¿Sabe el departamento IT que aplicaciones externas se están usando?

Una vez que se ha entendido la empresa interna, hay que mirar hacia fuera. ¿Emplea la compañía servicios de SaaS, como los de Salesforce.com, redes sociales, gestión subcontratada de gastos y sistemas de RH?

Dado que su operación es más barata y su despliegue más rápido, las ofertas de SaaS pueden ser un gran añadido a la empresa… si tienen suficientes capacidades de gestión de usuarios. Si no se dispone de buenas herramientas, el manejo de centenares de cuentas en un sistema subcontratado puede absorber muchos recursos. Hay que averiguar con el departamento de contabilidad y el personal de encuestas que aplicaciones y sitios en línea de terceros están usando sin conocimiento del departamento IT.

El propósito no es impedir que usen esos servicios, sino entender cómo manejarlos mejor. El problema con los servicios de terceros es encontrar una herramienta que pueda manejar apropiadamente las cuentas a la vez, también, que los recursos de gestión internos.

Examinar las opciones y pedir sugerencias a los fabricantes de IDM y SaaS

El siguiente paso es entender los flujos de trabajo. Es necesario entender cabalmente el proceso tal cual es y poder proporcionar un mapa que muestre cuál sería la diferencia en su operación con otro proveedor. Hay que observar cómo se aprovisiona a los usuarios, cómo se manejan los cambios a su acceso y cómo se elimina a los usuarios cuando se marchan. ¿Cómo se añaden cuentas a lo ancho de múltiples sistemas?

Conviene realizar una prueba sobre cómo se procesas las solicitudes. Realizar este ejercicio para los casos extremos, como los sistemas externos de Salesforce y aquel sistema que siempre ha sido manejado por una persona que se rehúsa a que otras personas entren. Para la documentación del flujo de trabajo utilizar siempre gráficas de flujo. Son útiles cuando se implementan nuevos productos y para advertir redundancias en los procesos.

Hay qu hacer esto con los usuarios finales. A menudo nos fijamos en los procesos técnicos y nos olvidamos de preguntar a los usuarios qué piensan del proceso, cómo lo entienden y los puntos difíciles que encuentran. Yo realicé esto recientemente y averigüe que los puntos de vista de los usuarios son muy diferentes a los del departamento IT.  Si no se resuelven los problemas y malas interpretaciones en el sistema existente, se trasladarán al nuevo que se adquiera.

Conocer los límites

Ahora que ya he explicado la tecnología, los directorios y los servicios con los que es necesario integrarse, hay que estimar las limitaciones de la empresa. ¿Se van a manejar todas estas tecnologías? ¿Basta un producto o se requieren varios? Una manera fácil de simplificar la gestión de identidades es vincular a todos los recursos en el menor número posible de directorios. Por ejemplo, autentificar todos los sistemas y aplicaciones posibles en el Active Directory. Una vez se han reducido el número de puntos de autenticación, la implementación de un sistema IDM, hay menos posibles apagones debido a cambios de sistema y menos llamados al help desk por contraseñas olvidadas.

Ahora ya he explicado, hasta un nivel razonable, lugares donde manejar las cuentas, con la esperanza de que se devuelvan a las manos del departamento IT. Y si no hay mucho cambio de empleados quizá no tenga sentido en un sistema automatizado que sea mayor. Por el contrario, la automatización puede mejorar considerablemente el cumplimiento de normas con requisitos como los estándares de la Payment Card Industry. Si se detiene aquí, al menos habrá reducido los costos de soporte y mejorado el proceso de IDM.

¿Cuál es el sistema correcto?

Existen muchos fabricantes en el mercado IDM, como CA, Conformity, IBM, Logic, Oracle, Radiant , SAP y Symplified. La otra opción es desarrollar una herramienta dentro de la empresa, pero para la mayoría de las compañías esto les resulta difícil y al cabo salen gastando más. La compra de un paquete puede costar más en un comienzo, pero a la larga suele funcionar mejor a medida que las compañías, al tiempo que crecen, van añadiendo tecnologías.

Mi consejo es enviar a los fabricantes una lista de las tecnologías que se usan en la empresa, pedirles que verifiquen cuáles soportan y que especifiquen si ese soporte aumenta el costo y qué expliquen cómo los procesos de la empresa se complementan con los de los sistemas de los fabricantes. Califique a los proveedores basándose en los criterios de la empresa y el presupuesto.

Antes de hacer la decisión final, tomarse tiempo para ver más adelante, pues es probable que posteriormente la empresa quiera implementar alguna nueva tecnología. Procurar que cualquier senda que se emprenda en IDM sea flexible y permita añadidos y cambios.

Adam Ely es director de Seguridad de TiVo, donde es el responsable de IT y seguridad de las aplicaciones: iweekletters@techweb.com

Artículos relacionados

1. 7 pasos para una mejor gestión de la identidad (Parte 1)
2. 5 pasos clave para la ciberseguridad
3. En la era del Facebook, los problemas IT son pesadillas para el CIO (Parte 2)
4. En la era del Facebook, los problemas IT son pesadillas para el CIO (Parte 1)
5. Las 19 aplicaciones Mac para presupuestos apretados (parte 1)