Un gran número de organizaciones, independientemente de su tamaño o sector, requieren de algún tipo de solución para gestionar las identidades. A pesar de ello, la gran mayoría no dispone ni de procedimientos, ni de sistemas que les ayuden a esta importante labor. Siendo los sistemas de gestión de identidad herramientas que existen desde hace muchos años, y habiendo un gran número de ellas en el mercado, nos podemos preguntar por qué se produce la falta de presencia de algo tan necesario.
Antes de analizar las posibles barreras que impiden la proliferación masiva de este tipo de soluciones, vamos a tratar de resumir en qué consisten, qué problemática resuelven y qué beneficios aportan.
Podríamos definir “un Sistema de Gestión de Identidad o Identity Management System (IdM en adelante) como un sistema integrado de procesos, políticas y tecnologías que permiten a las organizaciones facilitar y controlar el acceso de los usuarios a sus recursos y aplicaciones, permitiendo a la vez proteger su información confidencial, tanto personal como profesional, de usuarios no autorizados”
Las soluciones IdM suelen aglutinar un conjunto de herramientas a modo de suite, de manera que se proporcione todo lo necesario para establecer lo que se suele denominar como “política corporativa de gobierno de identidad”. En el siguiente gráfico podemos ver resumido este conjunto de elementos que suelen estar presente en suites IdM.
¿Qué problemáticas resuelve un IdM?
Con todas estas piezas podemos resolver gran número de problemáticas relacionadas con las identidades existentes en una organización, que pasamos a resumir:
- Pérdida de seguridad: Quizá esta sea en definitiva una de las mayores problemáticas derivadas de la falta de control en los procesos de gestión de identidad. La pérdida de seguridad afecta directamente a la actividad de una organización pudiendo poner en riesgo la supervivencia de la misma. Esto no es ni mucho menos anecdótico; conocemos a través de diversos estudios realizados que el 81% de los fallos de seguridad proviene de empleados descontentos, que sólo el 62% de los usuarios se elimina de los sistemas al abandonar el trabajador una organización y que las cuentas “huérfanas” incrementan los riesgos de seguridad 23 veces.
- Incumplimiento de normativas: La dirección de las organizaciones tienen la responsabilidad de cumplir las reglas de controles internos, así como garantizar el cumplimiento de las obligaciones de nuevas regulaciones (LOPD, ISO 27000, Sarbanes-Oxley, Basel II, EU Privay, etc.) Pues bien, por sorprendente que pueda parecer, aproximadamente solo el 50% de las empresas cumplen los controles de auditoría sobre las normas actuales según se deriva de múltiples estudios realizados por auditoras independientes.
- Incremento de los costes: El coste de gestión de la administración de usuarios no está controlado, lo que provoca en ocasiones la dedicación de más recursos a esta labor de lo que estaba previsto. Sirva como ejemplo el coste de licencias que una organización paga asociadas a usuarios que ya no pertenecen a la misma y que sin embargo siguen estados de alta en algunos entornos (lo que se conoce como cuentas huérfanas), o los posibles costes asociados a un incumplimiento normativo.
- Reducción de la productividad: Según diversos estudios e informes realizados por consultoras independientes, entre el 15-25% de las actividades de creación de usuarios deben repetirse por errores, el 27% de las compañías tardan más de 5 días en proporcionar o eliminar derechos de acceso a los usuarios, y entre el 40- 60% de las llamadas al service desk están relacionadas con las claves de acceso.
- Pérdida de calidad de los datos: La información de usuarios es inconsistente entre los diferentes sistemas, es decir, que un usuario dispone de privilegios acordes a su puesto o perfil en un sistema en un determinado momento, y sin embargo mantiene privilegios erróneos en otros sistemas derivados de un puesto o perfil que quizá tuvo en otro momento y que no fueron modificados al cambiar sus circunstancias (de un 60% a un 80% de los perfiles de acceso no son correctos según estudios realizados por IDC). Esta mala calidad de datos tiene impacto sobre el servicio.
¿Qué otros beneficios aporta un IdM a una organización?
Como podemos intuir del conjunto de problemáticas expuestas, los sistemas IdM aportan un gran número de soluciones a estos problemas, así como múltiples beneficios, que resumimos a continuación:
- Ahorro de costes indirectos de administración y help-desk ya que permiten la implementación de automatismos y ahorro de costes directos relacionados con el over-provisioning de licencias.
