La gestión de identidades y accesos (IAM) es un término
general para las soluciones técnicas, los procesos y las políticas que las
organizaciones utilizan para gestionar las identidades de los usuarios y
regular el acceso de los usuarios a la red empresarial. El objetivo general de
IAM es proteger los activos empresariales garantizando que solo los usuarios
adecuados puedan acceder a ellos, dentro de los contextos adecuados.
Si bien la palabra “usuario” puede evocar imágenes
de personas sentadas frente a computadoras o mirando sus teléfonos móviles, no
todos los “usuarios” son humanos. El hardware de la computadora y los
dispositivos de Internet de las cosas (IoT) deben autenticarse antes de acceder
a una red. Muchas aplicaciones deben autenticarse en otras aplicaciones o
servicios para funcionar, como las aplicaciones que realizan llamadas a la API.
Ya sea humano o máquina, un sistema IAM asigna a cada
usuario una identidad digital única. Esta identidad abarca no solo quién o qué
es el usuario, sino también qué niveles de acceso se le otorgan dentro de los
sistemas y aplicaciones. Debido a que los roles de los usuarios generalmente
cambian a lo largo de su tiempo en una organización, las identidades digitales
no son estáticas. Deben ser monitoreados, mantenidos y asegurados mientras el
usuario tenga acceso a la red.
(adsbygoogle = window.adsbygoogle || []).push({});
Componentes de IAM
En su forma más simple, un sistema IAM debe incluir:
Gestión de contraseñas
Dado que más del 80% de las filtraciones de datos exitosas
se deben a contraseñas débiles o comprometidas, la administración de
contraseñas es el núcleo de cualquier sistema IAM. Al requerir el uso de un
administrador de contraseñas, las organizaciones pueden establecer y hacer
cumplir una sólida seguridad de contraseñas en toda la organización, como el
uso de contraseñas únicas y seguras para todas las cuentas, y garantizar que
las contraseñas se almacenen de forma segura.
Control de acceso basado en roles (RBAC)
La administración de contraseñas y RBAC pueden considerarse
como la cabeza y el cuello de un sistema IAM; sin uno, el otro no puede
funcionar. Mientras que la administración de contraseñas garantiza la seguridad
de las contraseñas de los usuarios, RBAC controla el acceso de los usuarios.
Con RBAC, los administradores de TI pueden restringir los privilegios de acceso
de los usuarios según la función del trabajo y hacer cumplir el acceso con
privilegios mínimos, lo que significa que los usuarios deben tener el nivel
mínimo de acceso que es absolutamente necesario para realizar sus funciones
laborales, y nada más.
Por ejemplo, no hay ninguna razón para que todos tengan
acceso a la plataforma de desarrollo de una organización; el acceso debe estar
restringido a desarrolladores y administradores de TI. En toda la organización,
a los usuarios se les puede otorgar acceso de solo lectura a algunos documentos
mientras se les permite editar y eliminar privilegios completos para otros.
Autenticación multifactor (MFA)
Cuando un sistema o aplicación está protegido a través de
MFA, el usuario necesita más de un factor de “autenticación” para
iniciar sesión. Por lo general, esto es algo que el usuario conoce, como una
contraseña o PIN, además de algo que tiene el usuario, como un llavero. O un
código enviado a su dispositivo móvil, o algo que sea parte del cuerpo del
usuario, como una huella digital. Esto proporciona un nivel adicional de
seguridad en caso de que la contraseña de un usuario se vea comprometida; los
ciberdelincuentes no podrán iniciar sesión sin el segundo factor de
autenticación.
Inicio de sesión único (SSO): opcional
Si bien el inicio de sesión único (SSO) no es una necesidad
para IAM, muchos sistemas de IAM lo incluyen. SSO permite a los usuarios
iniciar sesión en varios sitios web o aplicaciones en la nube utilizando un
conjunto de credenciales de inicio de sesión. SSO está basado en sesiones; una
vez que un usuario inicia sesión en el SSO, no es necesario que vuelva a
iniciar sesión durante esa sesión.
Sin embargo, no todas las aplicaciones admiten SSO, o al
menos no el protocolo SSO particular que utiliza una organización. Esto
significa que los empleados deben realizar un seguimiento de las contraseñas de
aquellos sitios y aplicaciones que no admiten SSO o su implementación de SSO en
particular. Por esta razón, SSO no es la mejor solución para todos
(adsbygoogle = window.adsbygoogle || []).push({});
Beneficios de IAM
El beneficio más obvio de una solución IAM robusta es la
seguridad mejorada, particularmente en un mundo posterior a una pandemia donde
el trabajo remoto es la norma, no la excepción. Los sistemas IAM permiten a los
administradores de TI controlar el acceso de los usuarios independientemente de
desde dónde trabajen los empleados o qué dispositivos estén usando.
De manera similar, IAM también permite a las organizaciones
otorgar acceso a los sistemas a usuarios fuera de la organización, como socios,
contratistas y proveedores, sin poner en peligro la seguridad. Un sistema IAM
robusto también:
- Mejora el cumplimiento al obligar a las organizaciones a
definir claramente sus políticas y procedimientos de acceso de usuarios, que
son requeridos por una serie de mandatos de cumplimiento, incluidas las pautas
de HIPAA, Sarbanes-Oxley y NIST. Muchas soluciones de IAM proporcionan
herramientas de auditoría y generación de informes diseñadas específicamente
para auditorías de cumplimiento. - Proporciona prueba de cumplimiento y diligencia debida si se
incumple una organización. - Reduce las cargas de trabajo de la mesa de ayuda al eliminar
las solicitudes de restablecimiento de contraseñas y permitir a los
administradores de TI automatizar muchas tareas rutinarias. - Impulsa la innovación al permitir que las organizaciones
extiendan de forma segura el acceso a la red a una variedad de aplicaciones
locales y SaaS. - Mejora la productividad al facilitar a los empleados el
acceso a los sistemas que necesitan para hacer su trabajo, además de eliminar
la necesidad de que mantengan un seguimiento manual de las contraseñas.
Si bien algunas pequeñas empresas pueden pensar que las
soluciones de IAM están fuera de su alcance debido a restricciones
presupuestarias, IAM no tiene por qué ser un esfuerzo costoso. Muchas
organizaciones pequeñas pueden lograr una protección integral utilizando un administrador
de contraseñas, RBAC, MFA y posiblemente una solución SSO.
