Claves y Componentes de la Inteligencia de Negocios
   
EDA: Una Nueva Generación de Aplicaciones
   
UWB: La Nueva Ultra Banda Ancha
   
CMMI: Mejorando Procesos en Forma Integrada
   
MIME: Haciendo del E-Mail Una Herramienta Universal
   
XML:El estándar de los negocios electrónicos
   
P3P: Tras la privacidad en la red
   
UML: Un Lenguaje Modelo
 
ANÁLISIS
MIMO: Wireless Más Inteligente
ANÁLISIS
SOA: Creando empresas flexibles
ANÁLISIS
El poder de ajax
ANÁLISIS
MPLS: La Nueva Generación de Redes Privadas Virtuales
Ver Todas  


ANÁLISIS
ADMINISTRACIÓN DE IDENTIDADES:
MÁS QUE UN BUEN PASSWORD, UN TEMA DE SEGURIDAD
 Ver Análisis Resumido

Una óptima gestión de identidades al interior de una empresa permite no sólo administrar la información y privilegios de los empleados, sino evitar una fuga de información crítica que puede afectar el negocio.

Hoy en día las empresas comparten información no sólo entre sus empleados de todos los niveles, sino entre sus clientes y proveedores. Incluso, en muchas ocasiones, especialmente en el sector gubernamental, esto se produce entre diferentes departamentos y ministerios. La llegada de Internet ha aumentado aún más el riesgo de que en estos procesos de intercambio de información exista una fuga importante que redunde en el negocio.

En el entorno virtual no se ven caras ni corazones, por lo que definir una identidad, sus características y funciones resulta más complicado, especialmente cuando el sujeto es parte de una entidad que maneja información, dinero, proyectos y recursos. Por lo que se hace fundamental tener una política de Administración de Identidades (Identity Managment, IM)

A medida que la demanda por acceder a los activos corporativos por parte de los usuarios internos y externos crece, la necesidad para almacenar y gestionar la información de identidades de manera centralizada, se convierte en un gran desafío. Las organizaciones encuentran muchas dificultades para gestionar la información entre aplicaciones, directorios y sistemas operativos. El reto consiste en hacerlo de forma segura, sin grandes costos y con el menor impacto posible en el rendimiento y las operaciones de la compañía.

El estudio "Exploring Secure Identity Management in Global Enterprises", realizado por las universidades de Stanford (EE.UU.) y de Ciencia y Tecnología de Hong Kong, la mayor parte de las organizaciones sufren serias vulnerabilidades de seguridad e ineficacias operativas debido a la falta de una gestión segura de identidades. Incluso, la investigación concluye que la implantación de una gestión segura de identidades puede reducir costos en la administración de grandes empresas en más de un millón de dólares al año.

Definición

En primer lugar es necesario explicar el concepto Identidad en la red (Network Identity - NI). Se refiere a la identidad sensible al contexto, los atributos y derechos de cada miembro de la comunidad virtual, todos, obviamente, manejados dentro de un ambiente seguro y controlado. La Identidad en la red tiene tres componentes fundamentales:

Atributos: Rasgos, perfiles y preferencias de un individuo o dispositivo.

Autentificación: Proceso que garantiza la validez de una identidad.

Autorización: Prestación de servicio a un individuo o dispositivo previamente autentificado.

De estas características, entonces, aparece el término Administración de Identidad, la cual es el conjunto de procesos de negocios alrededor del ciclo de vida de una identidad (creación, mantenimiento y eliminación).

Al respecto, en el estudio "Best Practices for Command and Control of Security: The eTrust Vision", Computer Associates (CA) señala que la importancia de conocer la identidad de los usuarios radica en poder advertir lo que éstos hacen dentro de la red corporativa, y es la administración de identidades el camino para controlar la asignación de recursos y la autorización para acceder a los activos de la empresa, situación que exige un importante nivel de seguridad.

Evolución de la IM

La importancia de conocer la identidad de los usuarios radica en poder advertir lo que éstos hacen dentro de la red corporativa. Como parte de este concepto, podríamos establecer que las empresas tienen un verdadero ciclo de vida en la gestión de sus identidades, debido a que los empleados y otros usuarios de la red corporativa modifican constantemente sus rutinas de trabajo, llegan nuevos empleados o bien se presentan reestructuraciones laborales como transferencias entre departamentos. Todo esto conlleva una continua modificación de contraseñas de acceso por razones de seguridad.

En este contexto aparecen de forma recurrente situaciones conflictivas si los procesos de configuración de passwords, login y perfiles no se lleva a cabo de forma automática. Además, resulta indispensable tener el control y administración de una identidad durante todo su ciclo de vida, es decir, hasta que el dueño de ésta deje de interactuar con la empresa. Esta etapa de seguridad en la administración de identidades es la más básica.

Pero no sólo el acceso en línea a la información es uno de los aspectos que hay que considerar en el área de la IM, sino también el uso de los Web Services, que exigen integración de los procesos de negocio entre las organizaciones, lo que irremediablemente generará una cantidad mayor de requerimiento de servicios e identidades. O sea, la implementación de Web Services, hoy en día, se convierte en uno de los catalizadores de la administración de perfiles e identidades.

