Imagina el siguiente escenario:
Marcos M. acaba de ser incorporado a la empresa como parte del departamento de marketing. Vuestra directora de RR.HH. se pone en contacto con el responsable de IT para solicitarle que genere las credenciales de acceso de Marcos.
El responsable de IT, prudentemente, pregunta qué nivel y tipos de acceso va a necesitar Marcos. La directora de RR.HH. sugiere preguntar al supervisor de éste en el departamento de Marketing. El supervisor desconoce este tipo de detalles, de manera que recomienda que se utilicen los mismos derechos de acceso que uno de los miembros de su equipo –Sara-, la cual ya lleva 9 años en la empresa y actualmente desempeña funciones similares. De esta manera, el recién llegado Marcos M. termina con unos derechos de acceso semejantes de los de Sara.
Lo que ni el supervisor ni nadie han tenido en cuenta es que Sara, antes de convertirse en directora de su equipo de marketing, formó parte del departamento comercial, no sin antes haber sido ingeniera jefa de proyectos. Debido a la ausencia de una adecuada gestión de los accesos, Sara ha acumulado un gran número de derechos de acceso propios de los distintos departamentos y puestos por los que ha pasado, sin que éstos fueran retirados en su debido momento. Ahora, todos esos accesos han sido atribuidos igualmente a un nuevo y desconocido empleado.
Si este ejemplo te parece una exageración, te recomiendo pensarlo de nuevo porque, desgraciadamente, está a la orden del día. Es más, te invito a meditar acerca de las ramificaciones y problemáticas que esta situación puede generar en caso de que algún eslabón de la cadena de comunicación falle o un empleado descontento (por ejemplo, Marcos M.) decida hacer uso de sus privilegiados derechos de acceso para apropiarse de información confidencial.
Permíteme que insista, la correcta gestión de los accesos e identidades es un aspecto crítico para la seguridad y la productividad dentro de una organización. He aquí unos de los muchos ámbitos donde su importancia queda manifiesta. No obstante, se trata de situaciones muy comunes en las organizaciones actuales y es muy posible que identifiques alguno de estos escenarios dentro de tu organización.
1. Aprovisionamiento de credenciales para nuevos usuarios
Creo que el ejemplo anterior ha ilustrado bastante bien la problemática que puede generarse si no se dispone de los adecuados procesos de aprovisionamiento de credenciales. Por norma general, la fase de aprovisionamiento tiene lugar mediante comunicaciones internas que, a menudo, se traducen en el envío de emails entre departamentos. Estas prácticas no sólo pueden generar errores de comunicación, sino que, además, retrasan considerablemente todo el proceso de aprovisionamiento de credenciales. En el ejemplo, he incluido a tres personas distintas interviniendo en un sencillo proceso de generación de contraseñas. Dependiendo del tamaño de tu organización, esta cadena puede alargarse mucho más, y lo que debería estar listo en apenas unos minutos, puede demorarse más de lo que debiera.
Cuando se trata de una gestión interna, esta merma de la productividad puede pasar desapercibida (durante un tiempo), pero ¿qué ocurre cuando la gestión afecta a un cliente, un proveedor o cualquier otra figura externa a la organización? ¿Puedes permitirte este tipo de retrasos? Y lo que es más importante, ¿puedes asumir el riesgo de una mala gestión en la generación de las credenciales de terceras partes?
2. Desaprovisionamiento de credenciales
Al igual que en el caso anterior, el desaprovisionamiento de cuentas, en ausencia de una herramienta de gestión de identidades, tiene lugar de una manera tortuosa. Sin embargo, los riesgos para la empresa son, si cabe, todavía mayores, especialmente cuando la revocación de las credenciales tiene lugar en el contexto de un despido.
La existencia de cuentas huérfanas, así como los retrasos en su eliminación supone un grave riesgo para la seguridad de la información dentro de tu empresa. En uno de mis anteriores artículos, explico una serie de recomendaciones para gestionar, en este sentido, la salida de tu organización de un perfil responsabilidad de IT. Gran parte de los consejos indicados en dicho artículo deberían ser aplicados de forma generalizada.
3. Gestión de las credenciales y sincronización de los accesos
En primer lugar, es necesario distinguir entre la gestión de identidades y los servicios de directorio donde éstas son almacenadas, tales como LDAP, Active Directory, etc. Se trata de elementos que si bien están íntimamente relacionados, son ámbitos diferenciados. A estos directorios principales, hay que sumar aquellos que se correspondan con las aplicaciones que tengáis en uso en vuestra empresa, tales como sistemas de ERP o gestión de inventario.
En ausencia de una herramienta de gestión de identidades, lo habitual es encontrarse con múltiples credenciales de acceso para cada uno de los sistemas. Esta situación obliga a vuestros usuarios y empleados a recordar diferentes contraseñas y nombres de usuario, lo que incrementa los riesgos en seguridad, así como el número de incidencias reportadas al departamento de IT que tendrá que dedicar recursos a gestionarlas.
La implementación de un SSO (Single Sign On) no sólo permite simplificar considerablemente la operativa diaria de las personas que utilizan las aplicaciones y servicios de vuestra organización, sino que también contribuye a una mejor aplicación de la política corporativa del gobierno de identidad.
4. Mala praxis con credenciales.
En ocasiones, el ritmo de trabajo hace que se atiendan prioridades del día a día y se pospongan ciertas tareas que, si bien no son repercutibles en la productividad directa del trabajador, no por eso dejan de ser importantes. Así, es muy común encontrar situaciones en la que los empleados de una organización utilizan la misma contraseña para múltiples plataformas y nunca la cambian. Además, frecuentemente estas credenciales de acceso se anotan en documentos de Excel o post-its que se intercambian y/o, incluso, conservan estos datos de acceso tiempo después de haber sido despedidos.
5.Gestión de los recursos IT
Dadas, entre otras, situaciones como las comentadas anteriormente es muy posible que el departamento de IT de tu organización dedique una parte más de la aconsejable de sus recursos a atender un gran número de incidencias relacionadas con claves de acceso o problemas derivados de una mala planificación de la gestión de identidades en la organización.
Asimismo, una carente definición de una Política de Seguridad Corporativa, conlleva a que, en ocasiones, se desatiendan y se dificulte de alguna medida, la implementación de acciones estratégicas para la compañía. Así, es muy común que este departamento tenga serias dificultades para integrar en la nube vuestra infraestructura de directorios y/o no disponga de información fiable y suficiente acerca de los niveles de seguridad y utilización de vuestras aplicaciones. Lo que, en definitiva, muestra un claro reto de optimización de estos recursos, tan importantes dentro de una organización.
Mi experiencia en este sector me dice que si reconoces alguna o varias de estas situaciones como propias dentro de tu organización, debes al menos replantearte la Política de Seguridad Corporativa. Y muy posiblemente, contar con un IdM (Identity Management System) te ayude a garantizar la misma, resolver problemas de identidad de usuarios, así como optimizar los recursos disponibles.
Es importante identificar el papel que realizan las herramientas IdM en las organizaciones así como conocer por qué, pese a ser herramientas necesarias, aun no se ha extendido su uso. Actualmente, existen soluciones open source de IdM como WBSVision que pueden ser implementadas sin necesidad de hacer frente a los costes derivados del pago de licencias y que cuentan con un excelente servicio de soporte. Poner fin a los problemas de gestión de identidades dentro de tu organización está ahora más al alcance de tu mano que nunca.
Quizá también te interese: