IAM - Identity and access management

El flujo de datos crece a diario y afecta a empresas, organismos gubernamentales y otras organizaciones. Hoy en día, hay que gestionar los datos de miles de usuarios con una amplia variedad de derechos de acceso en diversas plataformas y sistemas. Todo el mundo recurre a las redes: clientes, socios comerciales, empleados, proveedores de servicios en la nube, etc. La administración de identidades ha alcanzado un nivel que a menudo va mucho más allá de las propias infraestructuras.

Con todo, este no es el único motivo que obliga a las empresas y los organismos públicos a analizar minuciosamente cómo gestionan y almacenan los datos: por razones de compliance, están obligados a gestionar los derechos de acceso de forma permanente. La identity and access management, abreviada como IAM, es responsable tanto de la gestión de la identidad de los usuarios como de sus derechos de acceso.

La IAM se está consolidando como la solución de gestión de datos más destacada debido a la descentralización de los sistemas, el acceso mundial a las diferentes nubes y el mayor uso de los dispositivos móviles. Sin un sistema de identity and access management es difícil saber qué derechos necesita cada usuario, para qué los necesita y cómo los utiliza en cada dispositivo. La IAM es una guía segura a través de este laberinto de datos.

Cuanto mayor es una empresa, una organización o un organismo público, más identidades, accesos y autorizaciones deben tramitarse. Aquí es donde entra en juego la identity and access management. La IAM simplifica y automatiza la recopilación, el control y la gestión de los datos de identidad de los usuarios y sus correspondientes derechos de acceso. Este sistema de administración no solo es de gran ayuda por sí solo, sino que también garantiza que se cumplan las normas de compliance. Todas las personas y servicios están debidamente autenticados, autorizados y verificados. Asimismo, todos los derechos de acceso se ajustan a la normativa y a la función de los usuarios en la empresa.

La IAM permite al usuario un acceso rápido y seguro, o bien le otorga permisos para diferentes sistemas, aplicaciones, estructuras de la nube, etc. Esta característica se denomina provisión o aprovisionamiento (provisioning). Por otro lado, la IAM sirve para retirar el permiso al usuario, lo que se denomina desprovisión (de-provisioning). Esta es la idea que subyace a la identity and access management: un sistema basado en funciones y normas.

En muchas ocasiones, los propios usuarios pueden decidir sobre los accesos y las autorizaciones correspondientes a través de un portal de autoservicio o mediante procedimientos de solicitud y aprobación completamente automatizados. En todo caso, todas las partes responsables siguen participando en estos procesos, de modo que el control y la seguridad nunca se les escapan de las manos.

Estos son algunos términos básicos de la IAM:

• La gestión de accesos (access management) se utiliza para supervisar y controlar el acceso a la red.
• El context-aware network access control es un método basado en directrices para acceder a los recursos de la red, que tiene en cuenta el contexto del usuario.
• La administración del ciclo de vida de la identidad (identity lifecycle management) abarca todos los procesos y tecnologías utilizados para almacenar, eliminar y mantener los datos de identidad digitales.
• La sincronización de la identidad (identity synchronisation) garantiza que los diferentes sistemas reciban información coherente sobre una identidad digital determinada.
• La autenticación de múltiples factores (AMF) se produce cuando se requiere más de un factor (contraseña y nombre de usuario) para la identificación, como en el caso de la autenticación de dos factores.
• La autenticación basada en riesgos (RBA) es una variante flexible de la autenticación, que permite, por ejemplo, que un usuario se conecte a la red desde una nueva ubicación.
• El sistema de información de seguridad y gestión de eventos (SIEM) permite obtener una visión de conjunto de la seguridad informática, que incluye los incidentes sospechosos y los ataques más recientes.
• El análisis de comportamiento de usuario (UBA o user behavior analytics) sirve para analizar el comportamiento del usuario con el fin de detectar riesgos de seguridad.

La tarea principal de la IAM es asignar una identidad digital a un usuario. Una vez creada, esta se mantiene, actualiza y supervisa. La identity and access management ofrece a los administradores las herramientas necesarias para cambiar las funciones de los usuarios en la red, supervisar todas las actividades, elaborar informes o simplemente cumplir las políticas de seguridad.

Una identity and access mangement está estructurada de tal manera que puede representar las autorizaciones de acceso de toda una red, incluidas todas las normas de compliance internas y externas. Para asegurarlo, el sistema IAM incluye una amplia gama de tecnologías, herramientas, software y aplicaciones, como un gestor de contraseñas, un software de aprovisionamiento y aplicaciones para las políticas de seguridad, así como para la presentación de informes y la monitorización.

Estas características son necesarias para que los sistemas IAM sean lo suficientemente flexibles, potentes y seguros para cumplir con los requisitos actuales. Ya no basta con identificar o supervisar a los usuarios en un sistema.

Es por eso que la identity and access management ahora va mucho más allá: permite gestionar de manera sencilla los permisos de acceso de los usuarios, independientemente de su ubicación o red, a clientes de todo el mundo y hasta a los empleados que teletrabajan. El soporte también se aplica a los entornos informáticos híbridos con tecnología SaaS e, incluso, a la gestión moderna de BYOD. Las funciones de IAM hacen que el sistema sea lo suficientemente versátil como para operar en las principales arquitecturas informáticas, como Windows, Mac, Android, iOS, UNIX e incluso en dispositivos del Internet de las cosas.

