IAM - Identity and access ma­na­ge­me­nt

El flujo de datos crece a diario y afecta a empresas, or­ga­ni­s­mos gu­be­r­na­me­n­ta­les y otras or­ga­ni­za­cio­nes. Hoy en día, hay que gestionar los datos de miles de usuarios con una amplia variedad de derechos de acceso en diversas pla­ta­fo­r­mas y sistemas. Todo el mundo recurre a las redes: clientes, socios co­me­r­cia­les, empleados, pro­vee­do­res de servicios en la nube, etc. La ad­mi­ni­s­tra­ción de ide­n­ti­da­des ha alcanzado un nivel que a menudo va mucho más allá de las propias in­frae­s­tru­c­tu­ras.

Con todo, este no es el único motivo que obliga a las empresas y los or­ga­ni­s­mos públicos a analizar mi­nu­cio­sa­me­n­te cómo gestionan y almacenan los datos: por razones de co­m­plia­n­ce, están obligados a gestionar los derechos de acceso de forma pe­r­ma­ne­n­te. La identity and access ma­na­ge­me­nt, abreviada como IAM, es re­s­po­n­sa­ble tanto de la gestión de la identidad de los usuarios como de sus derechos de acceso.

La IAM se está co­n­so­li­da­n­do como la solución de gestión de datos más destacada debido a la de­s­ce­n­tra­li­za­ción de los sistemas, el acceso mundial a las di­fe­re­n­tes nubes y el mayor uso de los di­s­po­si­ti­vos móviles. Sin un sistema de identity and access ma­na­ge­me­nt es difícil saber qué derechos necesita cada usuario, para qué los necesita y cómo los utiliza en cada di­s­po­si­ti­vo. La IAM es una guía segura a través de este laberinto de datos.

Cuanto mayor es una empresa, una or­ga­ni­za­ción o un organismo público, más ide­n­ti­da­des, accesos y au­to­ri­za­cio­nes deben tra­mi­tar­se. Aquí es donde entra en juego la identity and access ma­na­ge­me­nt. La IAM si­m­pli­fi­ca y au­to­ma­ti­za la re­co­pi­la­ción, el control y la gestión de los datos de identidad de los usuarios y sus co­rre­s­po­n­die­n­tes derechos de acceso. Este sistema de ad­mi­ni­s­tra­ción no solo es de gran ayuda por sí solo, sino que también garantiza que se cumplan las normas de co­m­plia­n­ce. Todas las personas y servicios están de­bi­da­me­n­te au­te­n­ti­ca­dos, au­to­ri­za­dos y ve­ri­fi­ca­dos. Asimismo, todos los derechos de acceso se ajustan a la normativa y a la función de los usuarios en la empresa.

La IAM permite al usuario un acceso rápido y seguro, o bien le otorga permisos para di­fe­re­n­tes sistemas, apli­ca­cio­nes, es­tru­c­tu­ras de la nube, etc. Esta ca­ra­c­te­rí­s­ti­ca se denomina provisión o apro­vi­sio­na­mie­n­to (pro­vi­sio­ni­ng). Por otro lado, la IAM sirve para retirar el permiso al usuario, lo que se denomina de­s­pro­vi­sión (de-pro­vi­sio­ni­ng). Esta es la idea que subyace a la identity and access ma­na­ge­me­nt: un sistema basado en funciones y normas.

En muchas ocasiones, los propios usuarios pueden decidir sobre los accesos y las au­to­ri­za­cio­nes co­rre­s­po­n­die­n­tes a través de un portal de au­to­se­r­vi­cio o mediante pro­ce­di­mie­n­tos de solicitud y apro­ba­ción co­m­ple­ta­me­n­te au­to­ma­ti­za­dos. En todo caso, todas las partes re­s­po­n­sa­bles siguen pa­r­ti­ci­pa­n­do en estos procesos, de modo que el control y la seguridad nunca se les escapan de las manos.

