IDM vs IAM
Introducción
Los sistemas de IDM e IAM suelen formar parte de la seguridad de TI y la administración de datos de TI dentro de la empresa. Hay herramientas de gestión de identidades y acceso disponibles para la amplia gama de dispositivos que los usuarios utilizan para ejecutar tareas empresariales, desde teléfonos y tabletas hasta ordenadores de sobremesa con Windows, Linux, iOS o Android.
IDM e IAM son términos que a menudo se usan indistintamente, sin embargo, la gestión de identidades se centra más en la identidad de un usuario (o nombre de usuario), sus roles y permisos, y los grupos a los que pertenece. IDM también se enfoca a proteger las identidades a través de varias tecnologías, como contraseñas, biometría, autenticación multifactor y otras identidades digitales. Esto suele lograrse mediante la adopción de aplicaciones y plataformas de software de gestión de identidades.
Funcionamiento de la gestión de identidades
Como parte del marco general de IAM que cubre la gestión del acceso y la de identidades, las empresas suelen utilizar componentes tanto de gestión de usuarios como de directorio central, como pueden ser o Apache Directory Studio, Open LDAP para sistemas Linux, o Active Directory para Windows.
El componente de gestión de usuarios se ocupa de delegar la autoridad administrativa, efectuar el seguimiento de roles y responsabilidades para cada usuario y grupo, aprovisionar y desaprovisionar cuentas de usuario y, gestionar las contraseñas. La totalidad o parte de estas funciones, como el restablecimiento de contraseñas, suelen ser de autoservicio para reducir la carga del personal de TI. El directorio central es un repositorio que contiene todos los datos sobre los usuarios y grupos de la empresa. Como tal, una función importante de este componente es sincronizar el directorio o repositorio en toda la empresa, lo que puede abarcar componentes locales y de nube privada o pública. Esto permite una vista única de los usuarios y sus permisos en cualquier momento y lugar de una infraestructura de nube híbrida o multinube. Un marco de IAM también incluye dos componentes de acceso. La autenticación se ocupa de asuntos como el inicio de sesión (y el inicio de sesión único), la gestión de sesiones activas y la implementación de una autenticación sólida mediante llaves o dispositivos biométricos. La autorización usa los roles, atributos y reglas del registro de usuario para determinar si un usuario, dispositivo o aplicación en particular debe tener acceso a un recurso.
¿Qué diferencia hay entre la gestión de identidades y la gestión del acceso?
Gestión de identidades
La identidad digital es la clave para el acceso. Las identidades contienen la información y los atributos que definen un rol. En concreto, permiten o impiden el acceso a un recurso específico, e informan a otros usuarios de la organización sobre el dueño de la identidad, cómo contactarle si es una persona y dónde encajan en la jerarquía general de la empresa. Crear una identidad puede repercutir en toda la organización, por ejemplo, al crear una cuenta de correo electrónico, configurar un registro del empleado o generar una entrada en un organigrama. Las identidades son como seres vivos que pueden cambiar con el tiempo, por ejemplo, si un empleado asume un nuevo rol o se traslada a un nuevo lugar de trabajo.
La gestión de identidades se ocupa del seguimiento y la gestión de los cambios en los atributos y las entradas que definen las identidades en el repositorio de la empresa. Por lo general, estos cambios solo pueden implementarlos unas pocas personas selectas en la organización, como un representante de recursos humanos que anote un cambio en el salario, o el propietario de una aplicación que otorgue a un grupo de empleados (por ejemplo, representantes del servicio al cliente) acceso a una nueva función del sistema de gestión de relaciones con el cliente (CRM).
Gestión del acceso
La gestión del acceso es la autenticación de una identidad que solicita acceso a un recurso en particular, y las decisiones de acceso son simplemente la respuesta afirmativa o negativa a permitirlo.
Este puede ser un proceso escalonado, con servicios de acceso que determinan si un usuario está autorizado para acceder a la red en general, y niveles inferiores de acceso que autentican las ubicaciones a las que la identidad puede acceder en servidores, unidades, carpetas, archivos y aplicaciones específicos.
