El gobierno de identidades tiene como propósito la definición y correcta ejecución de las políticas y procesos críticos relacionados con la gestión de accesos e identidades digitales dentro de una organización.
Con ese objetivo, es necesario supervisar una serie de métricas con las que comprobar la eficacia de cualquier solución de gestión de identidades que hayas implantado en tu organización.
No obstante, es posible que aun no se haya planteado formalmente la implementación de este tipo de proyectos en tu organización. O quizá se haya barajado en alguna ocasión, sin que haya habido una decisión en firme. Pero no por ello es menos importante seguir una serie de puntos de control que ofrezcan una perspectiva acerca de vuestro nivel de madurez en cuanto a la gestión de identidades en la organización. Contar con esta información te permitirá identificar los puntos débiles en términos de seguridad, así como te dará indicios acerca de las necesidades existentes y de la urgencia de las mismas.
Es posible que los resultados te den alguna que otra sorpresa desagradable. Es algo habitual en organizaciones que aun no han tomado conciencia de la importancia de este ámbito para la productividad y continuidad del negocio. Detectar los puntos débiles y emprender acciones que mitiguen sus consecuencias es la mejor opción.
Esta es una de las problemáticas más comunes relacionadas con el buen gobierno de las identidades en cualquier organización. El número de veces que los usuarios se ven obligados a resetear sus passwords, así como el número de veces que se produce un bloqueo de una cuenta por alcance del máximo de intentos de acceso fallidos, o las llamadas al departamento de soporte IT en relación con problemas con las cuentas son indicios de la eficiencia de la política de credenciales dentro de una empresa.
Por lo general, una buena gestión de identidades debería posibilitar que esta métrica fuese reduciéndose progresivamente. Los únicos momentos en los que tendría sentido un repunte de este tipo de incidencias serían los relacionados con eventos o proyectos aislados que requieran del aprovisionamiento temporal de nuevas cuentas.
En muchas ocasiones, los empleados tienen que hacer uso de varias cuentas y recordar múltiples contraseñas para poder acceder a las aplicaciones necesarias para el desempeño de su trabajo. De hecho, ésa es una de las principales causas por las que los usuarios terminan violando las políticas de gestión identidades y generando graves riesgos para la seguridad de la información. Este tipo de violaciones pueden consistir en el mero hecho de apuntar las contraseñas en un post-it junto a su escritorio o guardarlas en sus dispositivos móviles sin la debida protección. Esta circunstancia es la principal causa de demanda de implantación de soluciones SSO (Single Sign-On).
Anteriormente, he hablado extensamente acerca de los peligros de las cuentas huérfanas. Los cambios de cargo de un empleado, así como su marcha de la compañía deben ser cuidadosamente supervisados, de manera que se lleve a cabo el desprovisionamiento de aquellas cuentas que ya no resulten necesarias y la revocación de los accesos.
Esto es especialmente delicado en el caso de cuentas privilegiadas, cuyo uso indebido pueda suponer una brecha de seguridad de la información crítica de la compañía.
El aumento de personal involucrado en tu organización debería ir ligado al aprovisionamiento de nuevas cuentas de usuario. Ahora bien, el incremento de ambas cifras debería ser parejo.
Así, lo mismo aplica a nuevas cuentas de clientes, proveedores, etc., cuando desde la organización se les proporciona accesos a los diferentes sistemas: desde CRMs, ERPs, portales, paneles de control, intranets u otros.
En caso de haber discrepancias, estaríamos ante uno de los indicadores propios de ineficiencia en la gestión de identidades.
En realidad, se trata de dos métricas distintas, dado que afectan a dos ámbitos distintos de la gestión de identidades y tienen, por tanto, consecuencias diferentes.
En el primer caso, un retraso en el tiempo de ejecución implica la consiguiente pérdida de productividad debido a la imposibilidad del usuario de acceder a las aplicaciones necesarias para realizar su tarea profesional.
En el segundo caso, sin embargo, estaríamos hablando de un incremento del riesgo de que se produzca una brecha de seguridad durante el tiempo que una cuenta siga operativa de forma innecesaria.
Lejos quedan los tiempos en que la gestión de identidades se limitaba a supervisar el acceso de los usuarios a la red corporativa mediante los dispositivos propios de la organización. El advenimiento de los dispositivos móviles -y, más concretamente, de las modalidades BYOD- ha traído consigo una multiplicación sin precedentes de los puntos de acceso a la información corporativa, así como de la compartición de la misma a través de diferentes mecanismos, ajenos de todo control del departamento de IT.
A menudo, las organizaciones tan sólo tienen una visión parcial del número de dispositivos y aplicaciones que sus empleados utilizan en el desempeño de su trabajo, lo cual supone un claro incremento de la vulnerabilidad. Eliminar esta falta de control es fundamental para limitar los riesgos de una brecha de seguridad.
Éste es un elemento crítico que afecta a las organizaciones con un mayor entramado organizativo.
Determinados procesos de aprobación pueden suponer cuellos de botella para la productividad de una organización, especialmente si son debidos a la involucración de varias personas cuyos plazos de decisión no están adecuadamente estandarizados. Contar con reglas de aprobación ágiles así como con mecanismos de aplicación sencillos ayudará a superar este handicap notablemente.
En ocasiones, es posible que la plataforma o solución de gestión de identidades no logre vincular una identidad concreta con una cuenta presente en determinado sistema. Esto suele deberse a errores en la entrada manual de datos o la creación de cuentas mediante puertas traseras, en cuyo caso estaríamos hablando de una seria vulneración de la seguridad corporativa.
Este tipo de excepciones a la reconciliación deberían minimizarse lo máximo posible, de manera que cualquier repunte en las mismas suponga un claro indicador de un mal funcionamiento en el gobierno de identidad de tu empresa.
En conclusión:
Gracias al seguimiento de este tipo de métricas tu organización estará en disposición de comprobar el status de vuestras políticas de gobierno de identidad. En el caso de que se cuente actualmente con una solución de gestión de identidades, podréis comprobar la eficacia y puntos de optimización de la solución específica que hayáis implementado en vuestra organización.
Si estás interesado en conocer más acerca del nivel de madurez de tu organización en gestión de identidades, o quieres más información acerca de nuestra solución, no dudes en ponerte en contacto conmigo.
Descárgate el WhitePaper Cómo preparar tu organización para una solución de Gestión de Identidades.