Gestión de accesos e identidades en la nube: retos y soluciones
La implantación de las tecnologías basadas en infraestructura cloud en los entornos corporativos es hoy una realidad. Las numerosas ventajas que presenta este tipo de tecnología en términos de ahorro de costes en infraestructuras IT y de acceso ubicuo, han catapultado la implantación de estos sistemas. De esa forma, las convencionales opciones on-premise están dando paso a soluciones SaaS (Software as a Service) de base cloud, que cubren aspectos tales como el almacenamiento de datos, el trabajo remoto y colaborativo, o una gran variedad de aplicaciones departamentales.
Con todo ello, han surgido nuevas oportunidades: desde el desarrollo de nuevos modelos de negocio, a la adopción de la movilidad en entornos profesionales; facilitando tendencias como el teletrabajo o el BYOD (Bring Your Own Device). Algo que ha dado lugar al acceso, uso y tratamiento de la información desde cualquier lugar, y desde múltiples dispositivos. Solo en España según el Instituto Nacional de Estadística se ha pasado del 16% (2009) al 21,8% de empresas que ya cuentan con programas de teletrabajo implantados en su día a día permitiendo aumentar la productividad de sus empleados entre un 5 y un 25%, según el INE, y hasta un 20% si nos atenemos a las estimaciones del IMF Business School.
[Lectura recomendada: El BYOD ha llegado a tu organización para quedarse.]
En definitiva, la tecnología en la nube nos ofrece unas notables ventajas en cuanto a escalabilidad, reducción de costes e incremento de la productividad. No obstante, también plantea una serie de riesgos y retos en términos de seguridad. Algo que, si bien no debe ser tomado a la ligera, tampoco debería convertirse en un limitador en el uso y explotación de esta tecnología.
Anteriormente, ya me he referido a las problemáticas de la utilización de tecnologías basabas en nube pública. Puedes ampliar la información aquí: Riesgos y limitaciones de la utilización de la nube pública en tu organización
En esta ocasión, voy a profundizar en un ámbito que es determinante en lo que respecta la seguridad en el uso de tecnología y aplicaciones para el entorno profesional basadas en cloud: la gestión de accesos e identidades. Además, explicaré las aportaciones de la tecnología IAM (Identity and Access Management) en este importante ámbito para las organizaciones.
Si no se adopta el enfoque adecuado, la nube presenta grandes vulnerabilidades en lo que respecta a la accesibilidad de los sistemas, aplicaciones e información sostenida en este tipo de tecnologías. Porque este tipo de tecnologías y sistemas son blanco tanto de piratas informáticos, como de usuarios internos malintencionados; los cuales tratan de hacerse con el control de los sistemas, así de información sensible, cuya sustracción o pérdida puede suponer un grave perjuicio para la continuidad de la organización.
En este contexto, existe una creciente preocupación al respecto de la gestión de la información corporativa y del control del acceso al ecosistema IT de la organización. Una situación que hace más necesario que nunca la adopción de soluciones globales de IAM que normalicen este importante ámbito.
Riesgos relacionados con la Gestión de Accesos e Identidades
Incremento de usuarios, identidades y credenciales
El uso de la nube en entornos profesionales supone el acceso por parte de los usuarios a múltiples aplicaciones para el desempeño de su trabajo. Algo que suele llevar aparejado una multiplicación del número de usuarios por aplicación/sistema, así como de sus correspondientes credenciales de acceso.
En ocasiones, una mala praxis en la gestión de accesos e identidades de los usuarios que conforman una organización pone en grave peligro la seguridad de su información.
Aportaciones IAM:
La implantación de una solución integral de IAM garantiza una normalización de las identidades en la organización, así como de los accesos a la información corporativa conforme a roles y perfiles predefinidos. Además, este tipo de herramientas permiten establecer flujos de validación de identidades y accesos (lo cual facilita esta importante tarea) al tiempo que se respetan y garantizan las Políticas de Seguridad Corporativa de la organización.
Deficiente política y malas prácticas en el uso de credenciales
Tomando como referencia el punto anterior, cabe destacar los desafíos presentes relacionados con la gestión de credenciales en las organizaciones. Un estudio de Verizon (Verizon 2015 Data Breach Investigations Report) muestra que el 95% de los incidentes de seguridad implican robo de credenciales de los dispositivos para poder acceder posteriormente a los servicios web corporativos.
Seguro que no eres ajeno a prácticas tales como la conservación de contraseñas en un post-it o soporte similar, el envío de credenciales por la red, la utilización de las mismas credenciales entre usuarios y, por supuesto, la creación de contraseñas inseguras.
Todo ello responde a una deficiente política en la gestión de credenciales, pero también al hecho de no disponer de una tecnología que determine un uso más racional de las mismas.
