¿Qué es IAM? Definiciones, funciones y herramientas explicadas
Publicado: 2019-11-23Contribución invitada de John Wilkinson
Identity and Access Management (IAM) es el término general para las estructuras y procesos dentro de cualquier organización que administran y gestionan el acceso de sus empleados a los recursos. Es importante señalar que IAM, estrictamente hablando, es una disciplina conceptual. Las soluciones de IAM son las implementaciones de software que realmente hacen cumplir la estrategia y las políticas de IAM de una organización. A los efectos de este artículo, nos sumergiremos en IAM y las soluciones en relación con los recursos de TI.
En su forma más destilada, las soluciones de IAM centralizan, conectan y controlan el acceso a sus sistemas, datos y recursos. Piense en ellos como los cerebros que supervisan el entorno de TI de una organización. La centralización de la información de identidad de cada individuo preserva sus permisos y seguridad asociados para impulsar y facilitar los procesos automatizados. La estandarización y sincronización del IAM de su organización establece la creación de una base de datos precisa y fácil de administrar que facilita el acceso seguro y adecuado para todos los usuarios.
Las soluciones de IAM ayudan a calibrar el punto ideal entre el acceso demasiado abierto y la seguridad demasiado rígida para la función específica de cada usuario dentro del entorno y las operaciones únicos de su organización. Una implementación exitosa le brinda herramientas de administración para los recursos de TI y los procesos comerciales. Esto garantiza que los usuarios correctos tengan el acceso correcto a los recursos correctos, al alcance de la mano, independientemente de dónde los lleve su función.
¿Por qué es importante IAM? - Contexto histórico
Comprender el "¿Por qué?" de algo sirve como una parte crucial de la comprensión del "¿Qué?". Entonces, ¿por qué son importantes las soluciones de IAM? Para eso, recurrimos al contexto histórico de los procesos de negocio y la tecnología.
La tecnología comercial tradicional operaba de forma independiente porque carecía de la interconectividad que nos brinda hoy. Esto creó silos de datos dispares que existían exclusivamente dentro de sistemas específicos. Olvídese de transferir información de una máquina a otra, a menudo se limitaba a sistemas individuales y aplicaciones de software. Los procesos comerciales tradicionales evitaban estas limitaciones y requerían un esfuerzo excesivo y registros en papel para garantizar mejor la finalización y el mantenimiento de registros adecuados.
“Almacenamiento en silo” se refiere al acto de aislar algo (por ejemplo, datos) dentro de estructuras o sistemas autónomos, aislándolo de todo el entorno; piense en los silos de granos en una granja.
Cuando las organizaciones confían en recursos y datos aislados, la falta de interconectividad resultante restringe el uso dentro de los límites de un límite explícito. Por ejemplo, la utilidad de los datos de recursos humanos se limitaría exclusivamente al sistema de recursos humanos. Además, la creación de silos a menudo fuerza la creación de procesos comerciales y de acceso que de otro modo serían ineficientes como soluciones alternativas. Estas soluciones temporales formales o ad hoc no son un remedio, sino vendajes superficiales para huesos estructurales rotos.
Muchas de estas soluciones pueden haber parecido sensatas como esfuerzos heredados predigitales, como formularios en papel que requieren cinco etapas de aprobación. Sin embargo, el surgimiento interminable de nuevas tecnologías regularmente las vuelve redundantes o restrictivas.
IAM manual: lo ha estado usando todo el tiempo
Es posible que no se dé cuenta, pero su organización ya aplica varias políticas y procedimientos de IAM; es posible que no estén automatizados o digitalizados. A continuación se muestran algunos ejemplos que demuestran procesos de IAM manuales o basados en papel que controlan y supervisan el acceso a los recursos:
- Dar de baja un automóvil de la empresa registrando su nombre, la fecha y el kilometraje inicial y final en un portapapeles cerca de las llaves
- Ingresar códigos de seguridad asignados individualmente en una cerradura de combinación para obtener acceso al edificio
- Envío de formularios de solicitud en papel para las aprobaciones de gastos de un empleado
Soy hoy
Independientemente de la industria, el tamaño o la ubicación, las organizaciones modernas requieren recursos de TI para completar las funciones diarias: su departamento de recursos humanos utiliza un sistema de recursos humanos para la información de los empleados; su departamento de contabilidad utiliza software de nómina; las ventas utilizan sistemas de gestión de relaciones con los clientes (CRM); el marketing utiliza sistemas de gestión de contenidos (CMS); todos acceden al almacenamiento local o en la nube para compartir archivos y datos; y así.