- Mejora de la productividad al obtener menores tiempos de provisión y desprovisión de usuarios con la automatización de la mayoría de procesos hasta ahora manuales.
- Suministro de mejores servicios de cara a los usuarios (herramientas de autoservicio para que los usuarios puedan modificar información personal, para que puedan modificar o recuperar su contraseña, para que tengan conocimiento de los sistemas a los que tienen acceso, etc.)
- Aumento de la seguridad corporativa evitando vulnerabilidades derivadas de accesos indebidos por parte de usuarios con cuentas huérfanas o bien de accesos indebidos a sistemas por parte de usuarios que ya no deberían poder hacerlo por haber cambiado su posición, puesto… Cabe destacar asimismo que con la proliferación de herramientas en la nube, mecanismos de automatización de la provisión, y sobre todo de autenticación federada nos proporcionan altos grados de seguridad y confianza a la hora de decantarnos por el uso de este tipo de herramientas. Todo esto redunda en un aumento de la confianza de usuarios, clientes y proveedores de las organizaciones.
- Cumplimiento legislativo avalado por informes y cuadros de mando, sobre todo en lo relativo a control de acceso (autenticación y nivel de autorización), auditoría de los procesos de alta, baja y modificación de usuarios de los sistemas, establecimiento de políticas corporativas de seguridad (contraseñas, aprobaciones de procesos). Todo esto evita costes directos derivados de multas e incluso costes indirectos derivados de la pérdida de imagen asociada.
¿Por qué los sistemas IdM aun no están extendidos entre las organizaciones?
Una vez expuesto todo lo anterior nos preguntaremos por qué si los sistemas IdM son tan necesarios y nos aportan tantos beneficios, no están prácticamente extendidos.
Después de muchos años trabajando con este tipo de sistemas mi conclusión es que han existido un gran número de barreras de acceso a estas soluciones tanto de tipo interno (inherente a las organizaciones), como de tipo externo (asociadas a los fabricantes de las soluciones y a las propias soluciones). Considero que la principal barrera a la hora de implantar una solución de gestión de identidad es la organizativa, es decir, que una gran mayoría de organizaciones no tiene normalizadas las políticas de identidad respecto a los usuarios, los accesos, los departamentos, los flujos relacionados con la provisión y desprovisión, las aprobaciones relacionadas, etc. Esto es un trabajo que requiere un cierto esfuerzo y sobre todo metodología. Muchas son las compañías especializadas en este tipo de servicios de consultoría que pueden ayudar a una organización en esta ardua tarea.
Entonces ¿por qué no se hace?
Aquí es donde surgen las barreras relacionadas con la tecnología y con los fabricantes de la misma. Las soluciones IdM tradicionalmente han sido siempre muy costosas en términos de TCO (Coste Total de la Propiedad):
- Respecto a la adquisición de licencias y su posterior mantenimiento,
- Respecto a su despliegue debido al gran número de componentes incluidos, en ocasiones inconexos por tratarse muchos de ellos de adquisiciones a terceras compañías, y por supuesto a la adquisición de terceros componentes no incluidos (sistemas operativos, BBDD, servidores web…)
- Respecto a su administración y actualización, debido a lo expuesto en el punto anterior
- Respecto a su evolución debido al uso en muchas ocasiones de herramientas propietarias no basadas en estándares que dificultan disponer de recursos humanos abundantes en el mercado para explotar y evolucionar las mismas.
En muchas ocasiones incluso decidiéndose una organización a implantar una solución IdM, los elevados tiempos de despliegue y la merma de recursos económicos destinados a los importantísimos servicios de consultoría (propiciado en gran medida por los elevados costes de adquisición), hacen que la mayoría de proyectos fracasen o no alcancen un porcentaje aceptable de despliegue. Incluso aquellos que ven la luz, en muchas ocasiones se hacen inviables en futuras evoluciones. Incluso, en el día a día de administración, los clientes descubren con sorpresa que, a pesar de haber desembolsado ingentes cantidades de dinero, el soporte proporcionado por los fabricantes es insuficiente e ineficaz.
Open source, la alternativa.
Por todo ello, las soluciones basadas en open source y en la entrega integral de componentes son una muy buena alternativa a las soluciones tradicionales. WBSVision es un buen ejemplo de ello.
WBSVision es una solución open source completa de gestión de identidad en una plataforma appliance.
