El escenario de la ciberseguridad se vuelve desafiante a medida que se complican y diversifican las formas de acceder a un sistema. Por ello, saber qué es IAM, también conocido como Gestión de Identidad y Acceso, es vital para iniciar una transformación radical de la seguridad de nuestra arquitectura. Ignacio Gil Barez nos brindará su opinión de experto en la temática.
Ignacio Gil Baréz, Gerente Regional de Autenticación de Consumidores IAM para HID Global, nos brinda un dato y un desafío preocupantes. “En el mercado de la deep web existen más de 500 millones de números de celular totalmente disponibles para ser blanco de ataques de phising. Esto preocupa a las empresas que intentan cazar la seguridad y la usabilidad en un solo producto”. Es aquí donde entra la solución IAM.
¿Qué es IAM? Identity and access management
Para empezar a descubrir esta herramienta es preciso iniciar por el concepto básico, ¿qué es IAM? Esto nos abrirá la puerta para comenzar a descubrir cómo el mundo cibernético altera el concepto de identidad.
Entonces, ¿Qué es IAM? IAM son las siglas para Identity and Access Management. Conocido en español como gestión de las identidades y accesos, este permite asegurar que la persona que entra al backend es el usuario.
Se trata de una forma de saber quién es un usuario de nuestro sistema, y qué permisos tiene para actuar en el mismo. Si buscáramos una definición más técnica, podríamos decir que IAM es la disciplina de seguridad que logra que las entidades correctas (personas o cosas) usen los recursos correctos (aplicaciones o datos).
De esta forma, los administradores de un sistema pueden asignar una identidad digital única, a la par que crean las bases para realizar una autenticación cuando estos inicien sesión en el sistema. A partir de ello, podrán autorizarlos para acceder a recursos específicos, manteniendo actualizados los permisos a lo largo de su ciclo de vida.
También es importante destacar la diferenciación que realiza este método entre identidad y acceso. Supongamos que Juan desea entrar al servicio de correo electrónico de su empresa, por lo que confirma su identidad mediante una combinación de usuario y contraseña. Cuando acceda a este, podrá ver sus emails recibidos y enviados. Pero en ningún punto, podrá ver los correos de su compañera María. Como tampoco podrá acceder a la información contable y los estados financieros de la organización.
Llegamos a la conclusión, entonces, de que aunque se verifique la identidad de un usuario, eso no implica que se le otorguen todos los privilegios de acceso para deambular por el sistema. La solución IAM es la encargada de dar seguimiento y control a los accesos que una identidad posee, de acuerdo a la naturaleza de sus tareas y sus necesidades.
Identidad en el mundo informático
Es imposible trasladar la identidad completa de un individuo a un entorno cibernético. Por lo que este término adquiere un matiz diferente si lo vemos desde este punto de vista.
La identidad, en un contexto informático, hace alusión a un conjunto de propiedades que pueden medirse y registrarse digitalmente. Gracias a esto, el sistema informático podrá cotejar estas características con el usuario, y solo si se corresponden es que se puede confirmar la identidad del usuario.
Este proceso también se conoce como factor de autentificación. Se pueden corresponder con tres tipos distintos:
- Algo que el usuario sabe: Se refiere a una información que solo el usuario sabe; como puede ser la combinación de nombre de usuario y contraseña.
- Algo que tiene el usuario: Hace alusión a un objetivo físico del que solo tiene posesión, y autorización para su uso, el usuario. Un ejemplo de este factor, sería la autenticación mediante el envio de un código mediante SMS al celular del usuario, ya que se estima que solo este lo posee.
- Algo que el usuario es: Hablamos, en este caso, de una propiedad física del propio cuerpo. Mediante la cual funcionan algunas herramientas como la autentificación mediante Face ID, en algunos celulares inteligentes.
¿Por qué es importante la IAM?
Como advertimos en un inicio, el escenario digital se ha diversificado notablemente. Las soluciones de seguridad no solo atañen a empleados y administradores de las empresas. Y no solo estamos haciendo alusión a clientes y proveedores que hace tiempo se han sumado a este entorno.