Aportaciones IAM:
Las soluciones IAM integran funcionalidades que garantizan unas políticas de contraseñas apropiadas en función de los niveles de criticidad del ecosistema corporativo. Además, este tipo de soluciones aportan un valor en la gestión del aprovisionamiento de los accesos, lo que permite tomar el control de los permisos de un usuario, en caso de que este haya sufrido el robo de sus credenciales.
No obstante, de entre todas las ventajas presentes, el inicio de sesión único (Single Sign-On) es, quizá, el que mayor aceptación tiene entre los usuarios, gracias a la simplificación del proceso de acceso. Algo que, por otro lado, evita en gran medida los incidentes relacionados con la gestión de credenciales.
Amenazas externas
Tengamos en cuenta que los servicios SaaS no están dentro de nuestro control corporativo como las ampliaciones On-premise, es decir son servicios fuera de nuestro control.
En ese sentido, no podemos ignorar que incluso los usuarios legítimos –tanto internos, como externos- suelen ser el eslabón más débil dentro de la cadena de seguridad. Las citadas malas prácticas en el uso de credenciales son gran parte del problema, el acceso remoto carente de medidas de seguridad es la otra mitad de la ecuación.
A esto se suman el conjunto de ataques y amenazas externas que afectan a la seguridad de la información cuando la gestión de accesos e identidades no se realiza eficientemente.
Aportaciones IAM:
Las soluciones de IAM incluyen toda una batería de funcionalidades destinadas a localizar e impedir los accesos de dudosa fiabilidad, como son: autenticación multifactor, atributos de geolocalización, de dispositivo, de verificación del sistema operativo, etc. Todo esto gracias a la centralización de un punto único de autenticación para todas esas aplicaciones tanto en la nube como on-premise.
Cuando éstas se combinan además con sistemas que ayudan a realizar un seguimiento y control de la información -como el que se consigue con la tecnología IRM (Information Rights Management ) -, el nivel de seguridad alcanza cotas más que notables.
Peligro de la presencia de cuentas huérfanas
Si no se mantiene un correcto control sobre la creación de cuentas y la provisión y desprovisión de usuarios, la modificación de su rol y perfil en la organización puede dar lugar a la acumulación de cuentas huérfanas. Algo que, aunque pueda parecer descabellado, es mucho más común de lo que se cree. En este sentido, te recomiendo la lectura del post: Cuentas huérfanas: Enemigo público de la Seguridad de la información.
Usuarios privilegiados
Es común que haya usuarios que requieran permisos especiales de acceso a información y/o sistemas críticos para la organización para cubrir unas necesidades concretas de su tarea productiva. Estos permisos pueden otorgarse en formato de cuenta privilegiada o de sesiones privilegiadas que requieren una vigilancia especial. Así mismo, la falta de control sobre el aprovisionamiento de cuentas y la lentitud en su desprovisionamiento, puede dar lugar a la concurrencia de un gran número de privilegios de acceso indebidos en manos de determinados usuarios.
Aportaciones IAM:
Las herramientas de IAM permiten un ágil aprovisionamiento de usuarios conforme estos varíen su relación con la organización, facilitando así la modificación o revocación de permisos de accesos a la información. De esta manera se eliminan drásticamente los peligros derivados de mantener unos permisos de acceso a los datos por parte de personal no autorizado.
Además, las soluciones de IAM incorporan un gran número de funcionalidades añadidas: control de los accesos en tiempo real, gestión de sesiones privilegiadas o PSM (Privileged Session Management), entre otros.
Puedes ampliar la información en este tipo de ámbitos en los siguientes posts:
Buenas prácticas para la gestión de cuentas privilegiadas: Consolidación de Identidades
Cómo despedir a un perfil de responsabilidad en IT y vivir para contarlo
El dilema de la seguridad y la productividad en el acceso a la información
Obviamente, la productividad de la tecnología basada en cloud está intrínsecamente ligada al hecho de que los usuarios de una organización puedan identificarse y acceder de manera ágil a los sistemas corporativos y a la información contenida en ellos. No obstante, también es necesario que los accesos al ecosistema corporativo estén normalizados conforme a una Política de Seguridad Corporativa que determine tanto los requerimientos, como los niveles de acceso a los sistemas en función del rol y perfil que cada usuario tenga en la organización.
Desgraciadamente, la práctica ha revelado que, si no se pone en marcha una solución de IAM eficaz, los problemas de seguridad se multiplican.
Problemas derivados de incidencias con los accesos
El no disponer de sistemas centralizados y automatizados para la gestión de accesos e identidades, supone que los departamentos de IT dediquen un porcentaje de su jornada a la gestión de los conflictos relacionados con los incidentes en este ámbito.