La utilización de estos recursos requiere cuentas de usuario asociadas con individuos. Para acceder a una cuenta de usuario, un empleado debe autenticar su identidad, a menudo ingresando las credenciales de nombre de usuario y contraseña. Las cuentas de usuario deben crearse, mantenerse y desactivarse a lo largo de su ciclo de vida, que en la mayoría de los casos se correlaciona con la duración del empleo de ese usuario.
El aprovechamiento eficaz de los recursos de TI en medio de las expectativas actuales de inmediatez requiere acceso instantáneo a aplicaciones, archivos y datos en cualquier momento, desde cualquier dispositivo, en cualquier lugar. Además de todo eso, la avalancha interminable de entidades digitales maliciosas en un mundo más conectado que nunca complica los procesos y el acceso tradicionales.
Prosperar en el mundo empresarial actual depende de operaciones, datos y seguridad optimizados. Los procesos ineficientes se suman rápidamente para ralentizarlo. La gestión manual de la creación y el aprovisionamiento de cuentas de usuario, las solicitudes ad hoc, la autenticación, las revisiones de acceso, los esfuerzos de seguridad y más sobrecarga no solo a su personal de TI, sino a todos los empleados que utilizan los recursos de TI. Al combinar estos desafíos con el cumplimiento normativo cada vez más exigente (p. ej., HIPAA, SOX, FERPA) y los riesgos de incumplimiento, todas las empresas se enfrentan actualmente al entorno más riguroso de la historia.
Además, ¿qué tipo de cuentas se utilizan en las operaciones diarias? Cuando los roles con permisos elevados (p. ej., directores, gerentes, roles especializados) realizan operaciones a través de sus cuentas privilegiadas todo el tiempo, existe una probabilidad mucho mayor de que esas cuentas se vuelvan inseguras y se realice una actividad excesiva sin previo aviso. La administración de acceso privilegiado es fundamental para mantener su entorno seguro. Si no es necesario utilizar una cuenta privilegiada, no lo haga . Es así de simple. En el extremo opuesto, las cuentas genéricas compartidas por múltiples usuarios eliminan la percepción. El uso excesivo de cuentas privilegiadas y genéricas facilita la administración, ya que no existe ninguna y todo es catastróficamente menos seguro.
El no poder promulgar procesos estrictos, políticas y medidas de seguridad crea caos. Sin esto, los derechos de acceso de su personal pueden salirse rápidamente de control y, a su vez, complicar la comprensión de las funciones y responsabilidades de todos. Esta desorganización crea riesgos de seguridad, descuidos y negligencia con el potencial de ramificaciones graves.
Una solución de IAM es la mejor plataforma que puede ofrecer para preparar a su organización para el éxito. La automatización de sus procesos de administración de back-end garantiza la ejecución adecuada de tareas críticas y de baja categoría, proporciona un acceso seguro y recupera la capacidad de volver a priorizar a su gente con tareas más importantes.
Consulte la siguiente infografía para obtener más estadísticas sobre la gestión de acceso e identidad:
Soluciones IAM definidas
Las soluciones de IAM son tecnologías dinámicas que administran, integran y fusionan las identidades de los usuarios, los ciclos de vida de las cuentas, los permisos de los usuarios y las actividades. En un lenguaje más sencillo, las soluciones de IAM administran quién, qué, dónde, cuándo, por qué y cómo se relacionan con los usuarios que operan en los "entornos tecnológicos cada vez más heterogéneos" de cualquier organización (Gartner).
La implementación de una plataforma de este tipo permite que los usuarios verificados accedan a los recursos necesarios, que los profesionales de TI se concentren en el trabajo productivo en lugar de tareas administrativas menores y que la organización en su conjunto opere de manera más eficiente. IAM brinda a una organización la capacidad de cambiar la energía hacia operaciones impactantes, centradas en el ROI y beneficiosas en lugar de verse limitada por la gestión de sus sistemas.
Componentes de la solución de IAM
Hay cuatro componentes principales de cualquier solución IAM:
1. Gestión de autenticación
La gestión de autenticación verifica las identidades y, en consecuencia, concede o deniega el acceso inicial a los sistemas. Este es el lado de la "Identidad" de IAM y garantiza que cada usuario sea quien dice ser.
La verificación de identidad tradicional requiere credenciales de nombre de usuario y contraseña, pero la autenticación multifactor (MFA) más reciente admite el uso de contraseñas de un solo uso (OTP), tokens, tarjetas inteligentes y más. Uno de los métodos de autenticación actuales más comunes es iniciar sesión en Active Directory (AD) de Microsoft cuando los empleados inician sesión por primera vez en su computadora.
