¿Qué es IAM? Explicación de la gestión de identidades y accesos

[30/04/2021] La gestión de la identidad y el acceso (IAM, por sus siglas en inglés) en la TI empresarial se trata de definir y gestionar los roles y los privilegios de acceso de las entidades de red individuales (usuarios y dispositivos) a una variedad de aplicaciones en la nube y locales. Los usuarios incluyen clientes, socios y empleados; los dispositivos incluyen computadoras, smartphones, routers, servidores, controladores y sensores. El objetivo principal de los sistemas IAM es una identidad digital por individuo o artículo. Una vez que se ha establecido esa identidad digital, se debe mantener, modificar y monitorear a lo largo del ciclo de vida de acceso de cada usuario o dispositivo.

Por lo tanto, el objetivo general de la administración de identidades es otorgar acceso a los activos de la empresa a los que los usuarios y dispositivos tienen derechos en un contexto dado. Eso incluye la incorporación de usuarios y sistemas, las autorizaciones de permisos y la baja de usuarios y dispositivos de manera oportuna.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Sin embargo, parte del problema son los usuarios y su relación de amor/odio con sus contraseñas. Todos tenemos demasiadas contraseñas, por lo que la tentación de compartirlas entre inicios de sesión y las implicaciones de seguridad resultantes son un problema. Una encuesta de Forrester, realizada en agosto del 2020, encontró que el 53% de los trabajadores de la información almacenan sus contraseñas de forma insegura. Otra encuesta de marzo del 2021 a consumidores de Estados Unidos, realizada por Transmit Security, encontró que más de la mitad de ellos dejaron de usar una página web porque su proceso de inicio de sesión era demasiado complejo. Es evidente que aún queda trabajo por hacer en este ámbito.

Los sistemas IAM brindan a los administradores las herramientas y tecnologías para cambiar el rol de un usuario, realizar un seguimiento de las actividades del usuario, crear informes sobre esas actividades y hacer cumplir las políticas de manera continua. Estos sistemas están diseñados para proporcionar un medio de administrar el acceso de los usuarios en toda la empresa y garantizar el cumplimiento de las políticas corporativas y las regulaciones gubernamentales.

"La identidad se ha vuelto más importante desde que la COVID ha hecho que los límites físicos sean irrelevantes”, afirma Andras Cse, vicepresidente y analista de IAM de Forrester Research. Más empresas se han orientado hacia los usuarios remotos y también han brindado a los usuarios externos a la organización un mayor acceso a sus sistemas internos. "Con la aceleración de la transformación digital, la identidad se ha convertido en la piedra angular de la adquisición, gestión y retención de clientes”, afirma. La interrupción causada por COVID ha puesto de manifiesto debilidades en la arquitectura de IAM de muchas organizaciones y ha acelerado enormemente la evolución de IAM, según el último informe de la Guía de planificación del 2021 de Gartner para IAM. "La economía ahora depende de la IAM”.

Esta puede ser la razón por la que ha aumentado el gasto en IAM. Según un estudio patrocinado por Ping Identity en marzo del 2021, realizado a más de 1.300 ejecutivos, alrededor del "70% de los ejecutivos de negocios globales planean aumentar el gasto en IAM para su fuerza laboral durante los próximos 12 meses, ya que la continuación del trabajo remoto aumenta la demanda en los equipos de seguridad y TI”. También encontraron que más de la mitad de las empresas encuestadas han invertido en nuevos productos IAM desde que comenzó la pandemia.

Cómo funciona la IAM

En años anteriores, un sistema de gestión de la identidad típico constaba de cuatro elementos básicos:

• Un directorio o repositorio de identidad de los datos personales que el sistema utiliza para definir usuarios individuales.
• Un conjunto de herramientas para agregar, modificar y eliminar esos datos (relacionados con la gestión del ciclo de vida del acceso).
• Un sistema que regula y hace cumplir el acceso de los usuarios.
• Un sistema de auditoría y presentación de informes.