Recuerde que la autenticación no es lo mismo que la autorización. Aunque una identidad (usuario) pueda estar autorizada para entrar en la red corporativa y tenga una cuenta en el directorio, esto no le otorga automáticamente la capacidad de acceder a todas las aplicaciones de toda la empresa. La autorización para cada aplicación o recurso la determinan los atributos de la identidad, como a qué grupos pertenece, su nivel en la organización o un rol específico que se le haya asignado previamente.
Al igual que ocurre con la autenticación, la autorización puede ocurrir a distintos niveles dentro de la organización, por ejemplo, como un servicio centralizado y nuevamente a nivel local para una aplicación o recurso específicos. No obstante, la autenticación a nivel de recurso o servicio no goza de buena fama, ya que la autenticación central proporciona un control más coherente.
La diferencia entre la gestión de identidades y la gestión del acceso
Se puede simplificar de la siguiente forma:
La gestión de identidades consiste en gestionar los atributos relacionados con el usuario, el grupo de usuarios u otra identidad que pueda requerir acceso de vez en cuando.
La gestión del acceso consiste en evaluar estos atributos en función de las políticas existentes y tomar una decisión de acceso (afirmativa o negativa) según los atributos.
¿Para qué necesitamos la gestión de identidades?
Un estudio reciente (ISC)² reveló que el 80 % de vulneraciones se debieron a problemas en la identidad de acceso, es decir, credenciales débiles o mal gestionadas. Si no se implementan los controles adecuados, o no se siguen correctamente los procedimientos y procesos de IAM, es posible que las contraseñas se vean comprometidas, que se pongan en marcha ataques de suplantación de identidad o que tengan lugar vulneraciones y ataques de programas de secuestro. Afortunadamente, las plataformas IAM modernas permiten automatizar muchas de las funciones que ayudan a garantizar que se apliquen los controles, como, por ejemplo, eliminar a un usuario del directorio cuando el sistema de recursos humanos indique que el empleado ha dejado la organización.
Dada la frecuente aparición de legislación nueva sobre la privacidad y la información confidencial, IAM puede desempeñar otro papel importante: el de ayudar a la organización a cumplir con la gran cantidad de exigencias normativas y de control, garantizando que los datos se encuentren en la ubicación adecuada y que solo los usuarios autorizados tengan acceso a ellos. Al final, la seguridad de TI concierne principalmente al acceso, por lo que una estrategia de IAM sólida es un elemento fundamental de la seguridad de TI general y ofrece una primera línea de protección ante cualquier amenaza, ya provenga de fuera o de dentro del cortafuegos.
Ventajas empresariales de la gestión de identidades
La capacidad para proteger con éxito los activos, incluidos los digitales, puede repercutir directamente en los beneficios de la organización y en su valor total. IAM acelera la rentabilidad para cualquier persona que necesite acceder a los recursos empresariales para realizar su trabajo, a menudo acortando de días a minutos el tiempo transcurrido entre la incorporación de un nuevo empleado y el momento en el que obtiene acceso a los recursos del sistema.
Además del aumento en el valor comercial como resultado de la seguridad mejorada, existen otras ventajas empresariales tangibles. Automatizar las tareas de IAM libera al departamento de TI y le permite centrarse en proyectos enfocados a los beneficios. Las herramientas de gestión de identidades de autoservicio mejoran la productividad general de los empleados, los trabajadores externos y otros usuarios que deban acceder a los recursos corporativos.
Implementar un marco general de IAM puede brindar oportunidades de crecimiento, ya que mejora la escalabilidad de los servicios que son esenciales para la incorporación de nuevos usuarios. Al requerir menos personal de TI, se mejora el ROI de la organización de TI en general.
La gestión de identidades y del acceso se ha convertido en la base de todas estas ventajas empresariales, y continúa protegiendo a la empresa de amenazas que podrían conducir al robo de datos, a ataques maliciosos o a la vulneración de información confidencial legal, de clientes o de pacientes.
