Llegamos a ustedes gracias a:



Reportajes y análisis

El ABC de la administración de la identidad

[02/10/2017] ¿Qué es la administración de la identidad? Hablando en términos generales, los sistemas de administración de la identidad (también conocidos como administración de acceso e identidad, o sistemas IAM) permiten la administración de las identidades individuales dentro de un sistema, como una compañía, una red o incluso un país. Más específicamente, la administración de la identidad en la TI corporativa se trata de definir y administrar los roles y privilegios de acceso de los usuarios individuales de la red y las circunstancias en las cuales se les conceden (o niegan) dichos privilegios.

El objetivo central de un sistema de administración de la identidad es una identidad por cada individuo. Una vez que esa identificación digital ha sido establecida, debe ser mantenida, modificada y monitoreada a través de cada "ciclo de vida de acceso de cada usuario.

Por lo tanto, la meta general de la administración de la identidad es "conceder acceso a los usuarios adecuados, en el contexto adecuado, a los activos adecuados de la empresa, desde el entrenamiento inicial de sistema para un usuario hasta las autorizaciones de permiso para el proceso de partida de ese usuario, a medida que sea necesario y con puntualidad, de acuerdo con Yassir Abousselham, vicepresidente senior y CSO de Okta, proveedora de administración de la identidad para empresas.

La administración de la identidad proporciona a los administradores las herramientas y tecnologías para cambiar el rol de un usuario, rastrear sus actividades, crear reportes sobre dichas actividades y aplicar políticas continuamente. Estos sistemas están diseñados para proporcionar una manera de administrar el acceso del usuario en toda la empresa y para asegurar el cumplimiento de las políticas corporativas y regulaciones gubernamentales.

Las tecnologías de administración de la identidad incluyen (pero no están limitadas a) las herramientas de administración de contraseñas, software de aprovisionamiento, reporte y monitoreo de aplicaciones y repositorios de identidad. Los sistemas de administración de la identidad están disponibles para los sistemas internos, como Microsoft SharePoint, así como para sistemas basados en la nube, como Microsoft Office 365.

Los sistemas de administración de la identidad deben ser lo suficientemente sólidos como para alojar las complejidades del ambiente actual de computación. Una causa: El ambiente de computación de una empresa solía ser mayoritariamente interno, y los sistemas de administración de la identidad autentificaban y rastreaban a los usuarios a medida que éstos trabajaban internamente, afirma Jackson Shaw, director senior de administración de producto de la proveedora de administración de la identidad y acceso, One Identity. "Solía haber una reja de seguridad alrededor de las instalaciones, resaltó Shaw. "Hoy en día, esa reja ya no existe.

Como consecuencia, los sistemas de administración de la identidad de hoy deberían permitir a los administradores un manejo sencillo de los privilegios de acceso para una variedad de usuarios, incluyendo a los empleados domésticos internos y a los trabajadores internacionales subcontratados externos; ambientes híbridos de cómputo, aplicaciones de software as a service (SaaS), la TI paralela y a los usuarios BYOD; y arquitecturas de cómputo que incluyen a UNIX, Windows, Macintosh, iOS, Android, e incluso dispositivos de la Internet de las cosas (IoT, por sus siglas en inglés).

Finalmente, el sistema de administración de la identidad debería permitir la administración centralizada de los usuarios "de manera consistente y ascendiente a nivel de toda la empresa, afirma Abousselham.

En años recientes, la identity as a service (IDaaS) se ha convertido en un servicio administrado externamente ofrecido por medio de la nube y en base a subscripciones, proporcionando administración de la identidad a los sistemas de clientes internos y los que se basan en la nube.

¿Por qué debería importarme la administración de la identidad?

La administración de la identidad es una parte esencial de cualquier plan de seguridad de una compañía, y está ligada intrínsecamente a la seguridad y productividad de las organizaciones en la economía digitalizada de hoy.

Con frecuencia, las credenciales de usuario corrompidas sirven de punto de entrada hacia la red de una organización y sus activos de información. Las empresas usan la administración de la identidad para resguardar sus activos de información de las amenazas crecientes del ransomware, hacking criminal, phishing y otros ataques de malware. Cybersecurity Ventures pronosticó que solamente el costo global de los daños causados por el ransomware excederá los cinco mil millones de dólares este año, subiendo un 15% con relación al 2016.

En muchas organizaciones, los usuarios a veces tienen más privilegios de acceso de los que son necesarios. Un sistema sólido de administración de la identidad puede añadir una importante capa de protección, asegurando una aplicación consistente de reglas de acceso de usuario y políticas en una organización.

Los sistemas de administración de la identidad pueden mejorar la productividad. Las capacidades centrales de administración pueden reducir la complejidad y costo de resguardar el acceso y las credenciales del usuario. Al mismo tiempo, los sistemas de administración de la identidad permiten que los trabajadores sean más productivos (mientras permanecen seguros) en una variedad de ambientes, sin importar si trabajan desde casa, la oficina o mientras viajan por la carretera.

Muchos gobiernos requieren que las empresas se preocupen por la administración de la identidad. Las regulaciones como Sarbanes-Oxley, Gramm-Leach-Bliley y HIPAA consideran que la responsabilidad de controlar el acceso a la información de los clientes y empleados es responsabilidad de las organizaciones. Los sistemas de administración de la identidad pueden ayudar a las organizaciones a cumplir con esas regulaciones.

La Regulación General de Protección de Datos (GDPR) es una regulación más reciente, que requiere una seguridad fuerte y controles de acceso para el usuario. La GDRP estipula que las organizaciones deben proteger los datos personales de los ciudadanos de la Unión Europea. Esta regulación entrará en vigor en mayo del 2018, la GDRP afecta a todas las compañías que hacen negocios con países de la Unión Europea o tienen clientes pertenecientes a la UE.

El 1 de marzo del 2017 entraron en vigencia las nuevas regulaciones de seguridad cibernética del Departamento de Servicios Financieros de Nueva York (NYDFS). Las regulaciones determinan muchos requisitos para las operaciones de seguridad de servicios financieros que operan en Nueva York, incluyendo la necesidad de monitorear las actividades de usuarios autorizados y mantener registros de auditorías -algo que típicamente hacen los sistemas de administración de la identidad.

Mediante la automatización de muchos aspectos de proveer al usuario un acceso seguro a las redes corporativas y a la información, los sistemas de administración de la identidad libran a TI de tareas mundanas pero importantes, y le ayudan a permanecer en cumplimiento con las regulaciones gubernamentales. Estos son beneficios críticos, debido a que hoy en día todos los puestos de trabajo de TI son de seguridad; existe una escasez global y persistente de trabajadores de seguridad cibernética; y las penalidades por no estar en cumplimiento con las regulaciones pueden costarle a una organización millones o hasta mil de millones de dólares.

¿Cómo puede beneficiar a su negocio un sistema de administración de la identidad?

Implementar la administración de la identidad, y otros de los mejores procedimientos asociados, puede darle una ventaja competitiva significativa de muchas maneras. Hoy en día, la mayoría de negocios necesitan dar a los usuarios fuera de la organización acceso a los sistemas internos. Abrir su red a clientes, socios, proveedores, servicios contratados y, por supuesto, empleados, puede incrementar la eficiencia y disminuir costos de operación.

Los sistemas de administración de la identidad pueden permitir a una compañía extender el acceso a sus sistemas de información en muchas aplicaciones internas, móviles y herramientas SaaS sin comprometer la seguridad. Proporcionando un acceso más grande a los foráneos, puede movilizar la colaboración en toda su empresa, mejorando la productividad, la satisfacción del empleado, la investigación y desarrollo, y, finalmente, las ganancias.

La administración de la identidad puede decrecer el número de llamadas a la mesa de ayuda a los equipos de soporte de TI relacionadas al restablecimiento de contraseñas. Los sistemas de administración de la identidad permiten a los administradores automatizar éstas y otras tareas costosas y que consumen mucho tiempo.

Un sistema de administración de la identidad puede ser el fundamento de una red segura, puesto que administrar la identidad de un usuario es una pieza esencial del panorama de control de acceso. Un sistema de administración de la identidad requiere que las compañías definan sus políticas de acceso, señalando específicamente quién tiene acceso a qué recursos de información y en qué condiciones obtienen el acceso.

En consecuencia, la buena administración de la identidad implica un mayor control del acceso del usuario, lo cual se traduce en un riesgo menor de irrupciones internas y externas. Esto es importante porque, junto con los riesgos crecientes de las amenazas externas, los ataques internos son bastante frecuentes. Aproximadamente el 60% de todas las irrupciones de datos son causadas por un empleado perteneciente a la organización, de acuerdo al Cyber Security Intelligence Index 2016. De estas irrupciones, el 75% fueron de intención maliciosa y el 25% fueron accidentales.

