Gajus - Fotolia
Evoluciona gestión de identidades y accesos en Brasil
Las empresas brasileñas evolucionan sus procesos de IAM hacia un sistema sin contraseñas y con confianza cero.
En los últimos años, hemos observado cómo la sociedad en general ha iniciado un proceso de digitalización de todo tipo de servicios, desde los más sencillos, como registrarse en una lista de espera, hasta los grandes centros financieros e industriales, pasando por el propio gobierno federal.
Una de las herramientas más utilizadas es la gestión de identidades y accesos –Identity and Access Management (IAM)–, que es un elemento de la seguridad de la información comúnmente utilizado para gestionar las identidades, determinando qué personas tendrán acceso a ciertos recursos de una empresa, ya sean redes, dispositivos o bases de datos, por ejemplo. Así, solo las personas autorizadas reciben el permiso de acceso necesario, siguiendo las políticas de seguridad de la empresa.
IAM también ayuda a automatizar el trabajo del área de tecnología de la información, siendo responsable de autenticar adecuadamente a los empleados, haciéndola apta para participar en auditorías.
¿Qué hace la IAM?
El objetivo principal de IAM es facilitar la gestión de la identidad de los usuarios dentro de una empresa, garantizando que solo las personas autorizadas tengan acceso a los recursos adecuados para su función. Esto implica acciones como:
- Realizar la captura y autentificación de los usuarios, así como el registro de su información;
- Implementar herramientas de permisos como la firma encriptada;
- Configuración de los servicios de almacenamiento;
- Añadir o eliminar usuarios y cambiar su permiso de acceso a los datos;
- Registrar los accesos históricos a los sistemas de la empresa;
- Preparar informes de uso de las aplicaciones;
- Elaborar políticas de acceso a los sistemas de la empresa.
Todas estas acciones se realizan sobre la base de sólidas políticas internas de gestión de identidad, que determinan cosas como la forma de identificar a los usuarios y cuáles son sus funciones dentro de una organización; qué usuarios deben obtener o perder el acceso a determinados sistemas; y qué áreas deben estar bajo el cuidado de IAM.
Un sistema de gestión de identidad suele incluir varios flujos, herramientas y datos. Algunas de ellas son la integración de los sistemas de acceso existentes en la empresa, las herramientas de gestión de contraseñas y los directorios con datos de los empleados.
A continuación, algunos ejemplos de sistemas y herramientas utilizados para IAM:
- Proveedor de identidad (IdP). Es un producto o servicio que ayuda a la gestión de identidades, siendo responsable del proceso de inicio de sesión. Un ejemplo es el Single Sign On (SSO), que permite al usuario acceder a múltiples plataformas con un único inicio de sesión, sin tener que entrar con datos diferentes en cada una de las cuentas.
- Análisis de la identidad. Permite a los equipos de seguridad identificar comportamientos de riesgo, siendo una forma importante de prevención del fraude para las organizaciones.
- Autenticación multifactorial. Se trata de un sistema que combina una serie de datos sobre el usuario para autentificarlo y garantizarle el acceso a un determinado recurso, lo que implica información sobre lo que es, lo que sabe y lo que tiene.
- Identidad como servicio (IDaaS). IDaaS, un servicio basado en la nube, se encarga de la validación de la identidad, un proceso que las organizaciones suelen subcontratar para aumentar la seguridad y cumplir con los requisitos específicos de mercados como el financiero. Puede ser una pequeña parte de la gestión de identidad y accesos, pero también puede ser responsable de todo el proceso.
- Gestión del acceso. Es el sistema que determinará, en función de los roles predefinidos, qué personas de una empresa pueden acceder a determinadas informaciones o plataformas.
- Autenticación basada en el riesgo (RBA). Las soluciones RBA tienen en cuenta el contexto del usuario para establecer una puntuación de riesgo, asignando a cada puntuación más o menos pasos de autenticación y validación de la identidad.
- Gobernanza y gestión de la identidad (IMG). Se trata de una herramienta relevante para que las organizaciones mantengan el cumplimiento de las normativas sobre privacidad de datos, como la LGPD, proporcionando formas de automatizar la gobernanza de la identidad.