Desafíos de implementar la gestión de identidades
Para implementar la gestión de identidades, una empresa debe poder planificar y colaborar en todas las unidades de negocio. Es más probable que las organizaciones exitosas sean aquellas que establezcan estrategias de gestión de identidad con objetivos claros, procesos comerciales definidos y la aceptación de las partes interesadas desde el principio. La gestión de identidades funciona mejor cuando están involucrados los departamentos de TI, seguridad, recursos humanos y otros.
Los sistemas de gestión de identidades deben permitir a las empresas gestionar automáticamente múltiples usuarios en diferentes situaciones y entornos informáticos en tiempo real. Es mucho más lento ajustar manualmente los privilegios de acceso y los controles de acceso para cientos o miles de usuarios. Además, la autenticación debe ser simple de realizar para los usuarios y fácil de implementar y proteger para TI.
Uno de los principales desafíos en la implementación de la gestión de identidades es la gestión de contraseñas. Los profesionales de TI deben investigar técnicas que puedan reducir el impacto de estos problemas con las contraseñas en sus empresas.
Por motivos de seguridad, las herramientas para manejar la gestión de identidades deben ejecutarse como una aplicación en un servidor o dispositivo de red dedicado. En el núcleo de un sistema de gestión de identidad se encuentran las políticas que definen qué dispositivos y usuarios pueden acceder a la red y qué puede lograr un usuario, según el tipo de dispositivo, la ubicación y otros factores. Todo esto también depende de la funcionalidad adecuada de la consola de administración. Esto incluye la definición de políticas, informes, alertas, alarmas y otros requisitos comunes de gestión y operaciones. Se puede activar una alarma, por ejemplo, cuando un usuario específico intenta acceder a un recurso para el que no tiene permiso. La presentación de informes produce un registro de auditoría que documenta qué actividades específicas se iniciaron.
Muchos sistemas de administración de identidades ofrecen integración de directorios, soporte para usuarios con cable e inalámbricos y la flexibilidad para cumplir con casi cualquier requisito de política operativa y de seguridad. Debido a que traer su propio dispositivo (BYOD) es tan estratégico hoy en día, las funciones que ahorran tiempo son compatibles con una variedad de sistemas operativos móviles y la verificación automatizada del estado del dispositivo se está volviendo común. Las funciones para ahorrar tiempo pueden incluir la incorporación y el aprovisionamiento automatizados de dispositivos.
Beneficios comerciales de la gestión de identidades
Además de administrar a los empleados, el uso de la administración de identidades junto con la administración de acceso permite a una empresa administrar el acceso de clientes, socios, proveedores y dispositivos a sus sistemas, mientras que la seguridad es la máxima prioridad.
Este objetivo se puede lograr en varios frentes, comenzando por permitir el acceso autorizado desde cualquier lugar. A medida que las personas utilizan cada vez más sus identidades en las redes sociales para acceder a servicios y recursos, las organizaciones deben poder llegar a sus usuarios a través de cualquier plataforma. Además, pueden permitir que sus usuarios accedan a los sistemas corporativos a través de sus identidades digitales existentes.
La gestión de identidades también se puede utilizar para mejorar la productividad de los empleados. Esto es especialmente importante cuando se incorporan nuevos empleados o se cambian las autorizaciones para acceder a diferentes sistemas cuando cambia la función de un empleado. Cuando las empresas contratan nuevos empleados, deben tener acceso a partes específicas de sus sistemas, proporcionarles nuevos dispositivos y aprovisionarlos en el negocio. Realizado manualmente, este proceso puede llevar mucho tiempo y reduce la capacidad de los empleados para ponerse a trabajar de inmediato. Sin embargo, el aprovisionamiento automatizado puede permitir a las empresas acelerar el proceso de permitir que los nuevos empleados accedan a las partes requeridas de sus sistemas.
Por último, la gestión de identidades puede ser una herramienta importante para mejorar la experiencia del usuario de los empleados, especialmente para reducir el impacto del caos de identidades —el estado de tener varios conjuntos de ID de usuario y contraseñas para sistemas dispares. Por lo general, las personas no pueden recordar numerosos nombres de usuario y contraseñas y preferirían usar una sola identidad para iniciar sesión en diferentes sistemas en el trabajo. El SSO y las identidades unificadas permiten a los clientes y otras partes interesadas acceder a diferentes áreas del sistema empresarial con una cuenta, lo que garantiza una experiencia de usuario perfecta.
