Gestión de Identidades: algunos de los errores más frecuentes en la actualidad
La gestión de accesos e identidades es uno de los pilares fundamentales de la seguridad de la información de cualquier organización.
Desafortunadamente, tanto el despliegue como la utilización de estas las soluciones son susceptibles de errores que terminan costando importantes recursos a la organización. Algo que puede venir dado por una brecha de seguridad, una utilización deficiente de la herramienta, una falta de información sobre la misma o, sencillamente, por el fracaso en la fase de implantación. Cuestiones de suma relevancia que podrían ser, sólo ellas, abordadas en detenimiento. De cara a profundizar sobre las mismas te recomiendo la lectura:
Manual de buenas prácticas para la implantación de un sistema de gestión de identidades
En esta ocasión voy a centrarme en comentar algunos de los errores más frecuentes en esta materia en la actualidad.
Considerar los sistemas de gestión de identidades como únicos y grandes proyectos
Es común relacionar la Gestión de Identidades (GdI) con arduos, costosos y largos proyectos, complicados de instaurar en las organizaciones. Si bien es cierto que la implantación de un completo proyecto de GdI no es una tarea ni rápida ni sencilla, informarse de todas las implicaciones en la etapa inicial y contar con un proveedor especializado te ayudará a relativizar esta idea negativa que probablemente tengas sobre este tipo de procesos.
Vaya por delante mi defensa de los beneficios de una implantación integral de este tipo de proyectos en las organizaciones. No obstante, me gustaría comentar algo que de forma habitual no se tiene en cuenta a la hora de hablar de estas herramientas: la validez y eficacia de este tipo de soluciones para solventar problemáticas concretas con las que las organizaciones lidian en la actualidad.
Las soluciones GdI suelen aglutinar un conjunto de herramientas a modo de suite que, si bien en su conjunto, hacen posible la puesta en marcha de una política corporativa de gobierno de identidad, también permiten un uso más específico de cada módulo que la compone, dando respuesta a necesidades puntuales dentro de una estrategia de seguridad corporativa.
La recertificación de accesos para el cumplimiento normativo, una integración de diferentes directorios, necesidades de autoprovisión de usuarios o de administración delegada, la diligencia en la desprovisión de usuarios, o la normalización y ejecución de políticas de contraseñas, son sólo algunos ejemplos de las opciones que este tipo de soluciones ya están prestando en las organizaciones a modo de solución parcial.
Subestimar el impacto de la movilidad sobre la gestión de identidades
La movilidad en el mundo profesional es una realidad. Los usuarios de una organización interaccionan con la información, aplicaciones y programas corporativos desde diferentes dispositivos y desde cualquier lugar que ofrezca una conexión a internet.
No obstante, lo que se presenta como una oportunidad en beneficio de la organización, se convierte en un importante reto para los departamentos de seguridad IT de cara a garantizar la seguridad de la información corporativa.
Y el futuro presenta, además, nuevos desafíos que ni siquiera han sido afrontados todavía de una forma eficaz, como es el auge del IoT (Internet of Things) y la consiguiente conexión a Internet de decenas de nuevos dispositivos ubicados dentro y fuera de las organizaciones.
Son tendencias imparables que se impondrán inexorablemente y que merecen la concienciación y prevención oportunas. Puedes ahondar más en esta temática en el post: "Desafíos de la movilidad empresarial en la gestión del dato"
Fallar en el desprovisionamiento de las cuentas
Si bien el aprovisionamiento rápido y eficaz de las cuentas de un nuevo usuario es un aspecto en pro de la productividad- los usuarios necesitan contar con las autorizaciones y accesos necesarios lo antes posible-, un desprovisionamiento adecuado es una función especialmente importante para la seguridad.
¿Dónde surge el problema?
El problema aparece en el momento en que estos mismos usuarios abandonan la organización o cambian su rol dentro de la misma. ¿Te suenan las llamadas cuentas huérfanas? Te invito a leer más al respecto de las consecuencias en términos de seguridad así como económicas de estas cuentas desvinculadas con su usuario de origen: Cuentas huérfanas: Enemigo público de la Seguridad de la información.