Tradicionalmente, la regulación del acceso de los usuarios ha implicado métodos de autenticación para verificar la identidad de un usuario o dispositivo, incluidas contraseñas, certificados digitales, tokens de hardware y software de smartphones. Estas últimas formas de tokens surgieron por primera vez en el 2005, y ahora se pueden encontrar en smartphones iOS y Android con aplicaciones de Google, Microsoft, Cisco/Duo, Authy y muchos otros proveedores de IAM. Los enfoques más modernos incluyen elementos biométricos y soporte para Fast Identity Alliance (FIDO).

En los complejos ambientes informáticos de hoy en día, junto con las mayores amenazas de seguridad, un nombre de usuario y una contraseña seguros ya no son suficientes. El cambio más notable ha sido la incorporación de la autenticación de factor múltiple (MFA) en los productos para IAM. Hoy en día, los sistemas de gestión de identidad a menudo incorporan elementos de biometría, aprendizaje de máquina e inteligencia artificial, y autenticación basada en riesgos.

El rol de la IAM en el stack de seguridad de la organización

La IAM desempeña una serie de roles críticos en varios lugares del "stack” de seguridad de una organización, pero a menudo no se piensa de esa manera porque estos roles se distribuyen en diferentes grupos, como equipos de desarrollo, infraestructura de TI, gerentes de operaciones, departamento legal y así sucesivamente. "Los equipos de IAM ya no toman todas las decisiones relacionadas con la IAM”, afirmó Gartner en su guía de planificación.

En primer lugar, las técnicas de IAM son solo el inicio de la gestión de una red segura. Exigen que las empresas definan sus políticas de acceso, específicamente delineando quién tiene acceso a qué recursos de datos y aplicaciones y en qué condiciones tienen acceso.

Muchas empresas han evolucionado sus políticas de control de acceso a lo largo del tiempo y el resultado es que tienen reglas y definiciones de roles superpuestas que, por lo general, están desactualizadas y, en algunos casos, se provisionan incorrectamente. "Usted tiene que limpiar sus identidades y revocar todos los privilegios adicionales que los usuarios no necesitan para no migrar un desastre”, afirma Cser. "Esto significa dedicar más tiempo al diseño inicial”.

En segundo lugar, la IAM tiene que conectarse con todas las partes del negocio, como la integración con analítica, inteligencia empresarial, portales de clientes y socios, así como con las soluciones de marketing. "De lo contrario, la IAM se vuelve irrelevante rápidamente”, afirma Cser. Gartner recomienda que la IAM adopte el mismo modelo de entrega de valor continuo que muchos equipos de DevOps en la nube usan para producir su software. Sin embargo, no es así como muchos departamentos de TI empresariales se han acercado a la IAM en el pasado.

A continuación, la IAM va más allá de proteger a los usuarios para incluir la autenticación de entidades no humanas como claves de aplicación, APIs y secretos, agentes y contenedores. Gartner recomienda convertir estos elementos en "ciudadanos de primera clase”, y afirma que deben gestionarse adecuadamente con equipos multifuncionales para reunir a todas las partes interesadas. Esta es un área en la que la IAM está evolucionando rápidamente, como lo demuestra la adquisición de Auth0, por parte de Okta, a principios de este año.

Por último, la IAM debe estar estrechamente vinculada con la autenticación adaptativa y las herramientas MFA. La autenticación solía considerarse como una decisión binaria de ir/no ir en el momento del inicio de sesión, de la misma manera que se inicia sesión en una VPN. Ese es el pensamiento del viejo mundo. La IAM actual necesita más granularidad para evitar la apropiación de cuentas y los sutiles ataques de phishing. Gartner recomienda implementar una MFA adaptable para todos los usuarios y tener un modelo de autorización en evolución que permita el acceso remoto de manera segura. Esto aumenta la confianza y mejora la usabilidad general y, como afirma la guía de planificación de Gartner, "el acceso adaptativo es solo el comienzo de soluciones de autenticación más inteligentes. La mayoría de estos productos no tienen detección de fraude basada en colecciones biométricas pasivas ni soportan firmas digitales ni orquestaciones de identidad. Estas protecciones son necesarias gracias a nuevos y más sofisticados métodos de ataque de adquisición de cuentas”.

