basados en roles, en perfiles de acceso, en facilitar la información que el empleado necesita para trabajar… y no otra. Esta aproximación aumenta la seguridad, reduce los errores y mejora la capacidad de auditoría. Por otra parte, el acceso de los usuarios estará más controlado y adecuado a sus funciones y necesidades de trabajo, lo que redunda en una mejora de la productividad del usuario y la seguridad del sistema en su conjunto –todo el entorno empresarial aumenta la seguridad y, en consecuencia, la exposición al riesgo de toda la entidad–.

Delegación de autoridad
Sin una correcta delegación de autoridad, los usuarios no pueden tener el correcto acceso a los recursos corporativos.
Eliminar la redundancia

La mayoría de los entornos corporativos incluyen un alto grado de redundancia; en IAM, el mantenimiento de múltiples nombres de usuario y contraseñas en múltiples sistemas multiplican las tareas repetitivas y aumentan la probabilidad de errores. En la realidad de hoy, cada identidad debe ser independientemente aprovisionada y eso es una oportunidad para la existencia de riesgo corporativo.

¿Qué se puede hacer? Se debe eliminar la redundancia centralizando las identidades. Esto permitirá gestionar la autentificación de múltiples bases de datos y directorios desde una sola ubicación, así como reducir significativamente los gastos generales operativos, aumentar la seguridad y reducir los errores.

Administración delegada

Sin una correcta delegación de autoridad, los usuarios no pueden tener el correcto acceso a los recursos corporativos.

¿Qué se puede hacer?: Delegar la autoridad administrativa a los que deben tomar decisiones basadas en negocio –esto es de capital importancia- con una herramienta que ofrezca seguridad, control y delegación de política controlada. Esta estrategia aleja a los responsables de TI del papel de intermediarios, dando un control de acceso más cercano a los usuarios finales, para que ellos obtengan exactamente el acceso necesario.

Las ventajas adicionales son que los usuarios finales son más productivos cuando se satisfacen sus necesidades con mayor rapidez. Los principales tomadores de decisiones pueden reaccionar más rápido a las cambiantes necesidades del negocio, manteniendo ágil la organización.

Con una correcta aproximación al ámbito de gestión de identidades y accesos la organización puede responder más rápidamente a las condiciones cambiantes del mercado, posicionándose para capitalizar las oportunidades a su alrededor, teniendo en cuenta los cambios en los departamentos y la rotación de personal. Además, puede y debe responder más ágilmente a una variable cada vez más monitorizada por los Consejos de Administración: el time-to-market, el tiempo que una corporación tarda en aportar soluciones al mercado y cubrir las necesidades de sus clientes. Una infraestructura eficaz y eficiente de IAM puede garantizar que a los usuarios se les concede el derecho de acceso a los recursos adecuados con rapidez, que la seguridad de su sistema es íntegra y que su postura frente al riesgo de incumplimiento legal es asumible por la entidad.

Una gestión mejorada significa mayor agilidad. Porque IAM está en el corazón de la productividad de una organización y una infraestructura más eficiente no sólo puede ahorrar dinero, mejorar la seguridad, y mejorar los niveles de servicio, sino que también puede hacer la organización más flexible y ágil en la competencia de hoy, de ritmo más rápido en los mercados, incluso en tiempos de crisis.

Vivimos tiempos difíciles, con proyecciones económicas que muestran un horizonte de dificultades para las organizaciones, en el que deben continuar entregando productos y servicios a sus clientes a pesar de los necesarios recortes presupuestarios, contención en proyectos e iniciativas y, lamentablemente, reducciones de plantilla que suponen menos recursos y talento para llevar a cabo los mandatos empresariales.