Como se mencionó anteriormente, un sistema de administración de la identidad puede fortalecer el cumplimiento de regulaciones, proporcionando las herramientas para implementar una seguridad, auditoría y políticas de acceso completas. Muchos sistemas ahora proporcionan funciones diseñadas para asegurar que una organización esté cumpliendo las regulaciones.

¿Cómo funcionan los sistemas de administración de la identidad?

En años anteriores, un sistema de administración de la identidad comprendía cuatro elementos: Un directorio de los datos personales que el sistema usa para definir a los usuarios individuales (piense en éste como un repositorio de identidades); un conjunto de herramientas para añadir, modificar y borrar esos datos (relacionadas a la administración del ciclo de vida del acceso); un sistema que regula el acceso del usuario (aplicación de políticas de seguridad y privilegios de acceso); y un sistema de auditoría y reportes (para verificar qué está pasando en su sistema).

Tradicionalmente, regular el acceso del usuario involucraba varios métodos de autentificación para verificar la identidad de un usuario, incluyendo contraseñas, certificados digitales, tokens y tarjetas inteligentes. Los tokens de hardware y las tarjetas inteligentes, del tamaño de una tarjeta de crédito, servían como un componente en una autentificación de dos factores, que combina algo que conoce (su contraseña) con algo que tiene (el token o la tarjeta) para verificar su identidad. La tarjeta inteligente contiene un chip integrado de circuito que puede ser un microcontrolador seguro o inteligencia equivalente a una memoria interna o a un chip de memoria solo. Los tokens de software, los cuales pueden existir en cualquier dispositivo con capacidad de almacenamiento, desde un USB a un teléfono celular, surgieron en el 2005.

En los complejos ambientes de cómputo de hoy, junto con las amenazas elevadas de seguridad, un nombre fuerte de usuario y contraseña ya no es suficiente. Hoy en día, los sistemas de administración de la identidad frecuentemente incorporan elementos de biométricas, aprendizaje de máquina, inteligencia artificial y autentificación basada en riesgo.

A nivel del usuario, los métodos recientes de autentificación de usuario están ayudando a proteger mejor las identidades. Por ejemplo, la popularidad de los iPhones equipados con identificación táctil ha familiarizado a las personas con el uso de huellas digitales como un método de autentificación. Las computadoras Windows 10 más nuevas ofrecen sensores de huellas digitales o escaneo de iris como autentificación biométrica de usuario.

Algunas organizaciones se están moviendo de dos factores de autentificación a tres, afirma Abousselham, combinando algo que conoce (su contraseña), algo que tiene (un smartphone) y algo que es (reconocimiento facial, escaneo de iris o sensores de huellas digitales). "Cuando pasa de dos a tres factores, obtiene más garantía de estar lidiando con el usuario correcto, afirma.

A nivel administrativo, los sistemas de administración de la identidad ofrecen un nivel más avanzado de reportes y auditorías de usuario gracias a las tecnologías, como el control de acceso a la red de consciencia contextual y la autentificación basada en riesgo (RBA).

El control de acceso a la red de consciencia contextual se basa en políticas. Este control predetermina un evento, así como su resultado basándose en muchos atributos, afirma el director de productos de Otka, Joe Diamond. Por ejemplo, si una dirección IP no es admitida, podría ser bloqueada. O, en el caso que no exista un certificado que indique que un dispositivo es administrado, el control de acceso a la red de consciencia contextual podría elevar el proceso de autentificación.

En comparación, la RBA es más dinámica y con frecuencia es potenciada por algún nivel de inteligencia artificial. Con la autentificación basada en riesgo (RBA), "usted está empezando a abrir la calificación de riesgo y el aprendizaje de máquina a un evento de autentificación, afirma Diamond.

La RBA aplica de forma dinámica varios niveles de rigurosidad para el proceso de autentificación de acuerdo con el riesgo actual del perfil. Mientras más alto sea el riesgo, más restrictivo se vuelve el proceso de autentificación para el usuario. Un cambio en la locación geográfica de la dirección IP podría activar requisitos adicionales de autentificación antes de que ese usuario pueda acceder a los recursos de información de la compañía.