2. Gestión de autorizaciones
La gestión de autorizaciones garantiza que un usuario autenticado solo pueda acceder a las aplicaciones y los recursos necesarios para su rol determinado. Este es el lado de "Administración de acceso" de IAM y puede incorporar elementos adicionales como los modelos de rol de inicio de sesión único y gobernanza de acceso (AG), que consisten en una matriz que hace cumplir el control de acceso basado en roles (RBAC).
Los modelos a seguir se pueden considerar como gráficos digitales que describen las estructuras jerárquicas de los empleados relacionadas con el acceso. El inicio de sesión único (SSO) hace que todos los recursos de TI de los usuarios estén disponibles después de completar un inicio de sesión único para eliminar los intentos de autenticación repetitivos y la seguridad de contraseña deficiente al acceder a varios sistemas y aplicaciones.
3. Administración
Administración la automatización de los ciclos de vida de las cuentas de usuario: creación, modificación, inhabilitación y eliminación de cuentas de usuario para sistemas y aplicaciones. Mientras que la gestión de autenticación y autorización supervisa la seguridad del acceso, la administración supervisa el aprovisionamiento de recursos. Al vincular los sistemas de origen (p. ej., sistemas de recursos humanos como UltiPro o WorkDay) con los sistemas de destino (p. ej., AD, O365, G Suite, SalesForce, Adobe), las soluciones de IAM le permiten automatizar las tareas manuales para un aprovisionamiento completo de extremo a extremo.
La administración coincide con el ciclo de vida de la cuenta de usuario, desde la configuración el primer día de un empleado hasta la desactivación cuando se va. A medida que cambien los roles de los empleados (por ejemplo, promociones, reorganizaciones), las soluciones de IAM volverán a aprovisionar y actualizarán automáticamente los recursos y accederán en consecuencia. Los cambios ad hoc para cosas como proyectos únicos se pueden manejar mediante la funcionalidad de autoservicio, lo que permite a los usuarios solicitar acceso directamente a su administrador o al "propietario" del recurso. Dado que las soluciones de IAM proporcionan interfaces administrativas, ya no se requieren conocimientos técnicos para aprovisionar a los usuarios. Los gerentes pueden simplemente aprobar un cambio y dejar que la solución procese el resto.
4. Supervisión y auditoría
Estas capacidades admiten la gestión activa interna y la revisión de las operaciones y los procesos de una organización a través de registros completos de actividades. Los registros de actividad se pueden usar para recopilar informes de inteligencia comercial y registros de auditoría, realizar revisiones de acceso, garantizar las funciones correctas y corregir cualquier proceso o problema de IAM ineficiente.
Ejecución de gestión de identidades y accesos
Las soluciones de IAM se ejecutan en "datos autorizados", que es el conjunto más preciso y completo que contiene la información de identidad de su empleado. Las organizaciones deben proporcionar datos autorizados para una solución de IAM. Los datos autorizados deben estar limpios e ingresados en un formato consistente o la automatización tendrá problemas. La mayoría de los datos de identidad se almacenan en "sistemas de origen", como un sistema de recursos humanos que contiene información personal/de contacto, fechas de inicio y finalización, función/rol, departamento, ubicación, etc.
Piense en los sistemas de origen y los datos como una batería de automóvil: puede conectar todo tipo de funciones y características eléctricas, pero como fuente, la batería debe proporcionar suficiente corriente eléctrica limpia para que funcionen. Los procesos de IAM solo pueden ejecutarse con entradas de datos limpias, consistentes y completas. Mediante el uso de conectores estándar entre sistemas, las soluciones de IAM pueden agregar datos de muchos sistemas de origen diferentes antes de enviarlos a los destinos conectados.
Las organizaciones deben determinar, en detalle, qué recursos recibe un individuo determinado para su función e incorporarlos en su modelo AG. Las soluciones de IAM se basan en disparadores y procesos configurables para tomar estos datos autorizados y sincronizarlos en todo su entorno de TI. Se supervisa una variedad de campos y valores para detectar cambios. Cuando se producen cambios en los valores de origen, la monitorización del activador de IAM inicia un proceso asociado para sincronizar los datos de acuerdo con la lógica configurada.
Las personas de una organización pueden tener diferentes identidades, que a menudo se almacenan por separado dentro de una solución de IAM. En función de estas identidades, IAM puede crear y administrar diferentes cuentas de usuario para diferentes tipos de empleados y responsabilidades de roles. Si un usuario necesita realizar tareas que requieren privilegios elevados (por ejemplo, acceder a información de nómina), debe usar una cuenta privilegiada. Para revisar su correo electrónico o crear un documento, deben usar su cuenta de usuario general sin privilegios elevados. La gestión de acceso privilegiado permite que los empleados operen mejor con la cuenta de usuario que se ajuste a la situación.
