Gestión de identidad y seguridad en las grandes corporaciones

Hasta hace algunos años, cuando se hablaba de seguridad desde el punto de
vista de las TI, se solía pensar en ella utilizando una visión centrada en la
protección de los ?agujeros de software?. Ello significaba que los gestores de
los sistemas de información se preocupaban, y con razón, por poner todas las
barreras, limitaciones y restricciones necesarias para dificultar todo tipo de
accesos no autorizados, que pretendían explotar fallos en el software que
conformaba el sistema.

Ante la explosión de Internet y las redes de comunicaciones, cobró una
importancia vital la protección de los sistemas mediante el diseño y la
codificación de las aplicaciones y servicios frente a posibles riesgos de
agujeros de seguridad. No obstante, en la actualidad nos encontramos con nuevos
escenarios en el panorama empresarial que hacen que sea preciso completar el
enfoque expuesto anteriormente con nuevas técnicas de gestión para la seguridad
de los accesos a los sistemas de las compañías.

Adicionalmente, si observamos los grandes motores económicos de la sociedad
moderna -es decir, las grandes corporaciones empresariales, de elevada
complejidad en su funcionamiento, con presencia en multitud de países, con
diferentes unidades de negocio, con culturas y comportamiento diferentes?,
podemos imaginar fácilmente que en este tipo de compañías el flujo de entrada y
salida de personas que interactúan con la organización es enorme, continuo y
creciente.

Así, la tipología de usuarios que acceden a los sistemas de la empresa ha
variado enormemente, ya que los empleados no son los únicos que acceden a los
sistemas de una organización. Además de los usuarios tradicionales de los
sistemas, que serían los propios empleados, una empresa competitiva y flexible,
dentro de un entorno en continuo cambio necesita que clientes, partners,
proveedores, trabajadores subcontratados, gestores de servicios de logística y
de otros servicios accedan a sus sistemas de información. Por ello, la necesidad
de control de quién accede a qué, cómo y cuándo, se hace evidente si queremos
tener una visión completa de lo que ocurre en nuestros sistemas de información.

En este sentido, con cierta frecuencia se dan situaciones en las que, cuando
un nuevo usuario (sea externo o no) se incorpora a una organización, los
permisos de los diferentes sistemas se van facilitando uno a uno, normalmente
gracias a la perseverancia e insistencia del interesado, que no puede realizar
gran parte de su trabajo sin estas herramientas.

Siguiendo con ejemplos y casuísticas, también ocurre a veces que algunos
usuarios no disponen de sus cuentas de email hasta días, e incluso semanas
después de haberse incorporado a la compañía. El futuro nuevo usuario (con
frecuencia recién llegado a la organización) se enfrentará antes con la
burocracia interna para obtener las herramientas con las que necesita trabajar
día a día. Como consecuencia, la frustración y pérdida de productividad derivada
de esta acción puede sumar cada año millones de euros.

Pero por otro lado, no sólo es problemático el proceso de dar de alta a un
nuevo usuario. ¿Qué pasa cuando el usuario ya tiene acceso al recurso pero causa
baja dentro de la compañía? La respuesta es que se producen errores en el
proceso la baja en esos sistemas. Suele suceder que no siempre se retiran todas
las autorizaciones y privilegios de acceso a los sistemas para los que el
mencionado usuario tuvo permisos. Algo parecido puede suceder asimismo por otras
razones como el cambio de departamentos, diferentes responsabilidades, o el
traslado geográfico.

Igualmente relacionados con los procesos de baja en los sistemas de la
compañía, tienen especial importancia los casos de cese de actividad por
decisión unilateral. Cuando esto ocurre, nos encontramos con situaciones en las
que puede haber algún usuario (antiguos empleados, clientes, empleados de
proveedores, etc.) con posibilidades de acceso a cierta información
confidencial, de gran valor y crítica para el negocio de la compañía.

Ante este abanico tan amplio de escenarios donde se desarrolla
simultáneamente la actividad dentro de una organización y se dan situaciones
como las descritas anteriormente, es más importante que nunca sistematizar y
simplificar los procesos de alta, evolución y baja de usuarios en los sistemas.

Por otra parte, según un estudio interno realizado por
Toshiba, el 70% de los ataques provienen
de dentro de la empresa. La cifra se dispara hasta el 88% si tenemos en cuenta
los ataques producidos por el uso indebido del login y password, según otro
estudio conjunto de Trusted
Strategies
y Phoenix
Technologies
. Por esto, pdemos decir que la gestión del Ciclo de Vida del
Usuario es imprescindible si se quiere mantener segura la información
estratégica de la empresa.

Así, la solución es lo que en el entorno de las Tecnologías de Información se
denomina ?Gestión de la Identidad?. Esta disciplina se basa en dos puntos. El
primero de ellos es la Gestión de los Accesos, según la cual se deben reducir al
mínimo posible los puntos de ?vulnerabilidad? en los sistemas, que suelen
concentrarse en torno a los mecanismos de entrada al sistema.

En este punto, es crucial la implantación de sistemas que permitan tener una
visión global y unificada de los accesos a la organización. Al mismo tiempo, se
debe poder trazar de forma sencilla -sin realizar múltiples peticiones
burocráticas? el recorrido de cada usuario dentro del sistema, sin tener que ir
monitorizando máquina a máquina. Y finalmente, cobra especial importancia una
política de caducidad de passwords que debe estar formada por conjunto de
letras, números y otros símbolos.

En cuanto al segundo, la Gestión del Ciclo de Vida, pone de manifiesto la
importancia de disponer de mecanismos adecuados para que cuando un usuario entra
en el entorno de una organización, se desencadene un flujo de trabajo que le
proporcione accesos a todos los sistemas con los que éste deba trabajar en
función su rol dentro de la organización (usuarios de plantilla o de dirección,
clientes, trabajadores externos, proveedores, etc.). En el momento que el
usuario cambie su rol dentro de la empresa, otro flujo debería gestionar
automáticamente la lista de los servicios a los que éste debe acceder,
restringiendo los permisos para el resto. Y por último, cuando el usuario sale
de la organización, el sistema debe de ser capaz de darlo de baja en todos los
servicios a los que éste tuviera acceso.

En conclusión, y debido a la importancia creciente de la economía conectada
en el desarrollo de los negocios, se hace necesario ampliar la visión de la
seguridad hasta ámbitos no exclusivamente centrados en las compañías de modo
?aislado? y abordarla desde una perspectiva estratégica y global en la que se
puedan gestionar servicios compartidos como una ?intercompañía?, donde la
gestión de los accesos y del ciclo de vida del usuario se realice con enfoques
avanzados como es el de la ?Identidad Federada?.

Rubén López Reina es gerente del área de seguridad y gestión de
identidad del Grupo CMC Cognicase Management
Consulting
.