Funciones de la administración de identidades
La gestión de identificaciones está diseñada para trabajar de la mano con los sistemas de gestión de acceso a identidades. Se centra principalmente en la autenticación, mientras que la gestión del acceso tiene como objetivo la autorización.
La gestión de ID determinará si un usuario tiene acceso a los sistemas, pero también establece el nivel de acceso y los permisos que tiene un usuario en un sistema en particular. Por ejemplo, un usuario puede tener autorización para acceder a un sistema pero estar restringido en algunos de sus componentes.
El objetivo de la gestión de identidades es garantizar que solo los usuarios autenticados tengan acceso a las aplicaciones, sistemas o entornos de TI específicos para los que están autorizados.
Ciclo de vida de la gestión de identidades
El ciclo de vida de la identidad tiene cuatro pasos principales:
- Incorporación
Este primer paso es la creación de la propia identidad. Además de crear la cuenta de los usuarios, el usuario debe estar conectado a los recursos de TI a los que necesitará acceder. Estos sistemas de TI también pueden incluir su computadora de escritorio o computadora portátil, su cuenta de correo electrónico y cualquier otra aplicación que necesiten utilizar.
El acceso a la cuenta también puede extenderse a servidores u otras aplicaciones en la nube. El paso de incorporación asocia al nuevo usuario con diferentes grupos o departamentos de los que el usuario forma parte. Estas diversas designaciones pueden ayudar a garantizar los niveles adecuados de acceso.
- Modificación del usuario
Con los años, los atributos de los usuarios dentro de una organización pueden cambiar. Los roles de las personas pueden cambiar, lo que requiere un aumento o una disminución en sus niveles de acceso. La información de los usuarios o su dirección y ubicación dentro de la organización también pueden cambiar con el tiempo.
Hay más actualizaciones de rutina, como el restablecimiento de contraseñas, que acaban agotando un tiempo valioso de los administradores de TI. Cada una de estas modificaciones del usuario es una parte fundamental del ciclo de vida de la identidad.
- Modificaciones de los sistemas de TI
Además de las modificaciones de los usuarios de TI, ocurren cambios en los sistemas y recursos de TI de forma rutinaria. Los servidores están incluidos, las computadoras portátiles se rompen, se agregan nuevas aplicaciones a la red y los recursos cambian. Todos sus usuarios pueden necesitar acceso a esos recursos, por lo que la forma en que tu estrategia de administración de identidad se ocupa de esos cambios es fundamental. Tendrás más cambios con los recursos de TI que con los usuarios.
Cuando se combinan estas cosas, las dos pueden afectar significativamente los recursos que necesitas administrar y cómo tus usuarios se conectan a esos recursos.
- Terminación de la cuenta
El último paso en el ciclo de vida de la identidad es cuando eliminas a un usuario. Es un escenario muy común porque cuando alguien abandona la organización, es necesario interrumpir todo su acceso. Varios requisitos de cumplimiento se centran en este paso fundamental, ya que las cuentas inactivas pueden representar un riesgo para la seguridad.
Desde la perspectiva de TI, eliminar el acceso a varios recursos puede ser más difícil que simplemente eliminar al usuario del directorio corporativo. Se necesita un catálogo de acceso para garantizar que el acceso a todos los recursos se haya cancelado por completo.
Pensar en identidades en el contexto de un ciclo de vida puede resultar útil. Los administradores de TI pueden dividir mejor el proceso general en áreas discretas y descubrir cómo automatizarlas. En medio de cualquier ciclo de vida de la gestión de identidades hay un sistema de directorio. La plataforma DAAS es la tienda de usuario principal que alberga sus identidades digitales y es el corazón de su ciclo de vida.
- Capacidades
Las capacidades de la gestión de identidades son las siguientes:
- Autenticación multifactor
Las contraseñas conllevan varias debilidades. Es importante destacar que estas incluyen ser fáciles de adivinar, ser fáciles de descifrar, ser fáciles de phishing y repetirse constantemente. Las contraseñas repetidas permiten a los piratas informáticos ingresar a múltiples servidores, bases de datos y redes. Por lo tanto, la construcción de una mayor autenticación en torno a las contraseñas debe convertirse en una consideración clave.