Qué significa la IAM para el cumplimiento

Los sistemas de IAM pueden reforzar el cumplimiento normativo al proporcionar las herramientas para implementar políticas integrales de seguridad, auditoría y acceso. Muchos sistemas ahora ofrecen funciones diseñadas para garantizar que una organización cumpla con las normas.

Muchos gobiernos exigen que las empresas se preocupen por la gestión de identidades. Las regulaciones como Sarbanes-Oxley, Gramm-Leach-Bliley y HIPAA responsabilizan a las organizaciones de controlar el acceso a la información de los clientes y empleados. Los sistemas de administración de identidad pueden ayudar a las organizaciones a cumplir con esas regulaciones.

El Reglamento general de protección de datos (GDPR, por sus siglas en inglés) requiere fuertes controles de seguridad y acceso de usuarios. La GDPR exige que las organizaciones protejan los datos personales y la privacidad de los ciudadanos y las empresas de la Unión Europea. Varios estados de Estados Unidos han promulgado leyes de privacidad similares. Cumplir con estas leyes significa que debe automatizar muchos aspectos de la IAM y asegurarse de que sus flujos de trabajo, procesos, derechos de acceso y aplicaciones sigan cumpliendo.

Estándares abiertos de IAM

Las buenas y malas noticias sobre IAM es que existen numerosos estándares abiertos para rastrear y aprovechar. Estos estándares son un gran punto de partida, pero como menciona Gartner en su guía de planificación, las organizaciones deben ir más allá de adoptar estándares abiertos particulares y tener más matices sobre cómo adoptar estos estándares y ser más efectivos en la gestión del acceso. "Por ejemplo, el equipo de IAM debe desarrollar documentos de mejores prácticas sobre cómo estos estándares se integran y utilizan en todas las aplicaciones, dispositivos y usuarios”, mencionaba la guía.

Los mensajes de autorización entre socios de confianza a menudo se envían mediante el lenguaje de marcado de aserción de seguridad (SAML). Esta especificación abierta define un marco XML para intercambiar afirmaciones de seguridad entre autoridades de seguridad. SAML logra la interoperabilidad entre diferentes plataformas de proveedores que brindan servicios de autenticación y autorización. Sin embargo, SAML no es el único protocolo de identidad de estándar abierto. Otros incluyen OpenID, Web Services Trust (WS-Trust) y WS-Federation (que cuenta con el respaldo corporativo de Microsoft e IBM), y OAuth, que permite que la información de la cuenta de un usuario sea utilizada por servicios de terceros como Facebook sin exponer la contraseña.

El mayor cambio en los estándares de identidad desde el 2013 ha sido la adopción de FIDO entre una variedad de proveedores de IAM, fabricantes de dispositivos y sistemas operativos. Proporciona enfoques para eliminar las contraseñas por completo, utilizando una variedad de claves de seguridad de hardware, métodos biométricos y perfiles de smartphones.

¿Cuáles son los desafíos y riesgos de implementar la IAM?

A pesar de la presencia de la IAM arriba y abajo del stack de seguridad de una organización, no cubre todo. Un problema es cómo evolucionan las políticas de "acceso por derecho de nacimiento” de los usuarios. Estos son los derechos de acceso que se otorgan a los nuevos usuarios cuando comienzan a trabajar en una empresa. Las opciones sobre cómo se otorga este acceso a los nuevos empleados, contratistas y socios afectan a muchos departamentos diferentes, y "delegar esto en las personas y los gerentes adecuados se convierte en un problema”, afirma Cser. "Los sistemas de IAM deberían poder detectar cambios en los derechos de acceso automáticamente, pero a menudo no lo hacen”.

Este nivel de automatización se vuelve importante, especialmente si consideramos la incorporación y salida automatizada de usuarios, el autoservicio del usuario y la prueba continua de cumplimiento, escribió Steve Brasen, director de investigación de EMA, en una entrada de blog. No es posible ajustar manualmente los privilegios y controles de acceso para cientos o miles de usuarios. Por ejemplo, no tener procesos de "salida” automatizados (y auditarlos periódicamente) casi garantizará que los derechos de acceso innecesarios no se hayan revocado por completo.

