7 pasos para una mejor gestión de la identidad (Parte 1)

La gestión de las identidades, contraseñas y derechos de acceso de los empleados siempre ha sido complicada. Y ahora, con un mayor empleo del outsourcing y del software como servicio (SaaS) las cosas se han vuelto más enredosas y requieren el uso de una gestión de las identidades (IDM, por sus siglas en inglés) federada, operada desde fuera de las paredes de la empresa.

Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado.

Con sistemas distribuidos,  empleados en el mundo entero y un inacabable número de tecnologías que se deben integrar es para volver cardiaco a cualquiera. Pero si se planean adecuadamente resultan beneficios significativos, como una seguridad mejorada, menos gasto operativo fijo, menores costos de soporte y una mejor experiencia para los usuarios.

La IDM permite que el departamento IT entienda quiénes son los usuarios, a que aplicaciones y redes tienen acceso y, en la mayoría de los casos, sus funciones en el trabajo. Permite, asimismo, la gestión completa de una identidad, en contraposición de una perspectiva aislada de una sola cuenta en un solo sistema. La clave está en entender cuáles son las tecnologías de IDM en el ambiente de cada empresa, cómo son usadas por el personal  y como se entrelaza todo.

Lo que sigue son 7 pasos para manejar estos asuntos y mejorar el control sobre el ambiente.

Identificar qué se va a administrar

Antes de poder proceder a la IDM de los usuarios, lo primero es saber qué es lo que se está administrando. El enfoque que se adopte en IDM dependerá de: cuánto se dispone para gastar, qué tecnologías se aplicarán y cuál será la sofisticación y amplitud del sistema. ¿Requiere la compañía soporte de administración de usuarios básico o todo lo que abarca desde aprovisionar a los nuevos usuarios, login individual hasta eliminar a los usuarios que se han ido? Si la compañía está crecimiento, abre nuevos establecimientos y contrata a más empleados, ha optado por aplicaciones de SaaS, en vez de traer más aplicaciones intramuros, entonces será conveniente más automatización de los actuales procesos de IDM que gastar dinero en traer nuevas soluciones.

La automatización del aprovisionamiento y eliminación de los empleados que se han ido evitará equivocaciones, proporcionará mejor seguridad y redundará en menos problemas de auditoría. Se puede dar un paso más y crear plantillas y fechas de expiración de las cuentas de los empleados para efectos de su acceso a las aplicaciones y a la red, lo que hará felices a los auditores.

Si la compañía proporciona acceso a su sistema a socios subcontratados, en especial desarrolladores tercerizados, con alta alternancia de personas, entonces la automatización es crítica. Con mucha frecuencia, las cuentas de los contratistas se dejan activas mucho tiempo después que ya no trabajan para la compañía, o bien los nuevos contratistas usan la cuenta de la persona a la que han sustituido debido a lo pesado que es el proceso de aprovisionar acceso.

¿Dónde están las cuentas de los usuarios?

Lo que sigue es identificar la tecnología sobre la que residen las cuentas de los usuarios. Puede tratarse de un sistema de recursos humanos, SAP, Active Directory, OpenLDAP o cualquier directorio de cuentas de usuario o usuarios, o incluso alguna combinación de esto. Los sistemas de recursos humanos y nómina son los mejores lugares para buscar un sistema que identifique qué usuarios son legítimos y activos.

También es necesario determinar cuál es el sistema maestro de identificación del departamento IT. ¿Es Active Directory o algún otro repositorio centralizado de cuentas? Si no hay uno, esto explica el problema en que esta la empresa, y por ahí se debe empezar. Si se tiene Active Directory u otro sistema, entonces hay que averiguar qué está autenticando en su contra. Puede tratarse sólo de las PC y servidores, pero también puede deberse a aplicaciones a la medida, logias a la base de datos y aplicaciones de terceros.

¿Hora de centralizar la autenticación?

En este punto es preciso evaluar detalladamente si es conveniente migrar a un sistema central de autentificación. Una de las clave de IDM federado es tener un lugar central para la gestión de cuentas y muchas compañías han comprobado que los beneficios de una autentificación central superar con mucho los inconvenientes de dicho sistema.

El Identity Manager de CA y Tivoli Identity Manager de IBM son algunos de los productos de IDM que las compañías pueden usar, independientemente de si tienen o no un directorio central de usuarios. Muchas de estas herramientas realizan el mismo trabajo, pero cada una tiene sus lados ventajosos. Los sistemas más grandes, como el de CA y el de IBM cuestan $100,000 dólares o más y proporcionan gestión completa del flujo de trabajo para aprovisionar y eliminar usuarios, incluida la aceptación de la solicitud inicial, obtener autorización, crear o eliminar una cuenta con un sólo clic.

Estas características son las que distinguen los sistemas de IDM respecto de los sistemas de servicios de directorio, como Active Directory. Permiten que el departamento IT importe cuenta de un directorio maestro o de un sistema individual. Una vez se han descubierto e importado las cuentas, se pasa a mapear, agrupar, eliminar y modificar o hacer cualquier otra cosa que se quiera hacer con ellos.

Si en el departamento de RH existe un registro maestro de los empleados o una nómina, se puede importar a través de conectores soportados o del importe de archivos planos y emplearlo para mapear cuentas de sistemas de empleados reales. Hacer esto permitirá entender por completo a qué tiene acceso determinada persona, en vez de quedarse con una visión aislada de una sola cuenta  en un solo sistema.

Adam Ely es director de Seguridad de TiVo, donde es el responsable de IT y seguridad de las aplicaciones: iweekletters@techweb.com

Artículos relacionados

1. 5 pasos clave para la ciberseguridad
2. En la era del Facebook, los problemas IT son pesadillas para el CIO (Parte 1)
3. En la era del Facebook, los problemas IT son pesadillas para el CIO (Parte 2)
4. Reforma Regulatoria afectará gestión de TIC en gobierno
5. Las 19 aplicaciones Mac para presupuestos apretados (parte 2)