Tradicionalmente, las empresas desarrollaban soluciones de gestión de identidades en sus sistemas ERP (Enterprise Resource Planning) y la integración se hacía de forma manual, por lo que el primer paso para gestionar el acceso a la información, aplicaciones y recursos informáticos a través de identidades, fue crear perfiles de usuarios. El segundo paso entonces fue lograr la automatización de dicho proceso y permitir que los sistemas dieran de alta y de baja las identidades.

Integración

Pero incluso, ese tipo de aplicaciones, en ocasiones se hace insuficiente. Por lo tanto, la tercera etapa en la automatización y control de identidades es lograr la integración de los diferentes sistemas basados en Web, mediante la utilización de un directorio o repositorio, cuya conexión se realiza a través de XML.

Por lo general, esta tecnología desarrolla una estrategia que incorpora a los diferentes sistemas y métodos de autentificación que posea una organización para verificar al usuario, incluyendo contraseñas, certificados digitales, hardware y software.

Las soluciones actualmente disponibles en el mercado dejan el trabajo de la gestión de identidades a administradores que controlan de forma central el acceso de los usuarios. Una característica integral de estas herramientas es la capacidad para que incluso los administradores de red deleguen -en ciertos casos- la gestión de los permisos a los clientes, socios y proveedores del negocio. Los administradores pueden también rescindir privilegios del usuario y del grupo a los diferentes recursos.

Entonces, en términos generales lo que se requiere es un modelo confiable de Administración de Identidad que permita a las organizaciones realizar operaciones eficientes y seguras entre sí y garantizar a sus consumidores la privacidad, el anonimato y la conveniencia. En ambos casos es clave la facilidad de uso y el denominado Registro Único (Single Sign-On).

El registro único le da al usuario acceso a todos sus servicios e información. Incluso, muchas veces no importa dónde esté o por medio de qué dispositivo se conecte a la red de su empresa (Internet, Intranet o Extranet), lo importante es que se acceda de una sola forma.

Directorios

Estudios recientes del mercado de diversas consultoras TI indican que alrededor del 80% de los incidentes de seguridad que ocurren en las empresas y organizaciones se producen a nivel interno o son provocadas por ex empleados. Las que ocurren internamente requieren otras políticas de solución que no van al caso de este punto, pero las que suceden por ex empleados se producen en un 90% por una mala administración de identidades.

Debido a esto, dentro de las soluciones en la gestión de identidades, uno de los puntos críticos es poder identificar y autentificar a la persona que está haciendo uso de los datos y herramientas informáticas de una organización, utilizando un repositorio central o bóveda de seguridad, sobre la cual se debe de implementar soluciones que refuercen la seguridad de la información.

Debido a esto, los expertos en el tema de seguridad informática aconsejan tener una administración centralizada en el manejo de las identidades de los usuarios de una red, así también como su automatización. Esto porque en muchos casos la gestión puede tornarse tan compleja cuando existen ambientes en donde hay incluso hasta 100 o más aplicaciones y cada una tiene su propio código, nombre de usuario y clave secreta.

Por lo general, lo que se utiliza para solucionar esta problemática en ambientes heterogéneos es la utilización de grupos de administradores para cada tipo de aplicación (mainframes, clientes/servidor, aplicaciones basadas en Web, etc.) y con ello controlar los accesos y optimizar los tiempos de respuesta.

Sin embargo, con este tipo de política se corre el riesgo de violar la integridad de la información, ya que una gran cantidad de porcentaje en el mal uso de los datos de una empresa tiene relación con los ataques internos, o sea, los efectuados por los propios empleados.

Para minimizar estos riesgos, las soluciones de administración de identidad se basan en un directorio, el que es sólo una pieza en el manejo de la identidad, cuya evolución tecnológica ha derivado en los metadirectorios que tienen capacidad para conectarse con otros directorios y optimizar la gestión de los perfiles e identidades.

Políticas de seguridad

El estudio de las universidades antes citado indica una serie de anécdotas de seguridad, entre las que se destaca la de un técnico en tecnologías de información de una importante compañía textil encuestada, que afirmó que en un 80% de los casos se podían encontrar las contraseñas de los usuarios apuntadas en el reverso de sus tarjetas de visita o debajo de sus teclados.

El ejemplo grafica que el tema de la gestión de identidades, más que la instalación de poderosos software de administración, contraseñas unificadas o aplicaciones de seguridad, debe ser una verdadera política de empresa, especialmente para aquellas corporaciones en donde la información es un tema crítico.

Para esto, hoy en día muchas compañías no sólo contratan servicios informáticos para una buena gestión de identidades, sino también a consultoras especialistas en políticas de seguridad laboral, incluso con auditorias periódicas acerca de cómo se gestiona el acceso a la red interna de forma remota y cómo se maneja el tema de ingreso y despido de empleados.

En este punto, es precisamente una red tan abierta como Internet en donde se produce con mayor claridad el panorama descrito anteriormente. Garantizar el acceso a los datos de forma automática y con toda confianza es lo más importante para el buen funcionamiento de cualquier organización, sea de la índole que sea.

Todos requieren algún tipo de información o acceso a ciertas secciones de la compañía y a cada uno se le debe otorgar lo que necesita. Cuanto mejor sea la gestión de estas relaciones, gracias a una detallada administración de identidades, mejor marchará la empresa, lo que finalmente tendrá consecuencia en el éxito del negocio u otro tipo de objetivo al cual esté enfocada.