Estos son algunos términos básicos de la IAM:

• La gestión de accesos (access ma­na­ge­me­nt) se utiliza para su­pe­r­vi­sar y controlar el acceso a la red.
• El context-aware network access control es un método basado en di­re­c­tri­ces para acceder a los recursos de la red, que tiene en cuenta el contexto del usuario.
• La ad­mi­ni­s­tra­ción del ciclo de vida de la identidad (identity lifecycle ma­na­ge­me­nt) abarca todos los procesos y te­c­no­lo­gías uti­li­za­dos para almacenar, eliminar y mantener los datos de identidad digitales.
• La si­n­cro­ni­za­ción de la identidad (identity sy­n­ch­ro­ni­sa­tion) garantiza que los di­fe­re­n­tes sistemas reciban in­fo­r­ma­ción coherente sobre una identidad digital de­te­r­mi­na­da.
• La au­te­n­ti­ca­ción de múltiples factores (AMF) se produce cuando se requiere más de un factor (co­n­tra­se­ña y nombre de usuario) para la ide­n­ti­fi­ca­ción, como en el caso de la au­te­n­ti­ca­ción de dos factores.
• La au­te­n­ti­ca­ción basada en riesgos (RBA) es una variante flexible de la au­te­n­ti­ca­ción, que permite, por ejemplo, que un usuario se conecte a la red desde una nueva ubicación.
• El sistema de in­fo­r­ma­ción de seguridad y gestión de eventos (SIEM) permite obtener una visión de conjunto de la seguridad in­fo­r­má­ti­ca, que incluye los in­ci­de­n­tes so­s­pe­cho­sos y los ataques más recientes.
• El análisis de co­m­po­r­ta­mie­n­to de usuario (UBA o user behavior analytics) sirve para analizar el co­m­po­r­ta­mie­n­to del usuario con el fin de detectar riesgos de seguridad.

La tarea principal de la IAM es asignar una identidad digital a un usuario. Una vez creada, esta se mantiene, actualiza y supervisa. La identity and access ma­na­ge­me­nt ofrece a los ad­mi­ni­s­tra­do­res las he­rra­mie­n­tas ne­ce­sa­rias para cambiar las funciones de los usuarios en la red, su­pe­r­vi­sar todas las ac­ti­vi­da­des, elaborar informes o si­m­ple­me­n­te cumplir las políticas de seguridad.

Una identity and access mangement está es­tru­c­tu­ra­da de tal manera que puede re­pre­se­n­tar las au­to­ri­za­cio­nes de acceso de toda una red, incluidas todas las normas de co­m­plia­n­ce internas y externas. Para ase­gu­rar­lo, el sistema IAM incluye una amplia gama de te­c­no­lo­gías, he­rra­mie­n­tas, software y apli­ca­cio­nes, como un gestor de co­n­tra­se­ñas, un software de apro­vi­sio­na­mie­n­to y apli­ca­cio­nes para las políticas de seguridad, así como para la pre­se­n­ta­ción de informes y la mo­ni­to­ri­za­ción.

Estas ca­ra­c­te­rí­s­ti­cas son ne­ce­sa­rias para que los sistemas IAM sean lo su­fi­cie­n­te­me­n­te flexibles, potentes y seguros para cumplir con los re­qui­si­tos actuales. Ya no basta con ide­n­ti­fi­car o su­pe­r­vi­sar a los usuarios en un sistema.

Es por eso que la identity and access ma­na­ge­me­nt ahora va mucho más allá: permite gestionar de manera sencilla los permisos de acceso de los usuarios, in­de­pe­n­die­n­te­me­n­te de su ubicación o red, a clientes de todo el mundo y hasta a los empleados que te­le­tra­ba­jan. El soporte también se aplica a los entornos in­fo­r­má­ti­cos híbridos con te­c­no­lo­gía SaaS e, incluso, a la gestión moderna de BYOD. Las funciones de IAM hacen que el sistema sea lo su­fi­cie­n­te­me­n­te versátil como para operar en las pri­n­ci­pa­les ar­qui­te­c­tu­ras in­fo­r­má­ti­cas, como Windows, Mac, Android, iOS, UNIX e incluso en di­s­po­si­ti­vos del Internet de las cosas.