Los sistemas de origen aún brindan toda la información de estas identidades, pero no ayudan con su gestión adecuada. Una solución IAM actúa sobre los datos autorizados y es lo que hace posible todos estos vínculos complejos entre identidades y usuarios.
Seguridad de gestión de identidades y accesos
Los riesgos de seguridad comienzan cuando se contrata a un empleado con la entrega de cuentas y credenciales recién creadas hasta el día en que el empleado se va. En el transcurso de su empleo, es probable que cambien las necesidades de recursos de un usuario. Las promociones, las reorganizaciones, los cambios de roles y los proyectos ad hoc contribuyen a cambiar las necesidades de acceso. Con el tiempo, gran parte de este acceso puede volverse innecesario o incluso un riesgo de cumplimiento, lo que se traduce en problemas de seguridad. Es especialmente preocupante si el acceso en cuestión amenaza información confidencial, como información de identificación personal (PII), tarjetas de crédito o números de seguro social, etc. Esta acumulación de acceso se conoce como "inflación de permisos". Las soluciones de IAM contrarrestan la "inflación de permisos" restringiendo el acceso a las necesidades del empleado según su rol aquí y ahora.
Esos riesgos no terminan incluso después de que el empleado se va, a menos que tenga un proceso de desaprovisionamiento integral y automatizado. Un proceso de desaprovisionamiento se ocupa de limpiar las cuentas y el acceso de los empleados que se van. Sin una solución de IAM, el seguimiento seguro de todas las cuentas, las credenciales y el acceso (físico o digital) de un usuario determinado, y mucho menos eliminarlos todos de manera oportuna, se vuelve imposible.
Cuando un usuario deja una organización, todas sus cuentas asociadas deben desactivarse y desaprovisionarse. De lo contrario, el usuario original aún puede iniciar sesión con las mismas credenciales, incluso si se ha ido de su organización. Un exempleado malintencionado puede tomar datos confidenciales (p. ej., información del cliente, propiedad intelectual, credenciales de cuenta) o dañar su entorno en el peor de los casos. Los ex empleados pueden acceder a sus recursos de TI hasta la desactivación. Eso podría ser días, semanas, meses o incluso años. Si no se limpian las cuentas y el acceso, se expone el almacenamiento en la nube, los datos de los clientes, los próximos proyectos, los materiales de marketing y más. La desactivación estancada es especialmente peligrosa para los recursos alojados en la nube a los que cualquiera puede acceder desde sus dispositivos personales.
“Cuentas huérfanas”
La otra razón principal para adherirse a un proceso de desactivación estándar es evitar la acumulación de "cuentas huérfanas". Las cuentas huérfanas son aquellas que ya no están asociadas a un usuario activo y permanecen en su entorno. Estos desechos digitales obstaculizan su capacidad para evaluar con precisión su entorno y, al mismo tiempo, ocupan espacio de almacenamiento. Uno de los procesos más importantes de una solución IAM es limpiarlos.
Mirando hacia el futuro: IAM y la nube
Hoy en día, la mayoría de las empresas dividen su entorno de TI mediante la incorporación de aplicaciones en la nube para reducir los costos de mantenimiento, una implementación más rápida y flexibilidad de acceso. Sin embargo, estos entornos híbridos plantean serios desafíos para las operaciones comerciales tradicionales y la "IAM manual". El uso de aplicaciones en la nube no administradas invita a los riesgos de seguridad a través de las innumerables nuevas aperturas en su entorno de TI, sin mencionar que puede frustrar a los usuarios con inicios de sesión repetitivos. Problemas como estos son la razón por la cual la funcionalidad SSO web o basada en la nube es tan importante.
Las soluciones de IAM con funcionalidad de inicio de sesión único (SSO) basado en la nube/web ayudan a cerrar la brecha en los entornos híbridos. El portal de inicio de sesión central de un SSO reúne todos los recursos de TI de los usuarios detrás de un único inicio de sesión con estrictos protocolos de seguridad y políticas de acceso configurables. Una vez autenticado, un usuario tiene todo el acceso que necesita para su función en un portal que minimiza las aperturas en la red y los riesgos de incumplimiento asociados. Para mayor seguridad, se puede agregar MFA a la autenticación SSO.
