Control de identidades: Claves para proteger los accesos a sistemas y datos corporativos

control de identidades

Control de identidades: Claves para proteger los accesos a sistemas y datos corporativos

Uno de los principales objetivos al desplegar planes de seguridad para empresas es evitar la intrusión de personas ajenas a las aplicaciones críticas de negocio. El control de identidades resulta imprescindible y es una de las claves para proteger los accesos a sistemas y datos corporativos.

El robo de identidades es un botín al que se dirigen buena parte de los ciberataques que sufren las empresas hoy en día. Es sobradamente conocida la estrategia por parte de los ciberdelincuentes de enviar un email engañoso de una entidad o persona de confianza solicitando las claves de sistemas o servicios críticos. Pero por muy conocida que sea, sigue funcionando.

Otras veces, el peligro está dentro de la empresa. Sin una gestión de identidades y accesos adecuada, un empleado con malas intenciones puede entrar en cualquier sistema para manipular o directamente sustraer información que puede perjudicar al negocio si cae en mano de la competencia.

¿Por qué necesito una solución IAM de gestión de identidades y accesos?

En la planificación de estrategias de ciberseguridad para empresas, las soluciones IAM (Identity and Access Management) son una pieza imprescindible. Son sistemas que de forma automática asocian los derechos de los usuarios con sus restricciones según una identidad establecida para controlar sus accesos a los sistemas que se desee.

Y son cada vez más necesarias para poder hacer frente a dos escenarios que entrañan un alto peligro de sufrir ciberataques, pero que a la vez son necesarios para cualquier negocio competitivo: la movilidad y cloud.

Tanto la utilización de dispositivos móviles, ya sean corporativos o personales (BYOD), para acceder en cualquier momento a las aplicaciones empresariales, como el uso de sistemas en la Nube son imparables. La mejor medida de protección es prohibirlo, pero eso es impensable. La implantación de una solución para la gestión de identidades y accesos permite que sigan siendo elementos clave para impulsar los negocios.

Un sistema IAM, además, proporciona una visión 360º de los permisos otorgados de manera que se sabe en todo momento qué personas con qué perfiles pueden acceder a qué y desde qué dispositivos. Esto también evita que haya empleados que soliciten accesos acumulando privilegios sin control y puedan entrar donde deben. De igual manera, automáticamente se anulan todos los permisos asociados a las personas que abandonan la empresa.

Cómo desplegar una solución de gestión de identidades y accesos

El primer paso es contar con un servicio de directorio centralizado como punto único para almacenar todas las credenciales evitando que se dispersen en diferentes archivos o incluso en papel. A partir de ahí, una aplicación IAM se encarga de capturar, registrar y gestionar las identidades y permisos de los empleados.

Para ello es necesario establecer una serie de reglas sujetas a definiciones que dejen claro qué a qué aplicaciones puede entrar cada empleado en función de su rol, su departamento… y mediante qué dispositivos autorizados en la red corporativa, además de los otros aspectos que se consideren.

Además en esta definición de políticas de seguridad, se determinan también el tipo de informes que se quieren generar para controlar los procesos de identificación y acceso, las alertas y alarmas que avisen de cualquier anormalidad, etc. Estas cuestiones son muy importantes porque ante cualquier auditoría, por ejemplo referida al cumplimiento del RGPD, podrán presentarse logs que justifiquen el cumplimiento de la norma/ley evaluada o el porqué de cualquier evento de seguridad que haya ocurrido.

Mayor productividad y seguridad

Es interesante destacar que la mayoría de los productos IAM del mercado, permiten que los empleados, si se acaban de incorporar a la empresa o han cambiado de rol/departamento, sean ellos mismos los que soliciten en modalidad de autoservicio su solicitud de credenciales, pudiendo emitirse automáticamente. Si bien, siempre habrá algunos que requieran revisiones.

Esta posibilidad acelera el uso de los sistemas por parte de los trabajadores, aumentando su productividad y la de los equipos de TI, que pueden centrarse en acciones de mayor valor.

En el mercado existen numerosas opciones. Las mejores soluciones para la gestión de identidades y accesos suelen incorporar procesos de autenticación fuerte, más allá de la consabida combinación usuario/clave, con autenticación multi-factor (combinación de varios credenciales independientes), tokens de seguridad (relación cifras y números), firma digital…

También, permiten las identificaciones SSO (Single-Sign-On) con las que es posible mantener las mismas credenciales para diferentes aplicaciones en entornos de federación de identidades, lo que supone no tener que mantener y gestionar BBDD de usuarios, roles y contraseñas para cada sistema. Estas posibilidades simplifican mucho la labor de los equipos de TI.

Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España.

 

ebook 5 decisiones críticas para digitalizar tu empresa BLOG