Cómo afrontar proyectos de gestión de acceso e identidades
Suele decirse que una cadena es tan fuerte como lo sea el más débil de sus eslabones. Y en muchas empresas, cuando se trata de seguridad TI, el eslabón más vulnerable es la gestión de accesos e identidades.
En una situación ideal, cualquier organización debería contar con un proceso automatizado para otorgar acceso a sus aplicaciones, así como para anular los permisos de acceso pertinentes cuando cualquier empleado abandona la compañía. Las identidades de empleados deberían estar sincronizadas a través de todos los sistemas, y determinadas tecnologías habrían de permitir a la organización contrastar las identidades de suministradores, socios de negocio y otros usuarios externos vinculados al negocio que requieren acceso seguro a sus sistemas.
Pero la realidad es muy otra. La mayoría de las empresas se encuentran a años luz de esta situación ideal. Los empleados que dejan de serlo continúan a menudo disponiendo de acceso a sistemas sensibles durante semanas quizá sencillamente porque el administrador TI nunca llegó a prestar atención al correo electrónico notificando un despido emitido por el departamento de recursos humanos. Y el resto de empleados, deben en cualquier caso soportar la carga de tener que recordar múltiples contraseñas o escribirlas en papeles que después son pegados sobre sus teclados.
Los miembros de CIO Executive Council se dieron cita el pasado mes de agosto para intercambiar experiencias sobre las políticas y procesos más recomendables en el desarrollo de una adecuada implementación de proyectos de gestión de identidades. Algunos de las recomendaciones que pudieron extraerse de este encuentro son las siguientes:
Exponga el caso indicando todos los beneficios
Esté preparado para educar a los directivos de su organización sobre la gestión de accesos e identidades, haciéndoles comprender de qué se trata y por qué es importante. Según Buce Metz, CIO de la universidad Thomas Jefferson University, “suele ser un área difusa y poco entendida fuera de los departamentos TI. Un reto importante es, pues, saber comunicar a todos los implicados qué es lo que usted está intentando hacer y por qué razones”.
La siguiente cuestión es, según los CIO, por qué cuesta tanto conseguirlo. Según aquellos que lograron desarrollar con éxito sus proyectos de gestión de acceso e identidades, el secreto se encuentra en saber evitar entrar en detalles utilizando conceptos como Single-On, tarjetas inteligentes u otros relativos a elementos de infraestructura de seguridad. “Debemos huir de los discursos técnicos. Siempre que se esté realizando un proyecto de infraestructura, es aconsejable explicar claramente lo que se está intentando conseguir en términos de negocio”, en palabras de Keith Glennan, vicepresidente y CTO de Northrop Grumman.
Glennan recurrió a mostrar que los nuevos sistemas de gestión de identidades reducirían los costes de help-desk y de administración TI, gracias a la disminución de la carga de tareas manuales de reajuste de contraseñas y asignación de accesos a aplicaciones. Además, expuso cómo la seguridad se vería sustancialmente mejorada ya que dejaría de ser tan frecuente la exposición de contraseñas escritas por la mayoría de los usuarios sobre post-its pegados a sus teclados a cualquiera que pasara alrededor de su puesto de trabajo. Al no tener que autenticarse en múltiples sistemas, casi siempre con contraseñas diferentes en cada caso, dejaría de ser tan frecuente la necesidad de recurrir a este método para recordar sus claves. Glennan no olvidó una ventaja adicional que argumentar: con el nuevo sistema, la organización estaría mejor preparada para garantizar su conformidad con la regulación sobre información electrónica y para demostrar el cumplimiento a los auditores de Sarbanes-Oxley.
Supervise los procesos, no sólo la tecnología
Los CIO que han emprendido proyectos de gestión de identidades aseguran que las cuestiones relacionadas con los procesos de negocio a menudo resultan más complejas de resolver que las relativas a la tecnología misma. Steve Strout, CIO de Morris Communications, aconseja a sus colegas definir antes de nada la lógica organizacional de los procesos y reglas relacionadas con la creación de identidades y el acceso a recursos. Aquí entrarían en juego cuestiones como quién está autorizado para crear, modificar y conocer las identidades de los empleados, cuál será el sistema para dar a un nuevo empleado (o a un trabajador que cambia de puesto) acceso a determinados sistemas y para revocar los derechos de acceso cuando un empleado abandona la compañía o un cargo específico dentro de ella.