Tantas opciones también aumentan el riesgo de seguridad. En un entorno in­fo­r­má­ti­co cada vez más complejo, las amenazas se mu­l­ti­pli­can. En primer lugar, la IAM regula el acceso a través de métodos clásicos de ide­n­ti­fi­ca­ción como co­n­tra­se­ñas, tokens de hardware, ce­r­ti­fi­ca­dos digitales o sistemas de tarjetas. En los sistemas modernos de identity and access ma­na­ge­me­nt, a esto le sigue la au­te­n­ti­ca­ción bio­mé­tri­ca, como las huellas da­c­ti­la­res o el re­co­no­ci­mie­n­to facial en los sma­r­t­pho­nes.

Ac­tua­l­me­n­te, incluso los conceptos de apre­n­di­za­je au­to­má­ti­co e in­te­li­ge­n­cia ar­ti­fi­cial se utilizan para optimizar la pro­te­c­ción de los datos del usuario. Por ejemplo, las empresas ahora recurren a la IAM con au­te­n­ti­ca­ción mu­l­ti­fa­c­to­rial: los factores son la co­n­tra­se­ña elegida por el usuario, su sma­r­t­pho­ne y la au­te­n­ti­ca­ción a través de las huellas da­c­ti­la­res y el escáner facial o de iris. Estos tres elementos aseguran que quien ha accedido al sistema es el usuario correcto.

Las funciones de la IAM no solo son seguras, sino también prácticas. La identity and access ma­na­ge­me­nt ofrece un mecanismo para que los usuarios puedan utilizar los mismos datos de inicio de sesión en más de una red. Con el uso de los sma­r­t­pho­nes, esto es muy habitual hoy en día. Se puede acceder a apli­ca­cio­nes que requieren registro a través de una sola cuenta (por ejemplo, a través de Google o Facebook). Los usuarios privados lo valoran mucho, ya que no tienen que crear un nuevo perfil de acceso cada vez.

Esto se denomina identity and access ma­na­ge­me­nt federado, un modelo que se basa en la co­la­bo­ra­ción y la confianza de las partes. Pro­vee­do­res como Google y Facebook responden por sus usuarios, pe­r­mi­tié­n­do­les acceder a los socios con sus re­s­pe­c­ti­vas cuentas. La te­c­no­lo­gía detrás de este modelo se denomina inicio de sesión único (SSO) y permite a los usuarios llevar su identidad ya ve­ri­fi­ca­da de una red a otra. La ide­n­ti­fi­ca­ción entre los socios tiene lugar en segundo plano, sin que el usuario se dé cuenta, mediante un protocolo de identidad como el lenguaje de marcado para co­n­fi­r­ma­cio­nes de seguridad.

Las ventajas que ofrece la IAM se explican mejor si aclaramos las de­s­ve­n­ta­jas de no utilizar la gestión de identidad o de usar solo una muy simple. Si una pla­ta­fo­r­ma no puede ide­n­ti­fi­car cla­ra­me­n­te a sus usuarios y asi­g­nar­les sus re­s­pe­c­ti­vos derechos, los problemas surgen muy rá­pi­da­me­n­te: cuanto mayor sea la pla­ta­fo­r­ma, más co­m­pli­ca­cio­nes habrá. La identity and access ma­na­ge­me­nt in­te­li­ge­n­te si­m­pli­fi­ca y au­to­ma­ti­za los procesos de re­co­pi­la­ción y control de datos de los usuarios. Además, garantiza el cu­m­pli­mie­n­to de la normativa y supervisa el co­m­po­r­ta­mie­n­to de todos los usuarios y servicios de la pla­ta­fo­r­ma.

El mayor beneficio que ofrece la IAM es su amplia gama de funciones, ya sea con un di­s­po­si­ti­vo móvil, de­s­ce­n­tra­li­za­da de un sistema in­fo­r­má­ti­co o a nivel general a través de la nube: la identity and access ma­na­ge­me­nt se emplea en todas partes.