Si bien las empresas nunca se librarán realmente de las contraseñas, pueden complementarlas y fortalecerlas. Todos y cada uno de los factores de autenticación entre el usuario y la base de datos representan otro obstáculo para que los piratas informáticos aprovechen el poder de la autenticación multifactor (MFA). Por supuesto, con tiempo y recursos, los piratas informáticos pueden subvertir u omitir cualquier número de factores de autenticación.
Ten en cuenta que la mayoría de los piratas informáticos preferirían apuntar a empresas más débiles para obtener ganancias más rápidas. La autenticación multifactor incluirá contraseñas, tokens duros, geofencing, monitoreo del tiempo de acceso y análisis de comportamiento.
- Gestión de sesiones privilegiadas
Esta administración de sesiones ofrece a tu equipo de seguridad de la información la capacidad de monitorizar y grabar sesiones privilegiadas. Por lo tanto, les brinda una mejor ventana para auditar e investigar incidentes de ciberseguridad. Te ayuda a exhibir control sobre sus identidades privilegiadas.
La sofisticada administración de sesiones privilegiadas de próxima generación debería permitirte observar la fecha, la hora y la ubicación de cada sesión y hacer que tengas visibilidad sobre tus propias pulsaciones de teclas para garantizar la autenticidad de cada usuario privilegiado.
Esto evitará las amenazas internas y los piratas informáticos al asegurarse de que los usuarios usen sus permisos de acuerdo con los procesos comerciales.
● Descubrimiento de la identidad privilegiada
Muchas identidades privilegiadas pueden desaparecer de su supervisión. Esto ocurre debido al escalado de las redes o una mala salida. Una vez más, el permiso temporal no puede revocarse después de una línea de tiempo puntual, lo que deja a los usuarios con identidades privilegiadas pero sin supervisión.
Todas las identidades privilegiadas no supervisadas se convierten en cuentas huérfanas y, por lo tanto, en vulnerabilidades de seguridad. Este es otro efecto secundario de administrar manualmente las identidades con privilegios; tratar de realizar un seguimiento de todo en una hoja de cálculo está condenado al fracaso.
Beneficios del ID Management
Las tecnologías de ID Management se pueden utilizar para iniciar, capturar, registrar y administrar las identidades de los usuarios y sus permisos de acceso relacionados de manera automatizada. Esto brinda a una organización los siguientes beneficios:
Los privilegios de acceso se otorgan de acuerdo con la política, y todas las personas y servicios están debidamente autenticados, autorizados y auditados. Las empresas que gestionan adecuadamente las identidades tienen un mayor control del acceso de los usuarios, lo que reduce el riesgo de filtraciones de datos internos y externos. La automatización de los sistemas IAM permite a las empresas operar de manera más eficiente al disminuir el esfuerzo, el tiempo y el dinero que se requerirían para administrar manualmente el acceso a sus redes. En términos de seguridad, el uso de un marco de IAM puede facilitar la aplicación de políticas en torno a la autenticación, la validación y los privilegios de los usuarios, y abordar los problemas relacionados con la filtración de privilegios. Los sistemas IAM ayudan a las empresas a cumplir mejor con las regulaciones gubernamentales permitiéndoles mostrar que la información corporativa no se está utilizando indebidamente. Las empresas también pueden demostrar que los datos necesarios para la auditoría pueden estar disponibles bajo demanda. Las empresas pueden obtener ventajas competitivas implementando herramientas IAM y siguiendo las mejores prácticas relacionadas. Por ejemplo, las tecnologías IAM permiten a la empresa brindar a los usuarios externos a la organización, como clientes, socios, contratistas y proveedores, acceso a su red a través de aplicaciones móviles, aplicaciones locales y SaaS sin comprometer la seguridad. Esto permite una mejor colaboración, mayor productividad, mayor eficiencia y menores costes operativos.