“Dedicamos mucho tiempo a sondear la lógica que explicaba los motivos de que estuviéramos haciendo las cosas de una determinada manera”, asegura Strout. Su equipo para este proyecto, que incluía representantes de los departamentos de recursos humanos, de TI y financiero, crearon, de hecho, un nuevo proceso de negocio: cuando un usuario superaba con éxito un test específicamente desarrollado para ello, se activaba el proceso para la creación de una identidad autorizada para él, y, en consecuencia, podía acceder a los sistemas.
Prevea cierto grado de personalización
En muchos casos será necesario adaptar en menor o mayor grado la solución implementada a las peculiaridades de cada organización. Para conseguir todos los beneficios que las herramientas de gestión de accesos e identidades pueden aportar, la mayoría de los departamentos de sistemas de información deberán llevar a cabo una algún tipo de adaptación de la tecnología a su entorno, especialmente si desean introducir servicios de aprovisionamiento automatizado de accesos y Single Sign-On a sistemas heredados, aplicaciones desarrollada internamente, software muy específico desarrollado por start-ups, y, en general, cualquier otro sistema no estandarizado. En algunos casos, incluso, puede no resultar rentable implementar aprovisionamiento automático en el acceso a un sistema no estandarizado, especialmente si el número de sus usuarios es reducido. Quizá en tales circunstancias tenga más sentido simplemente generar un correo electrónico automático a un determinado administrador solicitando acceso a dichos sistemas y mantener la administración manual para esos accesos.
Protéjase de la consolidación de la industria
Durante el período en que Strout estuvo evaluando diferentes suministradores para su iniciativa de gestión de identidades, la industria comenzó a consolidarse ante sus ojos materializándose en una sucesión de compras y adquisiciones. A finales de 2004, Netegrity pasó a manos de Computer Associates. Poco después, a principios de 2005, cuando Strout ya se había comprometido en la compra de la suite de Oblix, este fabricante resultó absorbido por Oracle. “Somos una organización basada principalmente en aplicaciones Microsoft”, explica Strout, quien ahora se pregunta si los futuros desarrollos de la solución de Oblix continuarán soportando en la misma medida la tecnología de Microsoft.
Su estrategia para lidiar con la incertidumbre es “construir los procesos de una manera estandarizada. De esta forma, si tuviéramos que migrar a una nueva tecnología, al menos reduciríamos la necesidad de rediseñar la solución a nivel de arquitectura”.
En una situación ideal, cualquier organización debería contar con un proceso automatizado para otorgar acceso a sus aplicaciones, así como para anular los permisos de acceso pertinentes cuando cualquier empleado abandona la compañía. Las identidades de empleados deberían estar sincronizadas a través de todos los sistemas, y determinadas tecnologías habrían de permitir a la organización contrastar las identidades de suministradores, socios de negocio y otros usuarios externos vinculados al negocio que requieren acceso seguro a sus sistemas.
Pero la realidad es muy otra. La mayoría de las empresas se encuentran a años luz de esta situación ideal. Los empleados que dejan de serlo continúan a menudo disponiendo de acceso a sistemas sensibles durante semanas quizá sencillamente porque el administrador TI nunca llegó a prestar atención al correo electrónico notificando un despido emitido por el departamento de recursos humanos. Y el resto de empleados, deben en cualquier caso soportar la carga de tener que recordar múltiples contraseñas o escribirlas en papeles que después son pegados sobre sus teclados.
Los miembros de CIO Executive Council se dieron cita el pasado mes de agosto para intercambiar experiencias sobre las políticas y procesos más recomendables en el desarrollo de una adecuada implementación de proyectos de gestión de identidades. Algunos de las recomendaciones que pudieron extraerse de este encuentro son las siguientes:
Exponga el caso indicando todos los beneficios
Esté preparado para educar a los directivos de su organización sobre la gestión de accesos e identidades, haciéndoles comprender de qué se trata y por qué es importante. Según Buce Metz, CIO de la universidad Thomas Jefferson University, “suele ser un área difusa y poco entendida fuera de los departamentos TI. Un reto importante es, pues, saber comunicar a todos los implicados qué es lo que usted está intentando hacer y por qué razones”.
La siguiente cuestión es, según los CIO, por qué cuesta tanto conseguirlo. Según aquellos que lograron desarrollar con éxito sus proyectos de gestión de acceso e identidades, el secreto se encuentra en saber evitar entrar en detalles utilizando conceptos como Single-On, tarjetas inteligentes u otros relativos a elementos de infraestructura de seguridad. “Debemos huir de los discursos técnicos. Siempre que se esté realizando un proyecto de infraestructura, es aconsejable explicar claramente lo que se está intentando conseguir en términos de negocio”, en palabras de Keith Glennan, vicepresidente y CTO de Northrop Grumman.