Sin una base de datos central autorizada que funcione como intermediario entre sus usuarios y sus recursos, tendrán que iniciar sesión repetidamente en sus cuentas separadas en su infraestructura local y en la nube. Administrar todas estas cuentas diferentes complica el uso diario y la administración. Los usuarios tienen que hacer malabarismos con las URL, las complejidades de las credenciales, la caducidad de las contraseñas, los cierres de sesión automáticos y otras medidas que, si bien brindan seguridad, impiden el acceso fácil y detienen la productividad.
Para desarrollar una organización exitosa, su personal debe estar capacitado para tener éxito como individuos o equipos. Esto requiere acceso a los medios y recursos para completar las tareas diarias (por ejemplo, aplicaciones, recursos compartidos, herramientas de gestión, espacios colaborativos) y la flexibilidad para actuar con decisión cuando el momento lo requiera. Los requisitos de acceso complicados y los procesos comerciales inflados no hacen más que poner en peligro la productividad de su personal, su motivación y el impulso de todos.
Las soluciones de IAM siempre han garantizado el acceso, el cumplimiento y la seguridad adecuados, pero ahora están comenzando a obtener mayores beneficios de los nuevos datos, la interoperabilidad de diversas aplicaciones y la inteligencia comercial. Como contribuyente activo al crecimiento organizacional, las soluciones de IAM brindan una amplia gama de funcionalidades que capacitan a los usuarios en todos los niveles.
Enlazándolo todo junto
A pesar de todos los avances tecnológicos revolucionarios e innovadores de la industria, el uso de datos sigue siendo la constante más importante en todos sus recursos de TI.
Al implementar identidades verificables, procesos automatizados, control de acceso y capacidades de autoservicio, una solución de IAM utiliza los datos de su organización para construir su marco. Este marco controla y monitorea todos los desafíos mencionados anteriormente con respecto a los procesos comerciales, el acceso y la seguridad.
Las soluciones de IAM eliminan el dilema de su organización de elegir entre acceso y seguridad a través de políticas de gobierno que permiten la productividad del usuario y agilizan las operaciones. Una implementación exitosa fomentará la eficiencia organizacional y mantendrá registros de auditoría detallados para revisar el acceso y la actividad de un usuario.
Sin un cambio significativo de insumos (por ejemplo, empleados, flujo de efectivo, oferta/demanda), la única forma posible de lograr mayores resultados es a través de la eficiencia organizacional. Las soluciones de IAM proporcionan las herramientas de gestión para lograr ese aumento de la producción, ya sea logrando una organización más flexible, implementaciones tecnológicas más ambiciosas, reforzando la seguridad, esfuerzos empresariales elevados o cualquier objetivo y visión que tenga.
En resumen, las soluciones de IAM:
- Asegúrese de que los usuarios puedan acceder a los recursos que necesitan.
- Restringir el acceso innecesario o irregular para la aplicación de la seguridad
- Proporcione a la gerencia y a TI las herramientas y los conocimientos para realizar tareas administrativas complejas y optimización de procesos.
- Automatice los procesos y las tareas secundarias, brindando a su organización la flexibilidad para volver a priorizar a las personas con un trabajo más impactante
- Refuerce la seguridad durante todo el ciclo de vida de la cuenta de usuario, desde el aprovisionamiento y la transferencia segura de cuentas y credenciales hasta la desactivación rápida después de las salidas.
- Ayudar con la preparación de auditorías a través de informes sofisticados y registros de actividad.
Algunos proveedores de soluciones de IAM:
- herramientas4ever
- Okta
- IBM
- microsoft azure
- Centrificar
- Identidad PING
- Automatización de identidad
- punto de vela
En resumidas cuentas, las soluciones de IAM benefician a todos en su organización.
Esta mentalidad holística impulsada por la organización es fundamental para implementar con éxito una solución de IAM. Desde el principio, considere las soluciones de IAM como habilitadores de lo que logran, en lugar de simplemente una serie de implementaciones técnicas de "establecer y olvidar" que se dejan caer en el departamento de TI para que las encienda. Si bien los procesos están automatizados, las soluciones de IAM requieren una gestión y configuración activas para lograr los resultados deseados: ejecutan lo que usted les indica. Para integrarse mejor con las necesidades y operaciones de su organización, la configuración de su solución debe reflejarlas para que sea eficaz.
Por lo tanto, una solución de IAM es una de las decisiones más inteligentes y financieramente responsables que cualquier empresa moderna podría tomar. Un plan de tecnología integral actúa como una palanca organizativa, lo que permite lograr más con menos. Si esa premisa es cierta, entonces Identity and Access Management es el punto de apoyo con el que esa multiplicación logra el mayor beneficio.