La mayoría de las empresas de Brasil ya han adoptado medidas de IAM
Aunque todo esto puede resultar obvio, la realidad es que, hasta la llegada de la pandemia del COVID-19, las empresas solo llevaban a cabo procesos incipientes de gestión de la seguridad, pero la necesidad de poner todo en la nube, conceder acceso remoto y facilitar al máximo el acceso a la información a clientes y proveedores, ha generado una nueva mentalidad que ha impulsado el uso de IAM en las empresas como nunca antes.
Así lo demuestra la más reciente encuesta de la empresa Netbr, realizada en mayo de 2022, que reveló muchos detalles sobre el estado de la gestión de la identidad en Brasil en las grandes organizaciones. La encuesta abarca 80 empresas entre las 500 mayores del país, todas ellas con más de mil empleados. Entre ellos, bancos, operadores de telefonía móvil, empresas farmacéuticas, industria aeronáutica, cadenas minoristas, compañías de seguros, hospitales, xTechs y empresas públicas.
Según los resultados, menos de la mitad de los ejecutivos consultados, el 45 %, considera que el nivel de madurez de las políticas de IAM de sus empresas es "consistente". Mientras tanto, el 41 % señala la "falta de madurez" de estas políticas y otro 12 % las sitúa como "aún no formalizadas".
La encuesta mostró que, incluso entre estas grandes organizaciones, solo el 5 % tiene un área específica para las políticas de identidad, ya que el 72 % de las empresas atribuyen esta disciplina al área de Seguridad y el 20 % al área de TI, de forma más genérica.
Sea como fuere, hay un avance visible en la adopción de plataformas de gobierno de la identidad (IGA). En el estudio actual, el 42 % de las empresas ya ha implantado y otro 35 % está en fase de proyecto con estas plataformas.
Confianza cero para 2023
Un número significativo de ejecutivos (72 %) cree que hay más de un 70 % de posibilidades de que sus empresas desplieguen una arquitectura de confianza cero para finales de 2023. Otro 19 % afirma estar 100 % seguro.
Un posible obstáculo para esta implantación lo señala otro dato de la encuesta: el 10 % de los encuestados asume que sus empresas no tienen visibilidad y documentación del inventario de credenciales y sus respectivas claves.
Se trata de un dato preocupante, en opinión de Netbr, teniendo en cuenta la situación de las empresas que aportan gran parte de la economía del país, y muchas de ellas con miles de empleados. El 33 % de los ejecutivos afirma tener estos requisitos en sus empresas, mientras que la mayoría (56 %) tiene una visibilidad y documentación parciales.
Pero la adopción de la confianza cero tendrá que afrontar otros retos. Entre las empresas consultadas, solo el 15 % puntúa con un "10" la capacidad de gestionar identidades impersonales (robots, aplicaciones, dispositivos de red y cosas IoT). Por otro lado, el 25 % puntúa entre 7 y 9 (en una escala de hasta 10). En la secuencia, el 25 % de las respuestas puntúan entre 5 y 7 y el 30 % del total puntúan por debajo de 5 este índice de confianza.
Incorporación digital
La encuesta de Netbr también revela que el 76 % de las empresas del universo estudiado ya ha adoptado o está implementando alguna solución de onboarding digital, y solo el 12 % no tiene planes en este ámbito.
Del mismo modo, está creciendo rápidamente la adopción del acceso sin contraseña, presente hoy en día solo en el 19 % de las empresas, pero ya en proceso de implementación en 44 % de ellas.
Virtudes evidentes
Apoyarse en herramientas y sistemas de gestión de identidades y accesos permite procesos más transparentes, reforzando la seguridad de los flujos de información en una empresa y evitando riesgos que ya son bien conocidos por los brasileños, como el fraude de identidad, los phishings y las fugas de datos, además del acceso inadecuado a datos que deberían ser confidenciales.
IAM también facilita tareas como la configuración de cuentas, reduciendo el trabajo operativo de los equipos de seguridad y permitiéndoles dedicarse a acciones más estratégicas. La automatización hace que las operaciones sean aún más dinámicas y escalables, facilitando tareas como los cambios de aprovisionamiento de usuarios, que implican revocaciones y cambios en los niveles de acceso.
Por otro lado, la ausencia de IAM puede acarrear riesgos de seguridad y, además, multas y otras consecuencias legales por incumplimiento.