WBSVision supone una nueva generación en los sistemas de gestión y federación de identidades, incluyendo servicios de directorio y metadirectorio, servicios de autenticación y seguridad, servicios de red y servicios de interoperabilidad. Permite a través de sus múltiples módulos, provisionar y controlar el acceso de usuarios, a recursos, repositorios y aplicaciones, en base a perfiles, roles y reglas de negocio.
Nos basamos en varios pilares fundamentales: el formato appliance de nuestras soluciones, en el uso mayoritario de open source y en el uso de estándares que garantizan la interoperabilidad, y sobre todo en la orientación al servicio.
Formato Appliance:
Un appliance es un dispositivo de tipo servidor que provee una aplicación informática para proporcionar una determinada funcionalidad. Está diseñado para que el usuario final no tenga que entender los detalles del sistema operativo, de los comandos asociados o de los diversos componentes software sobre los que funciona dicha aplicación. Dichos dispositivos tienen su hardware y/o software preconfigurado por el fabricante. El usuario gestiona y administra la funcionalidad suministrada, a través de una sencilla interfaz de usuario. Normalmente este tipo de dispositivos están diseñados para gestionarse en remoto (vía web) después de la configuración inicial.
En el caso de un appliance físico se proporciona tanto la plataforma hardware como todo el software necesario instalado en la misma.
En el caso de un appliance virtual se proporciona toda la plataforma software lista para ser desplegada en un entorno de virtualización (Vmware vSphere, Citrix Xen, Microsoft HiperV,Redhat KVM, Virtual Box…) por estar normalmente empaquetada en un archivo de despliegue compatible con este tipo de entornos.
En resumen un appliance proporciona las siguientes ventajas:
- Tiene incluidos todos los componentes necesarios para funcionar.
- Se abstrae gran parte de la complejidad que entrañaría integrar todos los componentes que incluye.
- Se despliega fácilmente.
- Se actualiza fácilmente.
- Se gestiona fácilmente.
Uso de open source y estándares:
El uso de código abierto y estándares nos permite la incorporación de nuevas funcionalidades en tiempos muy razonables desde la decisión de su incorporación al producto (mejora del Time-to-Market). Asimismo, nos permite entender mejor dichos componentes, mejorarlos y corregir posibles errores que pueda tener. Los estándares nos permiten asimismo garantizar la interoperabilidad con el ecosistema a integrarse, y por supuesto a localizar de una manera más fácil recursos humanos capaces de administrar y evolucionar nuestras soluciones desplegadas en los clientes.
Finalmente nos permite trasladar un modelo de negocio a los clientes de pago por servicios y no de mero pago por licencias de uso, lo que además de reducir de forma drástica los costes de adquisición, permiten poner el foco de los recursos económicos en lo que creemos que realmente contribuirá al éxito del despliegue de la plataforma IdM y su posterior supervivencia.
Orientación al servicio:
La filosofía de productos como WBSVision es clara: los clientes deben pagar por los servicios que reciben de nosotros y nuestros partners, y no por meras licencias de uso. El enorme ahorro de costes en la no adquisición de licencias de uso, y en el despliegue de los sistemas que componen la plataforma, permiten dirigir los esfuerzos presupuestarios hacia los servicios de consultoría y despliegue óptimos y adecuados, que permitan garantizar el éxito de un proyecto de despliegue de una solución IdM. Asimismo, una vez desplegado el proyecto, el nivel servicio (que es el core de negocio de compañías como la nuestra) permite entregar un servicio de soporte de nivel integrador directamente desde un fabricante.
Termino con algunos ejemplos de funcionamiento o casos de uso de soluciones open source como WBSVision:
- Unificación de credenciales de usuario entre Active Directory / Recursos Humanos / CRM / ERP…
- Unificación de credenciales locales de una organización con Google Apps / Sales Force / Cloud…
- Sincronización de passwords entre distintas aplicaciones en base a una política unificada de seguridad.
- Servicios de autoservicio para usuarios (cambio password, cambio datos, solicitud de acceso a recursos…)
- Federación de identidades de Google Apps / SalesForce / Cloud… con las credenciales internas sin necesidad de que la información de las mismas salga de nuestra organización.
- Web Single Sign On.
- Autenticación a través de RESTful.
- Plataforma de autenticación Radius/802.1x para securización de redes basadas en cable o portales cautivos en entornos wifi.
- Generación de certificados digitales X.509 para su posterior uso en autenticación como parte de una política de seguridad corporativa.
Descárgate el Artículo completo_Por qué implantar un IdM_Ignacio Gilart.pdf