"No puede hacer esto con hojas de cálculo de Excel u otros métodos manuales”, afirma Cser, "pero la complejidad subyacente de la incorporación de usuarios no ha mejorado con el tiempo, incluso cuando los productos de IAM han mejorado en el manejo de flujos de trabajo y procesos comerciales”.

En segundo lugar, si bien las redes de confianza cero están de moda en este momento, el problema es poder monitorear continuamente estas relaciones de confianza, a medida que se agregan nuevas aplicaciones a la infraestructura de una corporación. "Necesitamos observar lo que hacen las personas después de iniciar sesión y analizar las líneas de base del comportamiento. Existen muchas oportunidades de falsos positivos, como si un usuario se rompiera el dedo”, que pueden estropear estas relaciones de confianza, afirma Cser. 

A continuación, la relación de IAM y el inicio de sesión único (SSO, por sus siglas en inglés) deben organizarse cuidadosamente. Según Gartner, "el objetivo es llegar a un sistema SSO integrado por grupo de usuarios que pueda mediar en el acceso a todas las generaciones de aplicaciones que utiliza la organización. Tenga en cuenta que esto no significa, necesariamente, usar una herramienta de SSO en toda la organización”.

A continuación, ha comenzado la gran unificación de IAM con IAM centrada en el cliente, como lo demuestra la adquisición de Auth0 por parte de Okta. Siempre que los profesionales de la seguridad los vean como dos esfuerzos separados, IAM siempre se pondrá al día.

A continuación, los equipos de IAM deben estar familiarizados con varias arquitecturas de nube. Vea ejemplos de las mejores prácticas de seguridad de IAM para Amazon Web Services (AWS), Google Cloud Platform y Microsoft Azure. La integración de estas prácticas con la red de una organización y la infraestructura de aplicaciones será un desafío y cerrar las brechas de seguridad entre estos proveedores de nube no será fácil.

Por último, los administradores de TI deben incorporar la gestión de identidades desde el principio con cualquier aplicación nueva. Cser sugiere seleccionar cuidadosamente una aplicación de destino que se pueda usar como plantilla para probar cualquier IAM y gobernanza de la identidad, para luego expandirla a otras aplicaciones en toda la empresa.

¿Qué términos de la IAM debo conocer?

Las palabras de moda van y vienen, pero vale la pena conocer algunos términos clave en el ámbito de la gestión de identidades:

