IAM: cómo gestionar las identidades y los accesos de los usuarios

Cada vez hay más aplicaciones en su empresa: SaaS y On-Premise. Los movimientos de personal son cada vez más frecuentes.

Para orquestar su ecosistema de usuarios, automatizar y gestionar el acceso de cada persona al software de la empresa, ya es hora de descubrir lo que el software IAM puede hacer por usted.

Ver todos los software Gestión de accesos e identidades

¿Qué es IAM? Definición y principios básicos

IAM (Identity and Access Management ) agrupa todos los sistemas puestos en marcha para gestionar las autorizaciones de los usuarios con el fin de controlar su acceso y sus derechos a las aplicaciones.

Si quisiéramos resumir IAM en una frase sencilla (¿simplista? 🙂 ), podríamos decir que IAM corresponde a la gestión de usuarios y sus autorizaciones.

En los últimos años, la IAM se ha convertido en un verdadero problema en el corazón de los procesos empresariales, incluso más allá de las competencias del departamento de TI.

ℹ️ ¿Por qué es tan importante gestionar las autorizaciones de los usuarios?

En una empresa, los empleados necesitarán acceder a programas o datos con un cierto número de reglas de autorización para realizar su trabajo.

Cuando llega cada empleado, gran parte del proceso de incorporación consiste en crear 2 grupos de recursos:

• Recursos pertenecientes al "núcleo común". Incluyen las herramientas ofimáticas básicas, como las cuentas de Active Directory y el correo electrónico (Office 365, GSuite, etc.),
• Recursos "específicos de la empresa". Estos recursos corresponden a herramientas específicas del empleado o del departamento al que pertenece.

También es importante tener en cuenta que para el núcleo común, la configuración de cada recurso es específica de la función del usuario. Por ejemplo, cuando se crea la cuenta de Active Directory, también deben configurarse los grupos de seguridad correspondientes a la función del usuario.

Una vez que un nuevo empleado se ha incorporado a la empresa, también es necesario adaptar los derechos de acceso y las herramientas del usuario a medida que evoluciona dentro de la empresa. Cuando un usuario cambia de puesto de trabajo, se incorpora a un nuevo departamento o a un nuevo equipo, es necesario suprimir o añadir derechos de seguridad, modificar los grupos de distribución a los que pertenece, otorgarle nuevos derechos sobre nuevos programas informáticos y, sobre todo, acordarse de suprimir los derechos que ya no necesita.

Todas estas operaciones pueden realizarse manualmente siguiendo procesos. También hay que asegurarse de que los procesos evolucionen en función de los cambios que se produzcan en el SI o en su ámbito de aplicación. Para ello, es necesario mantener un inventario actualizado de todas las cuentas de software, todos los tipos de autorización (a veces denominados perfiles de autorización) y un repositorio de autorizaciones para cada usuario, de modo que se sepa quién tiene acceso a qué.

ℹ️ ¿Por qué es tan importante tener este tipo de repositorio?

Porque cuando alguien deja la empresa, no quieres que su acceso permanezca abierto. Cisco, por ejemplo, fue pirateada por un antiguo empleado que seguía teniendo acceso a todas sus herramientas varios meses después de marcharse.

También porque, en caso de auditoría, hay que demostrar que se dispone de un control de acceso preciso: ¡no hay que dejar lugar a la aproximación o a la artesanía cuando se habla de autorizaciones!

Para garantizar una gestión rigurosa, y dado que estamos hablando de cientos o miles de usuarios, accesos y parámetros de autorización, es necesario utilizar una herramienta que permita gobernar e, idealmente, automatizar el mantenimiento de estos repositorios.

Las 4 etapas de la creación de un IAM

Paso 1: Conozca a sus empleados

Puede parecer sorprendente, pero sí, es importante mantener una lista de TODOS sus usuarios. ¿Quién tiene la lista de usuarios de su empresa? En realidad, ¡nadie!

RRHH tiene una parte (empleados con contrato indefinido, con contrato de duración determinada, etc.), los departamentos de negocio tienen otra parte (personal temporal, proveedores de servicios, etc.). Por tanto, es esencial tener una visión única de todos estos usuarios para poder gestionar sus autorizaciones.

Etapa 2: Hacer balance de su software

Puede ser una tarea difícil, pero hay que hacer una lista de todos los programas informáticos que se utilizan en la empresa. Me arriesgo a darle la puntilla, pero tiene que hacer una lista de todos los programas informáticos, incluso de los que no gestiona ni conoce el departamento de informática.

Si quieres garantizar la seguridad de tu empresa hasta el final, es una buena idea anotar también en esta etapa todo el hardware proporcionado, como tarjetas de acceso, llaves y equipos informáticos.

Paso 3: "Conciliar" usuarios y software

En contabilidad, esto se conoce como "carteo": se trata de asociar las diferentes cuentas de todas las aplicaciones con los usuarios correctos. Esta conciliación define la lista de herramientas disponibles para cada usuario.

Cuando se lleva a cabo esta acción de reconciliación, encontrarás cuentas "huérfanas": se trata de cuentas "de sistema" o de cuentas de usuario que no existen o que ya no existen en tu repositorio. Son las famosas "cuentas fantasma". Los usuarios se han ido, pero las cuentas siguen activas.

Nuestro consejo : realiza estos 3 pasos tan a menudo como puedas, ya que así garantizarás la seguridad de tu SI.

El software IAM puede simplificar estas 3 operaciones:

Conectando su solución IAM a su HRIS, obtendrá la lista de empleados, luego conectará la solución a su Active Directory (o similar) y obtendrá la lista completa de cuentas. La solución concilia automáticamente los datos y le avisa de los usuarios y cuentas erróneos. No requiere ningún esfuerzo por su parte y dispondrá de toda la información que necesita en sólo unos minutos.

Lo mejor de una solución IAM es que, una vez configurada, puede realizar estas acciones casi en tiempo real.

Paso 4: gestionar los derechos de acceso

El último paso consiste en gestionar los derechos de acceso de los usuarios. Acabas de decir quién tiene derecho a usar qué software, pero ahora tienes que definir qué pueden hacer con él.

El error más común es dar a todo el mundo derechos de administrador. Si concedes plenos poderes a todo el mundo, es como si no tuvieras una política de gestión de derechos.

Cuando concedas acceso de administrador, piensa detenidamente en las responsabilidades de la persona que va a recibir esos derechos. Vigila de cerca estos accesos en particular, porque si son pirateados, el daño será obviamente catastrófico.

Algunos sistemas IAM te permiten supervisar específicamente ciertos derechos de acceso sensibles para que puedas estar informado en caso de cambio (por ejemplo, que un usuario sea nombrado administrador de un recurso).

¿Gestionas tú mismo las cuentas de tus usuarios o eliges una solución externa?

Después de leer los 4 pasos para realizar tu propia gestión de identidades y accesos, puede que estés pensando :

• De acuerdo, lo configuraré O
• parece un poco laborioso llevar a cabo todas estas acciones de forma regular y sin la certeza de ser exhaustivo.

Lo que piense en ese momento ya es un buen indicador de si necesita o no una solución IAM completa.

El tamaño de su empresa y su rotación de personal son otros criterios importantes.

Las respuestas fáciles: si tiene 100 empleados o más y/o si tiene una alta rotación de personal, elija una plataforma IAM.

Si tiene más de 200 empleados, no es viable operar sin un sistema de este tipo.

Los 3 errores más comunes que no se deben cometer cuando se trata de IAM

Error nº 1: Confundir IAM y SSO

SSO es un sistema de autenticación, mientras que IAM es un sistema de gestión de cuentas.

IAM y SSO funcionan muy bien juntos, pero no realizan las mismas funciones en absoluto.

En el origen de esta confusión está la definición de la necesidad, que no está necesariamente muy clara: el departamento de TI quiere simplificar/centralizar la gestión de contraseñas de los usuarios. Esta petición se encuentra en la encrucijada entre IAM, SSO y los gestores de contraseñas.

La implantación de un sistema SSO permite centralizar una parte de la autenticación de los usuarios para sus diferentes cuentas. Pero las limitaciones técnicas de implementación, compatibilidad y mantenimiento hacen que el SSO sólo se aplique parcialmente a las distintas aplicaciones de la empresa.

Si utilizáramos una metáfora: con SSO, usted decide quién tiene derecho a entrar en la casa; con IAM, usted decide quién tiene derecho a mover los muebles, repintar las paredes o simplemente sentarse.

SSO no le permite gestionar correctamente los niveles de autorización, no tiene una visión global de sus herramientas y software, porque no son todos compatibles, ni tiene una visión global de las personas que trabajan en su empresa, porque no conecta con el HRIS.

Error nº 2: Confundir usuarios y cuentas

Cuando estoy en contacto con una empresa y le pregunto si tiene un repositorio que centralice todos los usuarios, suelo recibir la respuesta: "sí, Active Directory es la referencia". Pero ese es precisamente el error que no debes cometer: confundir usuarios con cuentas.

Los usuarios son personas físicas que tienen un apellido, un nombre, una fecha de llegada y eventualmente una fecha de salida.

A estos usuarios se les asignan cuentas de acceso en función de parámetros funcionales de RRHH.

Si comprende esta diferencia fundamental, estará en el buen camino para implantar una gestión inteligente de las identidades en su empresa.

Error nº 3: pensar que una vez implantada la herramienta IAM funcionará por sí sola

Puede fracasar totalmente en su proyecto IAM si no pone a alguien a cargo de la gestión de la herramienta. Sí, incluso la mejor solución IAM necesita que la cuiden. Las nuevas llegadas, las creaciones de cuentas y las suspensiones necesitan su intervención, y es manteniendo su SI que permanecerá "limpio" y correctamente sincronizado con la información de RRHH.

Ver todos los software Gestión de accesos e identidades

Por último, los puntos clave para empezar a trabajar

👉 Elige una solución "fácil de usar": vas a utilizar la herramienta de forma habitual, y la solución que elijas debe ser sencilla y ergonómica.

👉 Una solución SaaS: te ofrece una flexibilidad infalible, sin engorrosos programas que instalar y mantener. Tu solución está siempre actualizada, y el TCO es mucho menor en modo alojado.

👉 Compatibilidad con tus aplicaciones: algunas de tus aplicaciones son "On premise" y otras son SaaS (Office 365, por ejemplo). Es importante comprobar que puedes integrar tus aplicaciones, sea cual sea su tecnología, para poder cubrir todo el alcance de tu sistema de información. La principal dificultad suele ser integrar herramientas propietarias on-premise. Por eso en Youzer hemos puesto en marcha un conector universal para que nuestros clientes puedan 'construir' un conector a medida para cada una de sus aplicaciones.

👉 Servicio de atención al cliente receptivo: puede que te comprometas con una solución IAM durante varios años, por lo que necesitas un servicio de atención al cliente receptivo que sea capaz de responder a tus preguntas y resolver tus problemas. Si estás en una plataforma enorme, asegúrate de tener un tiempo de respuesta decente y de que la persona con la que trates sea técnicamente competente (para que no te tomen el pelo antes de darte una respuesta 🙃).

👉 Una solución que evoluciona : elige una solución que evolucione. Hoy en día no es raro ver plataformas de software que no han evolucionado en varios años o incluso varias décadas. Con la tecnología y el uso cambiando tan rápidamente, es importante elegir una plataforma que sea flexible y escalable.

Artículo patrocinado. Los colaboradores expertos son autores independientes del equipo editorial de appvizer. Sus comentarios y posiciones son propios.