IAM o Sistema de gestión de accesos e identidades
Un sistema de administración de accesos e identidades (IAM, por sus siglas en inglés) es un marco para los procesos de negocio que facilita la gestión de las identidades electrónicas. El marco incluye la tecnología necesaria para apoyar la gestión de identidad.
La tecnología IAM se puede utilizar para iniciar, capturar, registrar y gestionar identidades de los usuarios y sus permisos de acceso correspondientes de forma automatizada. Esto asegura que los privilegios de acceso se conceden de acuerdo con una interpretación de la política, de modo que todos los individuos y los servicios están debidamente autenticados, autorizados y auditados.
Los procesos de IAM mal controlados pueden conducir al no cumplimiento de la normativa porque si se audita la organización, la administración no será capaz de demostrar que los datos de la empresa no están en riesgo de ser utilizados indebidamente.
¿Por qué usted necesita IAM?
Puede ser difícil conseguir financiación para proyectos de IAM, ya que no aumentan directamente la rentabilidad o la funcionalidad. Sin embargo, la falta de gestión de identidades y acceso efectivo plantea riesgos significativos no sólo para el cumplimiento sino también para la seguridad general de una organización. Estos problemas de mala gestión aumentan el riesgo de mayores daños tanto de las amenazas externas como las internas.
Mantener el flujo necesario de los datos de negocio al tiempo que se gestiona el acceso a ellos siempre ha requerido atención administrativa. El entorno de TI empresarial está en constante evolución y las dificultades sólo se han aumentado con las recientes tendencias disruptivas como traiga su propio dispositivo (BYOD), la computación en nube, las aplicaciones móviles y una fuerza de trabajo cada vez más móvil. Hay más dispositivos y servicios para ser administrados que nunca antes, con diversos requisitos asociados de los privilegios de acceso.
Con tanto más para no perder de vista al tiempo que los empleados migran a través de diferentes roles dentro de una organización, se hace más difícil gestionar las identidades y los accesos. Un problema común es que los privilegios se conceden según sea necesario cuando los deberes del empleado cambian, pero la escalada de nivel de acceso no suele revocarse cuando ya no es necesaria.
Esta situación solicitudes de empleados para tener acceso como si fueran otro empleado en vez de solicitar necesidades específicas de acceso conduce a una acumulación de privilegios conocidos como ‘arrastre de privilegios’. Esto crea un riesgo de seguridad de dos maneras diferentes. Un empleado con privilegios más allá de lo aceptado puede acceder a las aplicaciones y datos de forma no autorizada y potencialmente insegura. Por otra parte, si un intruso obtiene acceso a la cuenta de un usuario con privilegios excesivos, de manera automática puede ser capaz de hacer más daño. La pérdida o robo de datos puede ser el resultado de cualquiera de estos escenarios.
Por lo general, esta acumulación de privilegios es de poca utilidad real para el empleado o la organización. A lo sumo, podría ser una conveniencia en situaciones en las que se le pide al empleado hacer tareas inesperadas. Por otro lado, podría facilitar mucho las cosas para un atacante que logre comprometer la identidad de los empleados sobre-privilegiados. Una pobre gestión de accesos también conduce a menudo a individuos que retienen sus privilegios después de que ya no son empleados.
¿Qué debe incluir un sistema de IAM?
Las soluciones IAM deben automatizar el inicio, la captura, el registro y la gestión de las identidades de los usuarios y sus permisos de acceso correspondientes. Los productos deben incluir un servicio de directorio centralizado que escala conforme una empresa crece. Este directorio central impide que las credenciales terminen siendo registradas al azar en archivos y notas adhesivas cuando los empleados tratan de hacer frente a la carga de múltiples contraseñas para diferentes sistemas.
Los sistemas IAM deben facilitar el proceso de aprovisionamiento de usuarios y la configuración de la cuenta. El producto debe disminuir el tiempo necesario con un flujo de trabajo controlado que reduce los errores y el potencial para el abuso, al tiempo que permite la realización automatizada de cuentas. Un sistema de gestión de identidades y accesos también debe proporcionar a los administradores la posibilidad de ver y cambiar al instante los derechos de acceso.
Un sistema de derechos/privilegios de acceso dentro del directorio central debe hacer coincidir automáticamente el puesto de trabajo de los empleados, la ubicación y la ID de la unidad de negocios para gestionar las solicitudes de acceso de forma automática. Estos bits de información ayudan a clasificar las solicitudes de acceso correspondientes con las posiciones de los trabajadores existentes. Dependiendo del empleado, algunos derechos pueden ser inherentes a su posición y aprovisionarse de forma automática, mientras que otros pueden ser permitidos bajo petición. En algunos casos, pueden ser requeridas algunas revisiones. Otras peticiones pueden ser negadas, excepto en el caso de exención o pueden ser prohibidas por completo. Todas las variaciones se deben manejar de forma automática y de manera adecuada por el sistema de IAM.
Un IAMS debe establecer flujos de trabajo para la gestión de las solicitudes de acceso, con la opción de múltiples etapas de revisiones con los requisitos de aprobación para cada solicitud. Este mecanismo puede facilitar el establecimiento de diferentes procesos de revisión de nivel apropiado de riesgo para el acceso de nivel superior, así como una revisión de los derechos existentes para prevenir el arrastre de privilegios.
Algunos productos de IAM
One Identity Manager de Dell combina la facilidad de instalación, configuración y uso. El sistema es compatible con los sistemas de bases de datos Oracle y Microsoft SQL. De acuerdo con Dell, el producto de auto-servicio es tan fácil de usar que los empleados pueden gestionar todas las etapas del ciclo de vida IAM sin requerir la ayuda del departamento de TI. La gama de productos también incluye el gestor de accesos en la nube, Cloud Access Manager, que habilita las capacidades de inicio de sesión única para una variedad de escenarios de acceso de aplicaciones Web.
BIG-IP Access Policy Manager de F5 Networks cuenta con servicio y soporte altamente valorados. El software es parte del sistema de conmutación multicapa BIG-IP, que está disponible en el appliance y los sistemas virtualizados. El Administrador de Políticas permite el acceso HTTPS a través de todos los navegadores web, ahorrando tiempo de configuración de estaciones de trabajo.
La solución de gestión y restablecimiento de contraseñas de Tools4ever, Self-Service Reset Password Management, es altamente clasificada para facilitar la instalación, configuración, administración y servicio. La herramienta permite a los administradores crear su propio enlace "Olvidó su contraseña" para los usuarios y especificar el número de preguntas de seguridad. Esta herramienta de auto-servicio de contraseñas ha demostrado reducir la necesidad de llamadas de restablecimiento de contraseña hasta un 90 por ciento.
El gestor de identidades de seguridad de IBM (Security Identity Manager) está diseñado para ser rápido y fácil de implementar y para que sea compatible con otros productos. El software es compatible con Microsoft Windows Server, SUSE Linux Enterprise Server, Red Hat Enterprise Linux y AIX de IBM, así como con la mayoría de los sistemas operativos comunes, sistemas de correo electrónico, sistemas ERP y aplicaciones en la nube, como Salesforce.com. El kit de herramientas incluido simplifica la integración de aplicaciones personalizadas. La creación y modificación de los privilegios del usuario son automatizadas a través de un sistema basado en reglas y los derechos de acceso pueden ser añadidos o eliminados para los usuarios individuales en función de los cambios en las funciones de negocio de forma automática. Los permisos también se pueden aplicar para grupos.