Glennan recurrió a mostrar que los nuevos sistemas de gestión de identidades reducirían los costes de help-desk y de administración TI, gracias a la disminución de la carga de tareas manuales de reajuste de contraseñas y asignación de accesos a aplicaciones. Además, expuso cómo la seguridad se vería sustancialmente mejorada ya que dejaría de ser tan frecuente la exposición de contraseñas escritas por la mayoría de los usuarios sobre post-its pegados a sus teclados a cualquiera que pasara alrededor de su puesto de trabajo. Al no tener que autenticarse en múltiples sistemas, casi siempre con contraseñas diferentes en cada caso, dejaría de ser tan frecuente la necesidad de recurrir a este método para recordar sus claves. Glennan no olvidó una ventaja adicional que argumentar: con el nuevo sistema, la organización estaría mejor preparada para garantizar su conformidad con la regulación sobre información electrónica y para demostrar el cumplimiento a los auditores de Sarbanes-Oxley.
Supervise los procesos, no sólo la tecnología
Los CIO que han emprendido proyectos de gestión de identidades aseguran que las cuestiones relacionadas con los procesos de negocio a menudo resultan más complejas de resolver que las relativas a la tecnología misma. Steve Strout, CIO de Morris Communications, aconseja a sus colegas definir antes de nada la lógica organizacional de los procesos y reglas relacionadas con la creación de identidades y el acceso a recursos. Aquí entrarían en juego cuestiones como quién está autorizado para crear, modificar y conocer las identidades de los empleados, cuál será el sistema para dar a un nuevo empleado (o a un trabajador que cambia de puesto) acceso a determinados sistemas y para revocar los derechos de acceso cuando un empleado abandona la compañía o un cargo específico dentro de ella.
“Dedicamos mucho tiempo a sondear la lógica que explicaba los motivos de que estuviéramos haciendo las cosas de una determinada manera”, asegura Strout. Su equipo para este proyecto, que incluía representantes de los departamentos de recursos humanos, de TI y financiero, crearon, de hecho, un nuevo proceso de negocio: cuando un usuario superaba con éxito un test específicamente desarrollado para ello, se activaba el proceso para la creación de una identidad autorizada para él, y, en consecuencia, podía acceder a los sistemas.
Prevea cierto grado de personalización
En muchos casos será necesario adaptar en menor o mayor grado la solución implementada a las peculiaridades de cada organización. Para conseguir todos los beneficios que las herramientas de gestión de accesos e identidades pueden aportar, la mayoría de los departamentos de sistemas de información deberán llevar a cabo una algún tipo de adaptación de la tecnología a su entorno, especialmente si desean introducir servicios de aprovisionamiento automatizado de accesos y Single Sign-On a sistemas heredados, aplicaciones desarrollada internamente, software muy específico desarrollado por start-ups, y, en general, cualquier otro sistema no estandarizado. En algunos casos, incluso, puede no resultar rentable implementar aprovisionamiento automático en el acceso a un sistema no estandarizado, especialmente si el número de sus usuarios es reducido. Quizá en tales circunstancias tenga más sentido simplemente generar un correo electrónico automático a un determinado administrador solicitando acceso a dichos sistemas y mantener la administración manual para esos accesos.
Protéjase de la consolidación de la industria
Durante el período en que Strout estuvo evaluando diferentes suministradores para su iniciativa de gestión de identidades, la industria comenzó a consolidarse ante sus ojos materializándose en una sucesión de compras y adquisiciones. A finales de 2004, Netegrity pasó a manos de Computer Associates. Poco después, a principios de 2005, cuando Strout ya se había comprometido en la compra de la suite de Oblix, este fabricante resultó absorbido por Oracle. “Somos una organización basada principalmente en aplicaciones Microsoft”, explica Strout, quien ahora se pregunta si los futuros desarrollos de la solución de Oblix continuarán soportando en la misma medida la tecnología de Microsoft.
Su estrategia para lidiar con la incertidumbre es “construir los procesos de una manera estandarizada. De esta forma, si tuviéramos que migrar a una nueva tecnología, al menos reduciríamos la necesidad de rediseñar la solución a nivel de arquitectura”.