Por supuesto, esta problemática también afecta al resto de usuarios. Estos pueden ver mermada su productividad mientras tiene lugar la resolución del incidente, hasta que se les dote de nuevo del acceso a los sistemas que necesitan para llevar a cabo el desarrollo de sus funciones.
Se estima que una empresa de 100 empleados solo por este motivo pierde aproximadamente 200 horas de productividad laboral anual. Calculando el ROI (retorno de inversión) de la siguiente manera:
- Inactividad de los empleados: olvido de contraseñas y bloqueo de usuarios tiene un coste de ~0.1 ETC/año (Equivalente a Tiempo Completo).
- Reducción de soporte por parte de IT: los equipos de IT pueden llegar a perder ~0.05 ETC/año con incidentes relacionados con cierre de cuentas.
- Restablecer contraseñas no es necesario: ~0.02 ETC/año que los usuarios pierden al año por este tipo de motivo.
- Mejoras en los accesos: los empleados dedican el ~0.1 ETC/año para acceder manualmente a las aplicaciones.
Aportaciones IAM:
La implantación de soluciones IAM en las organizaciones tiene una repercusión directa sobre la productividad interna: se mejoran los procesos de IT gracias a un sistema de autogestión y automatización de procesos. Con ello, se reduce el número de incidencias relacionadas con el acceso a los sistemas corporativos de forma drástica. Así, tanto personal IT como el resto de usuarios, ven superado un hándicap que, hasta ahora, ha sido un problema considerable en numerosas ocasiones.
A este objetivo contribuirán, además, unas altas capacidades de integración de la solución IAM escogida, lo que permitirá una ágil integración con el ecosistema de la organización y la consiguiente optimización de los recursos IT dedicados a esta tarea.
Riesgos relacionados con la falta de control
Falta de la monitorización de los accesos
Dado que las aplicaciones cloud están descentralizadas, y no bajo el paraguas de una red corporativa, se genera una falta de control en lo que concierne a las identidades y los accesos en una organización, y esto supone una brecha de seguridad más que importante. Es muy necesario realizar un seguimiento y registro de los accesos, así como el comportamiento de los usuarios una vez estos acceden a los sistemas. De esta manera podremos establecer políticas de detención de comportamientos anómalos en el acceso a nuestro ecosistema, que nos ayude a hacer frente a amenazas externas.
Aportaciones IAM:
Gracias a la centralización en un único punto de acceso se puede monitorizar en tiempo real desde el inicio de sesión de un usuario hasta su cierre. Monitorizando el comportamiento de la sesión se pueden generar alarmas proactivas. No obstante, la generación de informes o alertas de un IAM no se detiene aquí, ya que es capaz de monitorizar todo cambio a nivel de políticas de seguridad, cambios de permisos, aceptación de nuevos accesos, etc. Es decir, permite determinar unas Políticas de Seguridad Corporativa que establezcan los parámetros de normalización de las identidades (roles y perfiles) de los usuarios de la organización, así como sus permisos en función de los mismos.
Deficiencias en el cumplimiento normativo
Existen determinados sectores que, por la tipología de los datos que manejan, se ven obligados a certificar un correcto tratamiento de la información, por lo que deben someterse a auditorías de forma periódica. Un ejemplo son las organizaciones del sector financiero, que rigen este ámbito por una normativa específica, PCI DSS (Payment Card Industry Data Security Standard). Así, resulta indispensable contar con herramientas que, por un lado, posibiliten la ejecución de la normativa y, por otro, permitan demostrar dicho cumplimiento.
Aportaciones IAM:
Este tipo de soluciones aportan tanto los mecanismos para ejecutar la legislación aplicable en cada caso, así como las funcionalidades de analítica, reporte y notificación de la actividad relacionada con los accesos e identidades exigidos.
GDPR: Próximo reto común
En mayo de 2018 entrará en vigor el GDPR (Reglamento General de Protección de Datos, por sus siglas en inglés). Este nuevo Reglamento requiere una revisión de los sistemas utilizados para la salvaguarda de la información, así como los dedicados a garantizar su accesibilidad e integridad. En este sentido, pudimos ofrecer nuestras aportaciones en el reportaje: GDPR: luces y sombras.
En definitiva: la productividad y la seguridad no deberían ser conceptos enfrentados. Gracias a la implantación de una solución de gestión de accesos e identidades es posible satisfacer y mejorar resultados en el cumplimiento de ambos objetivos.
Me siento orgulloso de comunicarte que, en WhiteBearSolutions, acabamos de presentar SmartLogin, una herramienta que, en combinación con WBSVision, ofrece una suite global de IAM, y que supone una solución competitiva a los principales problemas planteados por la gestión eficiente de accesos e identidades.
Si quieres saber más al respecto, ponte en contacto conmigo. Estaré encantado de atender tu solicitud.
Quizá también te interese:
