Las empresas enfrentan hoy el desafío de ofrecer acceso a diversos recursos de IT a empleados, socios de negocios y clientes, sin importar la ubicación geográfica de estos y manteniendo los sistemas seguros.

Sólo que, tal como describió Ricardo Gadea, en la presentación del tema: “Retos y oportunidades de la administración de identidades y derechos de acceso”, durante la Tercera Conferencia Latinoamericana de Seguridad de Información, celebrada en Panamá y organizada por ISACA, existen diversos problemas que deben resolverse para salir airosos de semejante reto.

Entre estos: la identidad del usuario es la suma de las partes almacenadas en múltiples aplicaciones y plataformas; la seguridad y el acceso se definen y administran en cada aplicación por separado; los clientes, empleados, proveedores, asesores y empresas suelen existir en listas, directorios o bases de datos diferentes.

Para hacer más complejo el problema, cada uno de los involucrados tiene sus propios desafíos. Las empresas, por ejemplo, se enfrentan a: la dificultad de requerir extender sus servicios fuera de los límites corporativos (trabajadores remotos, contratados offside, entre otros); incrementar la eficiencia en la cadena de valor; construir redes virtuales para soportar partners, proveedores y clientes; así como cumplir con normas y regulaciones (SOX, PCI, CobIT, ISO27001, etc).

Además, las compañías cuentan con información inconsistente de los datos de identidad de los usuarios y están enfrentando verdaderos problemas para implementar políticas centralizadas (existen enormes brechas entre lo que se pone en papel y la realidad).

Los administradores de sistemas, por su parte, deben lidiar con la administración de usuarios en diferentes sistemas operativos, aplicaciones, servicios Web, etc.
Otros puntos de conflicto para estos actores son: las diferentes reglas para crear las cuentas y password de los empleados; las diversas consolas de administración de usuarios y privilegios de acceso que suelen manejarse en las empresas, la duplicidad de esfuerzos por mala planeación y la suboptimización de los recursos especializados.

En cuanto a los usuarios, estos generalmente se quejan de tener una experiencia compleja y frustrante al intentar acceder a los recursos de IT de sus empresas por tener que recordar varios nombres de usuario y contraseñas cuando quieren utilizar las distintas aplicaciones tecnológicas o por el exhaustivo proceso de autenticarse múltiples veces y las diferentes interfaces para cambio de password.

Respuestas digitales

Una alternativa para solucionar estos conflictos y ofrecer acceso seguro a empleados, socios de negocios y clientes es avanzar hacia la administración efectiva de identidades digitales y derechos de acceso.

Pero, ¿qué es la identidad digital? Tal como explicó Ricardo Gadea, durante la mencionada conferencia, no es otra cosa más que el conjunto de riesgos propios que caracterizan a un individuo en un medio de transmisión digital y se define en base a un conjunto de atributos.

Aunque conviene aclarar que la identidad digital no sólo se refiere a personas, también puede extenderse a recursos, servicios, entidades organizacionales, etc.

Los atributos que definen la identidad son: quién y qué es (usuario, estación de trabajo, aplicación, impresora, servidor). Si se trata de un empleado, cuál es su código de empleado, nombre, apellido, etc. Si es un computador, cuál es su dirección IP, ubicación, serial, etc.

Otros atributos más a considerar son: ¿dónde puede ir? (A los sistemas de archivos, impresoras, aplicaciones, Internet, localidad, etc), ¿qué puede hacer? (derechos, permisos y políticas), ¿cómo se autentica? (usuario y contraseña, PKI, token, huella digital, otros) y ¿quién puede usar esto? (relación entre identidades).

La administración de identidades, por su parte, puede definirse como una solución que combina estrategia, procesos, políticas y tecnologías para proporcionar acceso a los recursos e información a empleados, canales, socios, clientes y proveedores; basándose en reglas de negocio asociadas con roles y perfiles y de una manera segura y continua.

Hasta ahora, el principal motivador de las empresas para invertir en una solución de este tipo es el cumplimiento con regulaciones, pero se espera que con el tiempo se tome verdadera conciencia sobre los beneficios que esto aporta a las estrategias de seguridad.

Por el momento, lo importante es que actualmente, afirmó Gadea, se están ejecutando en el mundo más de 1,200 proyectos de aprovisionamiento automático de usuarios, la mayoría de ellos en empresas de más de 5,000 empleados.

Ensamblando la arquitectura

Una solución de administración de identidades, definió Gadea, se basa en un modelo de capas, la primera es la de servicios, cuyo primer componente es el control de accesos. Éste concentra los requerimientos de autenticación y autorización hacia los sistemas, ya sea por aplicación Web o cliente-servidor. Puede proporcionar funcionalidades de single sing-on para un acceso simplificado a las aplicaciones, solicitando una única contraseña de acceso.

El segundo componente de la capa de servicios es la autogestión de passwords, que permite delegar tareas de administración de contraseña en el usuario final, sin intervención de la Mesa de ayuda, por ejemplo, para recuperar contraseñas utilizando palabras claves o sistemas de desafío-respuesta.

Como tercer elemento se encuentra la interfaz de aprovisionamiento, que se encarga del mantenimiento integral de las identidades dentro de las aplicaciones, pero también de proveer los servicios de cuentas y permisos para las diferentes aplicaciones y recursos.

Workflow es el cuarto de la lista, es un sistema integrado con la capa de aprovisionamiento de identidades y está encargado de administrar el proceso de autorización para generar cuentas en las aplicaciones, validando que toda solicitud de acceso cuente con las aprobaciones y el flujo establecido en los procesos de ABM de usuarios.

Las páginas blancas, quinto componente, son aplicaciones Web que se integran al directorio maestro de identidades para visualizar toda la información de derechos y accesos.

Finalmente, el repositorio de auditoría lleva la función de almacenar las transacciones asociadas a las identidades para su posterior análisis por parte de los responsables de seguridad.

Mientras que en el siguiente nivel se encuentra el servicio de directorios, una base de datos especializada o un catálogo de información de: personas, dispositivos y otros recursos. Las funciones típicas que ofrece son: identidad (personas, servicios y dispositivos); seguridad (autenticación y control de acceso) y relaciones (grupos y roles).

Conviene aclarar en este punto, como lo precisó Gadea en su conferencia, que los directorios y bases de datos no son lo mismo, más bien se complementan. Los primeros son mejores para leer que para escribir, los datos que manejan son relativamente estáticos y la arquitectura jerárquica. Además incorporan esquemas estándares que se pueden extender, replicar y distribuir y utilizan el protocolo LDAP.

En cambio las bases de datos están diseñadas para almacenar repositorios de datos históricos de propósito general, proporcionan un esquema que no es estándar, la administración y el almacenamiento es centralizado y tienen un modelo de datos relacional, su protocolo es el ODBC o JDBC.

Dentro del servicio de directorios se encuentra también lo que se conoce como: metadirectorio, un componente adicional que consolida y almacena información de los otros directorios en la red. Sus funciones son: interactuar con otras fuentes de identidad, contener y mapear información entre diferentes directorios, sincronizar información entre diferentes directorios en tiempo real y ayudar a asegurar que los datos de identidad son consistentes y precisos en toda la empresa.

Finalmente, dentro de la arquitectura de esta solución de administración, se ubica la capa de integración con componentes como: fuentes autorizadas, mapeo de Schema, transformadores de datos, mapeo de objetos y transformación de eventos, todo entre el metadirectorio y las aplicaciones.

El verdadero punto, el cambio organizacional

Claro que administrar bien la identidad y proteger los recursos de la empresa de accesos no autorizados requiere implementar una administración basada en roles (RBAC, por sus siglas en inglés).

Esto, precisó Gadea, no es más que el uso de los datos de identidad para asignar roles a empleados, los cuales se utilizan para permitir el acceso a los recursos de la empresa, con base en las responsabilidades del trabajo que realizan.

Las identidades son miembros de roles, los roles son especificaciones de permisos y los permisos proporcionan acceso a los recursos.

Por supuesto, hay una serie de metodologías y mejores prácticas que giran alrededor de la implementación exitosa de un esquema de administración de identidades y derechos de acceso.
Una es lo que se conoce como: proyectos IAM, que involucra políticas y governance (marco normativo, objetivos del negocio), tecnología (productos y metodología), capacidad de implementación (presupuesto, gerenciamiento de proyecto, personal entrenado y con experiencia, y, en el centro de todo, la administración de identidades.

Tal proyecto se desarrolla en cinco etapas. Reconocimiento: de objetivos del negocio y metas tácticas, oportunidades de innovación y justificación de valor para el negocio. Análisis de requerimientos: modelo de procesos de negocio, presentes y futuros; mapeo de datos, inventario de la infraestructura IT, etc.

Diseño: flujos de trabajo del negocio, flujo de trabajo de los sistemas, diseño de especificaciones técnicas de los componentes, sincronización de datos y validación y desarrollo del plan. Implementación: de las políticas y procedimientos de negocio, ajustes y pruebas piloto, documentación, etc. Finalmente, mantenimiento y soporte.
Si se siguen estas etapas y se consideran los elementos mencionados como parte de la solución de administración de identidades y control de accesos, las empresas están listas para enfrentar el desafío de ofrecer acceso a sus recursos, sin demeritar su seguridad.