Tantas opciones también aumentan el riesgo de seguridad. En un entorno informático cada vez más complejo, las amenazas se multiplican. En primer lugar, la IAM regula el acceso a través de métodos clásicos de identificación como contraseñas, tokens de hardware, certificados digitales o sistemas de tarjetas. En los sistemas modernos de identity and access management, a esto le sigue la autenticación biométrica, como las huellas dactilares o el reconocimiento facial en los smartphones.

Actualmente, incluso los conceptos de aprendizaje automático e inteligencia artificial se utilizan para optimizar la protección de los datos del usuario. Por ejemplo, las empresas ahora recurren a la IAM con autenticación multifactorial: los factores son la contraseña elegida por el usuario, su smartphone y la autenticación a través de las huellas dactilares y el escáner facial o de iris. Estos tres elementos aseguran que quien ha accedido al sistema es el usuario correcto.

Las funciones de la IAM no solo son seguras, sino también prácticas. La identity and access management ofrece un mecanismo para que los usuarios puedan utilizar los mismos datos de inicio de sesión en más de una red. Con el uso de los smartphones, esto es muy habitual hoy en día. Se puede acceder a aplicaciones que requieren registro a través de una sola cuenta (por ejemplo, a través de Google o Facebook). Los usuarios privados lo valoran mucho, ya que no tienen que crear un nuevo perfil de acceso cada vez.

Esto se denomina identity and access management federado, un modelo que se basa en la colaboración y la confianza de las partes. Proveedores como Google y Facebook responden por sus usuarios, permitiéndoles acceder a los socios con sus respectivas cuentas. La tecnología detrás de este modelo se denomina inicio de sesión único (SSO) y permite a los usuarios llevar su identidad ya verificada de una red a otra. La identificación entre los socios tiene lugar en segundo plano, sin que el usuario se dé cuenta, mediante un protocolo de identidad como el lenguaje de marcado para confirmaciones de seguridad.

Las ventajas que ofrece la IAM se explican mejor si aclaramos las desventajas de no utilizar la gestión de identidad o de usar solo una muy simple. Si una plataforma no puede identificar claramente a sus usuarios y asignarles sus respectivos derechos, los problemas surgen muy rápidamente: cuanto mayor sea la plataforma, más complicaciones habrá. La identity and access management inteligente simplifica y automatiza los procesos de recopilación y control de datos de los usuarios. Además, garantiza el cumplimiento de la normativa y supervisa el comportamiento de todos los usuarios y servicios de la plataforma.

El mayor beneficio que ofrece la IAM es su amplia gama de funciones, ya sea con un dispositivo móvil, descentralizada de un sistema informático o a nivel general a través de la nube: la identity and access management se emplea en todas partes.

El pequeño inconveniente es que primero hay que encontrar la IAM que se adapte a las necesidades de la organización. Los requisitos de la IAM son, en realidad, los mismos en todos los sistemas, por lo que también puede ofrecer una solución integral. Sin embargo, cada empresa tiene su propio enfoque, con diferentes sistemas, herramientas, prioridades e, incluso, filosofía interna. De hecho, la IAM implementada en algunas empresas y organismos públicos a menudo falla en este punto: todos los departamentos deben respaldar de manera uniforme la identity and access management, y no puede ser responsabilidad exclusiva del departamento de informática. Para ello, preguntas fundamentales como “¿quién tiene acceso a qué?” deben responderse y aclararse de antemano. A esta, le siguen cuestiones como “¿quién controla el acceso?” y “¿qué sucede si algo falla?”. Los conceptos de acceso y función solo pueden establecerse de manera consensuada.

El siguiente paso es crear un concepto de arquitectura, ya que, además de los usuarios, puede haber otros sistemas, socios, empresas afiliadas, proveedores, clientes, empleados, etc. En función de la rama, se deben definir los reguladores y los auditores, por ejemplo, para ampliar el número de usuarios.

Obviamente, un sistema tan centralizado es un objetivo atractivo para los piratas informáticos. Por el contrario, las IAM más recientes ya utilizan una cadena de bloques a prueba de falsificaciones que evita que los ciberdelincuentes rastreen o recopilen datos de acceso.

La IAM se utiliza sobre todo en aquellos sistemas donde los usuarios precisan de identificación y autorización. La gestión de la identidad de los usuarios y sus derechos de acceso a redes, aplicaciones y otros sistemas digitales tiene lugar hoy en día en casi cualquier sitio.

Cuando un usuario desea utilizar un sistema o una aplicación, normalmente debe demostrar que está autorizado para hacerlo. En la mayoría de los casos, para iniciar sesión se debe proporcionar un nombre de usuario, una dirección de correo electrónico y una contraseña. También existen opciones más modernas que combinan tarjeta de acceso, autenticación biométrica y smartphone.

Hoy en día y por razones prácticas, una empresa no puede permitirse el lujo de operar sin IAM. La gran cantidad de procesos que automatiza la gestión de la identidad reduce la carga que recae sobre los departamentos informáticos. Gracias a este sistema, el personal de asistencia técnica ya no tiene que ocuparse manualmente de procesos que llevan mucho tiempo, como el restablecimiento de las contraseñas de los usuarios.

Lo que es aún más básico es que la identity and access management obliga a las empresas, los organismos públicos y otras organizaciones a definir sus propias políticas de datos de manera integral. En última instancia, esto no solo beneficia cualquier red, sino que también contribuye a que todos y cada uno de los datos estén más protegidos.