Diferencias entre gestión de identidad y gestión de acceso
En pocas palabras, la gestión de identidades gestiona las identidades digitales. Las identidades combinan atributos digitales y entradas en la base de datos para crear una designación única para un usuario. Su gestión consiste en crear, mantener, monitorizar y eliminar esas identidades mientras operan en la red empresarial. Las empresas deben asegurarse de que los usuarios tengan los permisos que necesitan para realizar su trabajo y limitar otros permisos. Además, maneja la autenticación.
Mientras tanto, la gestión de acceso controla la decisión de permitir o bloquear a los usuarios el acceso a un recurso, base de datos, etc. Además, gestiona los portales de acceso a través de páginas y protocolos de inicio de sesión, al tiempo que garantiza que el usuario que solicita el acceso realmente pertenece. En realidad, esto difiere de la autenticación, ya que la autenticación puede determinar al usuario, pero no si merece acceso. En cambio, gestiona la autorización.
La autenticación no es igual a la autorización y viceversa. El primero, una provincia de la gestión de identidades, determina quién es el usuario, ya sea en función de grupos, roles u otras cualidades. La autorización evalúa al usuario para determinar lo que el usuario realmente puede ver y acceder después de la autenticación.
La razón por la que estos dos conceptos se confunden es que son dos pasos críticos para un usuario que accede a la información. La información proporcionada por la gestión de identidad determina cómo funcionará la gestión de acceso. Dado que los usuarios solo ingresan información de identidad, no se dan cuenta de que existe un sistema de gestión completamente diferente para establecer su acceso. La identidad y el acceso están tan estrechamente vinculados que puede resultar difícil recordar que no son lo mismo.
Implantando identidades
Nuestro ayuntamiento quiere organizar la gestión de identidades del personal, por lo que vamos a explorar bajo este supuesto cómo podríamos hacerlo.
Para hacerlo lo haremos en 4 sencillos pasos:
1) Evaluación:
Recopilación del estado de madurez que posee el ayuntamiento en torno a la gestión de identidades, con uso o no de tecnología.
Definición del modelo actual y futuro para una próxima fase de Gestión de Identidades.
Creación del modelo personalizado que la empresa necesita para adoptar el manejo de identidades.
2) Despligue:
Análisis y diseño del proyecto de administración de identidades.
Desarrollo del proceso basado en el nuevo modelo.
Implementación de la solución.
3) Monitorización:
Crear un proceso de transferencia de conocimiento al cliente, para operar y mejorar su solución.
Monitorización de la solución durante el proceso de transferencia.
Solución de soporte a 3 niveles.
Proporcionar servicios gestionados si es necesario.
4) Proceso de madurez:
- Reevaluación para dirigir los pasos a seguir.
- Proporcionar mejora continua.
- Proporcionar un modelo flexible para mantener la solución útil.
Con estos pasos podríamos plantear la administración y gestión de identidades, si bien parece sencillo, en la realidad no lo es.
Lo que tenemos que tener siempre bien claro es que “Una brecha de seguridad empieza con una identidad comprometida, sin control y sin mecanismos de regulación”
Dentro de la evolución del IAM podemos encontrar 3 niveles de madurez. En el siguiente gráfico se ve claramente sus diferencias.
Conclusión:
Recuerda los 4 puntos para la gestión de identidades dentro de tu organización. La fase fundamental es la de evaluación, ya que deberás de enumerar todos los sistemas de gestión de identidad que tiene la organización. Desde el acceso presencial, registro horario, autenticación contra un sistema de LDAP, claves de alarma, etc. Deberás de realizar un inventario completo. Como observarás muchos de estos sistemas, son sistemas aislados, es decir no están integrados entre sí. Por lo que deberás de crear rutinas para controlarlos y verificar que en todo momento cumplen todos los requisitos de seguridad fijados por la organización.
Conclusión
Como hemos podido ver, la gestión de identidad es clave para una organización y es quizás uno de los principales puntos que debe abordar cualquier política de gobierno IT. Estableciendo la forma en cómo se autentican los usuarios de una organización y controlando el ciclo de vida de cada una de las identidades.