El pequeño in­co­n­ve­nie­n­te es que primero hay que encontrar la IAM que se adapte a las ne­ce­si­da­des de la or­ga­ni­za­ción. Los re­qui­si­tos de la IAM son, en realidad, los mismos en todos los sistemas, por lo que también puede ofrecer una solución integral. Sin embargo, cada empresa tiene su propio enfoque, con di­fe­re­n­tes sistemas, he­rra­mie­n­tas, prio­ri­da­des e, incluso, filosofía interna. De hecho, la IAM im­ple­me­n­ta­da en algunas empresas y or­ga­ni­s­mos públicos a menudo falla en este punto: todos los de­pa­r­ta­me­n­tos deben respaldar de manera uniforme la identity and access ma­na­ge­me­nt, y no puede ser re­s­po­n­sa­bi­li­dad exclusiva del de­pa­r­ta­me­n­to de in­fo­r­má­ti­ca. Para ello, preguntas fu­n­da­me­n­ta­les como “¿quién tiene acceso a qué?” deben re­s­po­n­de­r­se y aclararse de antemano. A esta, le siguen cue­s­tio­nes como “¿quién controla el acceso?” y “¿qué sucede si algo falla?”. Los conceptos de acceso y función solo pueden es­ta­ble­ce­r­se de manera co­n­se­n­sua­da.

El siguiente paso es crear un concepto de ar­qui­te­c­tu­ra, ya que, además de los usuarios, puede haber otros sistemas, socios, empresas afiliadas, pro­vee­do­res, clientes, empleados, etc. En función de la rama, se deben definir los re­gu­la­do­res y los auditores, por ejemplo, para ampliar el número de usuarios.

Ob­via­me­n­te, un sistema tan ce­n­tra­li­za­do es un objetivo atractivo para los piratas in­fo­r­má­ti­cos. Por el contrario, las IAM más recientes ya utilizan una cadena de bloques a prueba de fa­l­si­fi­ca­cio­nes que evita que los ci­be­r­de­li­n­cue­n­tes rastreen o recopilen datos de acceso.

La IAM se utiliza sobre todo en aquellos sistemas donde los usuarios precisan de ide­n­ti­fi­ca­ción y au­to­ri­za­ción. La gestión de la identidad de los usuarios y sus derechos de acceso a redes, apli­ca­cio­nes y otros sistemas digitales tiene lugar hoy en día en casi cualquier sitio.

Cuando un usuario desea utilizar un sistema o una apli­ca­ción, no­r­ma­l­me­n­te debe demostrar que está au­to­ri­za­do para hacerlo. En la mayoría de los casos, para iniciar sesión se debe pro­po­r­cio­nar un nombre de usuario, una dirección de correo ele­c­tró­ni­co y una co­n­tra­se­ña. También existen opciones más modernas que combinan tarjeta de acceso, au­te­n­ti­ca­ción bio­mé­tri­ca y sma­r­t­pho­ne.

Hoy en día y por razones prácticas, una empresa no puede pe­r­mi­ti­r­se el lujo de operar sin IAM. La gran cantidad de procesos que au­to­ma­ti­za la gestión de la identidad reduce la carga que recae sobre los de­pa­r­ta­me­n­tos in­fo­r­má­ti­cos. Gracias a este sistema, el personal de asi­s­te­n­cia técnica ya no tiene que ocuparse ma­nua­l­me­n­te de procesos que llevan mucho tiempo, como el re­s­ta­ble­ci­mie­n­to de las co­n­tra­se­ñas de los usuarios.

Lo que es aún más básico es que la identity and access ma­na­ge­me­nt obliga a las empresas, los or­ga­ni­s­mos públicos y otras or­ga­ni­za­cio­nes a definir sus propias políticas de datos de manera integral. En última instancia, esto no solo beneficia cualquier red, sino que también co­n­tri­bu­ye a que todos y cada uno de los datos estén más pro­te­gi­dos.