¿Qué es la administración de la identidad federada?

La administración de la identidad federada le permite compartir identidades digitales con socios de confianza. Es un mecanismo de uso compartido de la autentificación que permite a los usuarios emplear el mismo nombre de usuario, contraseña u otra identificación para acceder a más de una red.

El registro único (SSO, por sus siglas en inglés) es una parte importante de la administración de la identidad federada. Un estándar único de registro permite a las personas verificar su identidad en una sola red, página web o aplicación, y continuar con ese estatus autentificado en otra. El modelo funciona solo entre organizaciones que cooperan entre sí -socios conocidos y de confianza- que esencialmente mantienen un compromiso con los usuarios mutuos.

Los mensajes de autorización entre los socios de confianza con frecuencia se envían utilizando Security Assertion Markup Language (SAML, pronunciado como "SAM-el). Esta especificación abierta define un esquema de trabajo para intercambiar declaraciones de seguridad entre las autoridades de seguridad. El lenguaje SAML logra la interoperabilidad entre distintas plataformas que proporcionan servicios de autorización y autentificación.

Sin embargo, el lenguaje SAML no es el único protocolo de estándar abierto. Otros incluyen OpenID, WS-Trust (abreviación de Web Services Trust) y WS-Federation (que tienen respaldo corporativo de Microsoft e IBM), y OAuth (pronunciado como "Oh-Auth), que permite que la información de la cuenta del usuario sea usada por servicios externos como Facebook sin exponer la contraseña.

¿Cuáles son los desafíos o riesgos de implementar una solución de administración de la identidad?

Una implementación exitosa de la administración de la identidad requiere de planeamiento y colaboración entre todas las áreas. Las compañías que establecen una estrategia cohesiva de administración de la identidad -objetivos claros, aprobación de las partes interesadas, procesos de negocio definidos- antes de que empiecen el proyecto tienen más probabilidad de tener éxito. La administración de la identidad funciona mejor "cuando cuenta con la participación de las áreas de recursos humanos, TI, seguridad y otras, afirma Shaw.

Con frecuencia, la información de la identidad podría provenir de múltiples repositorios, como Microsoft Active Directory (AD) o aplicaciones de recursos humanos. Un sistema de administración de la identidad debe ser capaz de sincronizar la identidad del usuario en todos estos sistemas, proporcionando una sola fuente de veracidad.

Dada la escasez de personas de TI hoy en día, los sistemas de administración de TI deben permitir a una organización administrar una variedad de usuarios en diferentes situaciones y ambientes de cómputo -automáticamente y en tiempo real. Ajustar manualmente los privilegios de acceso y controles para cientos o miles de usuarios no es viable.

Por ejemplo, desaprovisionar los privilegios de acceso para empleados que se van puede no realizarse por completo, especialmente cuando se hace manualmente, que con frecuencia es el caso. Reportar la partida de un empleado de la compañía y después desaprovisionar el acceso en todas las aplicaciones, servicios y hardware que él o ella usaron, requiere de una solución automatizada y completa de administración de la identidad.

La autentificación también debe ser fácil de realizar para los usuarios, debe ser fácil de desplegar para TI y, sobre todo, debe ser segura, afirma Abousselham. Esto explica por qué los dispositivos móviles se "están volviendo el centro de la autentificación de los usuarios, añadió, "porque los smartphones pueden proporcionar la localización geográfica, dirección IP y otra información del usuario puede ser aprovechada para propósitos de autentificación.

Un riesgo que vale la pena mantener presente: Las operaciones centralizadas presentan blancos tentadores para los hackers y crackers. Colocando un tablero de control sobre todas las actividades de administración de la identidad de la compañía, estos sistemas reducen la complejidad no solo para los administradores. Una vez que las operaciones centralizadas se ven comprometidas, éstas podrían permitir a un intruso crear identidades con privilegios extensos y acceso a muchos recursos.

¿Qué terminología debería saber?

Las palabras de moda vienen y van, pero existen algunos términos clave en la administración de la identidad que vale la pena saber.

* Administración del acceso: La administración del acceso se refiere a los procesos y tecnologías usados para controlar y monitorear el acceso a la red. Las funciones de la administración de acceso, como la autentificación, autorización, auditoría de confiabilidad y seguridad son parte de los sistemas principales de administración de la identidad y de sistemas que se basan en la nube.

* Active Directory (AD): Microsoft desarrolló AD como un directorio de servicios para las redes de dominio Windows. Aunque está patentado, AD está incluido en el sistema operativo de Windows Server y, por lo tanto, es desplegado ampliamente.

* Autentificaciónbiométrica: Un proceso de seguridad para autentificar al usuario que se basa en las características únicas del usuario. Las tecnologías de autentificación biométrica incluyen sensores de huellas digitales, reconocimiento facial, así como escaneo de iris y retina.

* Control de acceso a la red de consciencia contextual: El control de acceso a la red de consciencia contextual es un método basado en políticas para conceder acceso a los recursos de la red de acuerdo con el contexto actual del usuario que busca acceder. Por ejemplo, un usuario que intenta autentificarse desde una dirección IP que no ha sido aprobada quedaría bloqueado.

* Credencial: Un identificador empleado por el usuario para obtener acceso a una red, como la contraseña de un usuario, el certificado de llave pública de infraestructura (PKI), o información biométrica (huella digital, escaneo de iris).

* Desaprovisionamiento: El proceso de retirar una identidad del repositorio de identidades y finalizar los privilegios de acceso.

* Identidad digital: La identidad misma, incluyendo la descripción del usuario y sus privilegios de acceso. (Un terminal, como una laptop o smartphone también puede considerarse como un usuario por tener una identidad digital propia).

* Derecho: Es el conjunto de atributos que especifican los derechos y privilegios de un principio de seguridad autentificado.

* Identity as a Service (IDaaS): El IDaaS basado en la nube ofrece funcionalidad de administración de los sistemas de una organización que residen internamente o en la nube.

* Administración del ciclo de vida de la identidad: Similar a la administración del ciclo de vida del acceso, el término se refiere al conjunto entero de procesos y tecnologías para el mantenimiento y actualización de identidades digitales. La administración del ciclo de vida de la identidad incluye sincronización de identidad, aprovisionamiento, desaprovisionamiento y la administración continua de los atributos del usuario, credenciales y derechos.

* Sincronización de identidad: El proceso de asegurar que múltiples identidades -por ejemplo, el resultado de una adquisición- almacenen datos consistentes para una identidad digital determinada.

* Lightweight Directory Access Protocol (LDAP): El LDAP es un protocolo abierto basado en estándares para administrar y acceder a un servicio de directorio distribuido, como el AD de Microsoft.

* Autentificación de factor múltiple (MFA): La MFA es cuando más de un solo factor, como el nombre del usuario y contraseña, son requeridos para obtener una autentificación para una red o sistema. También se requiere al menos un paso adicional, como recibir un código a través de un mensaje de texto a un smartphone, insertar una tarjeta inteligente, puerto USB, o cumplir con un requisito de autentificación como sería el escaneo huellas digitales.

* Reseteo de contraseña: En este contexto, es una función del sistema de administración de la identidad que le permite a los usuarios restablecer sus propias contraseñas, ahorrándoles el trabajo a los administradores y reduciendo las llamadas de soporte. Frecuentemente, el usuario accede la aplicación de reseteo a través de un navegador. La aplicación solicita una palabra secreta o un conjunto de preguntas para verificar la identidad del usuario.

* Aprovisionamiento: El proceso de crear identidades, definir sus privilegios de acceso y añadirlos al repositorio de identidades.

* Autentificación basada en riesgo (RBA): La RBA ajusta dinámicamente los requisitos basados en la situación del usuario cuando intenta la autentificación. Por ejemplo, cuando los usuarios intentan autentificarse desde una locación geográfica o dirección IP que no ha estado asociada a ellos, dichos usuarios podrían enfrentar requisitos adicionales de autentificación.

* Principio de seguridad: Una identidad digital con una o más credenciales que puede ser autentificada y autorizada para interactuar con la red.

* Análisis del comportamiento del usuario (UBA): Las tecnologías UBA examinan patrones de comportamiento de usuario y automáticamente aplican algoritmos y análisis para detectar anomalías importantes que podrían indicar amenazas potenciales de seguridad. El UBA difiere de otras tecnologías que se centran en dispositivos de rastreo o eventos de seguridad. Asimismo, el análisis UBA a veces es agrupado con el análisis de comportamiento de entidad y se conoce como UEBA.