• Gestión de acceso: La gestión de acceso se refiere a los procesos y tecnologías utilizados para controlar y monitorear el acceso a la red. Las funciones de administración de acceso, como autenticación, autorización, auditoría de confianza y seguridad son parte integral de los principales sistemas de administración de identificación para sistemas locales y basados en la nube.
• Active Directory (AD): Microsoft desarrolló AD como un servicio de directorio de identidad de usuario para redes de dominio de Windows. Aunque es propietario, AD está incluido en el sistema operativo Windows Server y, por lo tanto, se implementa ampliamente.
• Autenticación biométrica: Un proceso de seguridad para autenticar usuarios que se basa en las características únicas del usuario. Las tecnologías de autenticación biométrica incluyen sensores de huellas dactilares, escaneo de iris y retina, así como reconocimiento facial.
• Control de acceso a la red sensible al contexto: El control de acceso a la red sensible al contexto es un método basado en políticas para otorgar acceso a los recursos de la red, de acuerdo con el contexto actual del usuario que busca el acceso. Por ejemplo, se bloqueará a un usuario que intente autenticarse desde una dirección IP que no se haya incluido en la lista blanca.
• Credencial: Un identificador empleado por el usuario para obtener acceso a una red, como la contraseña del usuario, el certificado de infraestructura de clave pública (PKI, por sus siglas e inglés) o información biométrica (huella digital, escaneo de iris).
• Desprovisionamiento: El proceso de eliminar una identidad de un repositorio de ID y cancelar los privilegios de acceso.
• Identidad digital: El propio ID, incluyendo la descripción del usuario y sus privilegios de acceso. (Un terminal, como una laptop o un smartphone, puede tener su propia identidad digital).
• Titularidad: El conjunto de atributos que especifican los derechos y privilegios de acceso de un director de seguridad autenticado.
• Identidad como servicio (IDaaS, por sus siglas en inglés): IDaaS basado en la nube ofrece funcionalidad de administración de identidad y acceso a los sistemas de una organización que residen on premises y/o en la nube.
• Gestión del ciclo de vida de la identidad: Similar a la gestión del ciclo de vida del acceso, el término se refiere al conjunto completo de procesos y tecnologías para mantener y actualizar las identidades digitales. La gestión del ciclo de vida de la identidad incluye la sincronización, el abastecimiento, el desprovisionamiento de la identidad y la gestión continua de los atributos, credenciales y derechos de los usuarios.
• Sincronización de identidades: El proceso de asegurar que múltiples almacenes de identidades, por ejemplo, luego de una adquisición, contengan datos consistentes para una identificación digital determinada.
• Protocolo ligero de acceso a directorios (LDAP, por sus siglas en inglés): LDAP es un protocolo abierto basado en estándares para administrar y acceder a un servicio de directorio distribuido, como AD de Microsoft.
• Autenticación de múltiples factores (MFA, por sus siglas en inglés): MFA es cuando se requiere más que un solo factor, como un nombre de usuario y contraseña, para la autenticación en una red o sistema. También se requiere al menos un paso adicional, como recibir un código enviado por SMS a un smartphone, insertar una tarjeta inteligente o una memoria USB, o satisfacer un requisito de autenticación biométrica, como un escaneo de huellas dactilares.
• Restablecimiento de contraseña: En este contexto, es una función de un sistema de administración de ID que les permite a los usuarios restablecer sus propias contraseñas, liberando a los administradores del trabajo y cortando las llamadas de soporte. El usuario suele acceder a la aplicación de reinicio a través de un navegador. La aplicación solicita una palabra secreta o una serie de preguntas para verificar la identidad del usuario.
• Gestión de cuentas privilegiadas: Este término se refiere a la gestión y auditoría de cuentas y acceso a datos en función de los privilegios del usuario. En términos generales, debido a su trabajo o función, a un usuario privilegiado se les ha otorgado acceso administrativo a los sistemas. Un usuario privilegiado, por ejemplo, podría configurar y eliminar cuentas y roles de usuario. Provisionamiento: el proceso de crear identidades, definir sus privilegios de acceso y agregarlos a un repositorio de ID.
• Autenticación basada en riesgos (RBA, por sus siglas en inglés): La autenticación basada en riesgos ajusta dinámicamente los requisitos de autenticación en función de la situación del usuario en el momento en que se intenta la autenticación. Por ejemplo, cuando los usuarios intentan autenticarse desde una ubicación geográfica o una dirección IP no asociada previamente con ellos, esos usuarios pueden enfrentar requisitos de autenticación adicionales.
• Director de seguridad: Una identidad digital con una o más credenciales que se pueden autenticar y autorizar para interactuar con la red.
• Inicio de sesión único (SSO, por sus siglas en inglés): Un tipo de control de acceso para varios sistemas relacionados pero separados. Con un solo nombre de usuario y contraseña, un usuario puede acceder a un sistema o sistemas sin usar diferentes credenciales.
• Analítica del comportamiento del usuario (UBA, por sus siglas en inglés): Las tecnologías UBA examinan los patrones de comportamiento del usuario y aplican automáticamente algoritmos y análisis para detectar anomalías importantes que pueden indicar posibles amenazas a la seguridad. UBA se diferencia de otras tecnologías de seguridad, que se centran en el seguimiento de dispositivos o eventos de seguridad. En algunos casos, UBA también se agrupa con analítica de comportamiento de entidades y se conoce como UEBA. 

Basado en el artículo de David Strom (CSO) y editado por CIO Perú

Puede ver también:

• 3 buenas prácticas para proteger los datos confidenciales en la nube
• Qué es la escalada de privilegios
• 10 métricas relevantes de gestión de la identidad
• Los mejores controles de seguridad en la nube
• Cómo SSO mejora la seguridad y la experiencia del usuario
• 8 pasos para proteger las credenciales de acceso
• 5 mejores prácticas para asegurar los sistemas SSO