SEGURIDAD | Noticias | 26 ENE 2017

10 preguntas antes de contratar IDaaS

La gestión de identidad y acceso es uno de los hitos a los que se enfrentan diariamente los departamentos de TI. Les proponemos 10 preguntas para encontrar una solución que ofrezca lo que necesita.
gestion identidades seguridad
Kim Lindros

Identidad como servicio (IDaaS), también conocida como gestión de identidades y accesos como servicio, utiliza una infraestructura en la nube para administrar con seguridad las identidades de los usuarios y la aplicación de acceso. En su nivel más básico, IDaaS permite el inicio de sesión único (SSO) para sistemas en la nube o en las instalaciones, pero va mucho más allá permitiendo incluir el aprovisionamiento y desprovisionamiento de acceso, la gobernanza y el análisis.
Entre los principales proveedores de IDaaS en 2016, según Gartner se incluyen Okta, Microsoft y Centrify, con OneLogin, Ping Identity, SailPoint, Covisint, Salesforce, Lighthouse Security (IBM) y EMC / RSA. Aunque cada empresa ofrece IDaaS, las diferencias en los conjuntos de funciones y capacidades pueden hacer que una solución sea mejor para una organización en particular.
De acuerdo con Eric Johnson, director de DocuSign, una solución IDaaS se convertirá en su mecanismo centralizado para acceder a todas las aplicaciones empresariales importantes. Elegir la solución correcta es imprescindible porque cualquier tiempo de inactividad resultará en una interrupción significativa del negocio. Es importante considerar cosas como las capacidades de integración de la solución, la experiencia de inicio de sesión única (SSO) y la seguridad al decidir qué IDaaS es mejor.
Estas 10 preguntas, aportadas por los clientes de DocuSign y Box – que ya han pasado por por el proceso de selección y adquisición - proporcionan una base para evaluar el servicio.
1. ¿Cuál es el grado de seguridad del producto IDaaS?
Mark Schooley, gerente senior de operaciones de TI en Box, dice que la seguridad se encuentra en el centro de cada evaluación SaaS que Box completa, y señala que es crítica al evaluar IDaaS. "La seguridad es extremadamente importante porque, con las soluciones de IDaaS, confiamos las llaves de la puerta principal de nuestras aplicaciones más importantes y sensibles".
Johnson, de DocuSign, está de acuerdo en que la seguridad es una alta prioridad, agregando que "la solución debe proporcionar herramientas automatizadas de detección de fraude que bloquean el acceso de usuarios sospechosos." La solución debe ser capaz de integrarse con las herramientas de seguridad existentes de la empresa, (SIEM), para una mayor gestión y anál

isis de la seguridad”.

2. ¿Proporciona integración con una amplia gama de aplicaciones e infraestructura?

"Las empresas son capaces de aportar valor añadido con cada aplicación", afirma Johnson. "Esto reduce el riesgo general de la compañía, elimina los procesos manuales dolorosos y es una mejor experiencia para los empleados".

Johnson añade que la solución debe proporcionar compatibilidad entre plataformas, incluida la capacidad de controlar aplicaciones en dispositivos móviles. Las soluciones IDaaS orientadas hacia el futuro deben ofrecer flexibilidad necesaria para ser utilizadas con cualquier tipo de infraestructura de TI, incluyendo cortafuegos, redes privadas virtuales, acceso inalámbrico y otras infraestructuras clave que requieren la administración del acceso de usuarios.

3. ¿Qué modelo de integración / desarrollo utiliza?

Schooley afirma que el modelo de integración / desarrollo es muy importante al evaluar una solución IDaaS. Box, al igual que muchas otras organizaciones, necesita ser capaz de integrarse con un gran ecosistema de aplicaciones y otras soluciones de proveedores. Schooley sugiere buscar una solución con una interfaz de programación de aplicaciones (API) extremadamente rica que se puede utilizar para automatizar tareas complejas y construir integraciones avanzadas.

4. ¿Es compatible con la integración con su almacén de directorio de usuario existente?

Johnson dice que la solución necesita soportar - con un mínimo de interrupción - el sistema de registro de empleados y con un sistema de recursos humanos o Active Directory, por ejemplo. Esto asegura un rápido despliegue y tiempo de valor de la solución.

5. ¿Proporciona tanto una experiencia de SSO como capacidades de gestión de acceso de usuario clave?

"La solución debe proporcionar flexibilidad para soportar una amplia gama de tecnologías SSO, como el SAML (Security Assertion Markup Language), OpenID Connect, Servicios de federación de Active Directory (ADFS) y otros, lo que garantiza la integración con una amplia variedad de aplicaciones empresariales" Según Johnson.

También dice que la solución debe proporcionar a las aplicaciones de terceros la capacidad de habilitar fácilmente las capacidades de aprovisionamiento, actualización y desprovisionamiento de usuarios para soportar completamente el ciclo de vida del empleado.

6. ¿Apoya varias políticas SSO?

"La solución debe brindar flexibilidad para crear diferentes políticas SSO basadas en perfiles de riesgo de aplicación y ser adaptativa en casos donde se detecta un acceso sospechoso", afirma Johnson, y añade "la solución debe soportar múltiples factores, incluyendo fichas blandas y duras, certificados de punto final y buscar apoyar nuevos factores innovadores como la biometría".

7. ¿Ofrece capacidades de rendim

iento de clase mundial?

Johnson sugiere buscar un proveedor y una solución con un historial impecable de tiempo de actividad, y uno que puede proporcionar pruebas de una infraestructura altamente disponible y comprometerse con un acuerdo de nivel de servicio (SLA) que resuelve rápidamente cualquier problema.

8. ¿Ofrece una experiencia unificada y centralizada?

Schooley cree que una experiencia unificada y centralizada es muy importante tanto para el usuario final como para el administrador de TI. "Es importante que tengamos una consolidación de servicios en una plataforma única y fácil de administrar", dice.

9. ¿Cuál es el coste de usarlo?

La eliminación de los costes de hardware iniciales, menores costes de mantenimiento continuo y precios basados ​​en suscripción son las principales razones por las que las organizaciones están acudiendo a los servicios basados ​​en la nube en general. Sin embargo, incluso en una tarifa mensual relativamente baja por usuario, el coste puede subir rápidamente. Y los evaluadores deben determinar con antelación si la personalización, la solución de problemas y similares son parte del paquete general.

Schooley asegura que el coste de una solución IDaaS necesita un precio razonable con un modelo de licencia que sea flexible y simple. "Queremos que los ahorros de costes se reduzcan en comparación con las soluciones existentes en el hogar".

10. ¿Qué dicen otros clientes acerca de la experiencia y trayectoria del vendedor?

Cualquier organización que quiera trasladarse a IDaaS quiere asegurarse de que el proveedor puede proporcionar un servicio que mejore las capacidades existentes de la organización y pueda continuar en esa capacidad durante los próximos tres a cinco años.

Una solución IDaaS "necesita tener un historial comprobado de éxito en implementaciones", aconseja Schooley. Al evaluar a los vendedores, Box quería escuchar la opinión de otras organizaciones”.

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información