No trabajar lo suficiente en la automatización de procesos
En anteriores ocasiones, he insistido en la optimización de recursos que supone la automatización de los procesos fundamentales en la gestión de accesos e identidades. Unos objetivos que requieren de una fase de análisis y planificación previa al establecimiento de la automatización, para conseguir los resultados esperados.
De hecho, ése es uno de los aspectos que se exponen en nuestro White Paper “Cómo Preparar a tu Organización para una Solución de Gestión de Identidades”., te animo a que lo descargues.
Si se falla en esa fase de análisis y planificación, lo único que automatizaréis es una continua sucesión de errores.
Ausencia y deficiente preparación de los usuarios
Si los usuarios no son correctamente formados y preparados en la utilización de la solución de gestión de identidades, así como en los protocolos de seguridad necesarios, no sólo se terminará infrautilizando la herramienta, sino que se estará debilitando uno de los eslabones más débiles en la seguridad de la información: los propios empleados.
¿Quieres un ejemplo?
Sigue leyendo.
Pésima gestión de las credenciales
Parece mentira que, a estas alturas, todavía estemos hablando de la cultura del “post-it” junto a la pantalla del ordenador. Sabes a lo que me refiero, ¿verdad?
El problema no termina de resolverse porque no se ataja de raíz. Entre otras cosas, los empleados se apuntan las contraseñas y credenciales porque éstas no dejan de acumularse conforme se multiplican las aplicaciones corporativas.
Soluciones como la unificación y normalización de usuario/contraseña, la autenticación multifactor o de SSO (Single Sign-On) contribuyen a librar a los empleados de este tipo de problemas, e incrementar la seguridad y eficacia en la gestión de accesos e identidades.
Inadecuada estimación de los requerimientos
Se trata de uno de los problemas que han acompañado a estos sistemas desde sus inicios. Un proyecto de GdI exitoso requiere de un preciso cálculo de todas y cada una de las necesidades y requerimientos que conforman el proyecto.
Precipitarse en esta fase inicial es muy frecuente y da lugar a continuos retrasos o incluso cancelaciones de este tipo de proyectos. En ocasiones la razón viene dada por el agotamiento de los recursos económicos necesarios para la fase de consultoría e implementación, que se consumen en las etapas iniciales. Otras veces, la falta de recursos humanos o las barreras organizativas internas hacen que este tipo de proyectos no finalicen satisfactoriamente.
Se trata de una temática que merece profundización y que desde WhiteBearSolutions hemos venido resaltando a lo largo de este tiempo, pues nos parece uno de los hándicaps más importantes que lastran la implantación de este tipo de estrategias, tan importante a día de hoy para las organizaciones. Así, te recomiendo leer los posts:
Cómo calcular el ROI de una solución de IAM: ¿Cuánto puedes ahorrar?
“Que no te engañen con el TCO. Todo lo que necesitas saber de los proyectos GdI para evitar imprevistos.”
"Por qué implantar un sistema de gestión de identidad open source"
Falta de apoyo por parte del equipo directivo
Más allá de necesitarse los conocimientos técnicos para la implantación de la herramienta, a la hora de llevar a cabo estos proyectos es necesaria la concienciación organizacional. Es decir, abordar un completo proyecto de gestión de identidades en la organización va más allá de una mera integración de la herramienta con tus sistemas. Se trata de normalizar este ámbito en tu organización. Algo que, en ocasiones, supone la implicación de varios departamentos y que, de forma frecuente, necesita ser promovido desde la dirección para llevarse a cabo de forma exitosa y diligente.
Contar con los requerimientos de los usuarios finales y demás partes implicadas es importante. Sin embargo, el equipo directivo es el que va a tener que respaldar ese cambio organizacional.
Quizá también te interese:
Descárgate el White Paper Cómo preparar tu organización para una solución de Gestión de identidades.