Ahora existen muchas herramientas que poseen una identidad digital y requieren un acceso al sistema. Los dispositivos, robots, y fragmentos de código del Internet de las Cosas también deben pertenecer a las soluciones IAM.
Pero, también es cierto que la información de miles de usuarios circula libremente por la web oscura. Inclusive sin que estos sepan que están siendo víctimas de un ataque. Desde los números de teléfono, hasta información personal como números de cuenta y direcciones, puede caer en malas manos. Ignacio cataloga a esta situación como una auténtica carrera armamentística en pos de dominar las tecnologías para ofrecer los entornos más seguros.
Ventajas y desventajas de la IAM
Si tu empresa ha comenzado a escalar rápidamente, no tardarás en percibir como se complica la gestión de los derechos de acceso y la identidad. Por ello, es que los sistemas IAM tiene una serie de beneficios:
- Simplifica y automatiza los procesos de recopilación y control de datos de los usuarios.
- Garantiza el cumplimiento de la normativa.
- Supervisa el comportamiento de los usuarios.
- Se puede utilizar en cualquier dispositivo o sistema.
Sin embargo, las herramientas IAM también tiene una desventaja. Es común escuchar casos donde esta solución ha fallado. Esto se debe a que cada empresa tiene un enfoque, herramientas, procesos y filosofías totalmente distintas a las demás compañías.
Es el caso, por ejemplo, de las empresas financieras. Donde es importante lograr que la solución IAM no colisione y llegue a dinamitar la experiencia del usuario. Ni tampoco la usabilidad, como nos explica Ignacio Gil Baréz. Una mala utilización de las herramientas IAM puede provocar altas tasas de abandono de usuario y llegar a comprometer el cumplimiento de la normativa de protección de datos.
Es por ello que no debemos olvidar que, antes de iniciar una implementación de IAM, se debe mapear por completo la arquitectura de seguridad. Esto también servirá para definir quiénes tendrán acceso a qué herramienta.
Tampoco se debe considerar este proceso como un asunto exclusivo del departamento de Informática. Toda la compañía debe respaldar a la herramienta y responder positivamente a la responsabilidad de administrar la misma.
Por otro lado, cuando hablamos de qué es IAM, es difícil pasar por el alto el destacado carácter centralizado. Característica de lo más atractiva para los ciberatacantes. Aunque actualmente se diseñan soluciones basadas en cadenas de bloques que supera esta desventaja fácilmente.
Tipos de autenticación de usuario
Entrando en materia, ahora que sabemos qué es IAM y como se relaciona con el mundo informático, podemos conocer los distintos tipos de autentificación de usuario que esta solución usa.
Inicio de Sesión Único (SSO)
Para este método de IAM, el usuario solo debe iniciar sesión una vez con su nombre de usuario y contraseña. Con esta acción ya contará con acceso a múltiples aplicaciones sin necesidad de ingresar los datos cuando cambie de app. Si has usado Facebook o Instagram, lo más probable es que conozcas esta solución.
Su principal ventaja es que elimina, casi por completo, la fricción del usuario. Pero también hace un gran trabajo aumentando la productividad.
Autenticación Multifactor (MFA)
Por otro lado, la autentificación multifactor, también conocida como MFA, agrega una capa de protección extra. Es sabido que las contraseñas han quedado bastante relegadas en cuanto a eficacia y resguardo de la privacidad o seguridad. Por lo que en este caso, se pide otra credencial de identificación
Lo más común es que el sistema pida una primera credencial referida a tu usuario y contraseña. Pero, en segunda lugar, también solicitará que ingreses un código temporal que ha sido enviado a tu dispositivo móvil.
Autenticación Basada en Riesgos
Puede que hayas escuchado hablar de este tipo de autentificación IAM bajo el nombre de adaptativa. Esta solicitará una autentificación MFA solo en los casos que se consideren exponencialmente peligrosos. Por ejemplo, has iniciado sesión desde una nueva localización o se haya detectado la presencia de malware.
Tipos de gestión de acceso
Ya hemos repasado qué es IAM y cómo actúa en cuanto a la autentificación de usuarios. Ahora bien, este es solo el primer paso dentro de las funciones de esta solución. Debemos conocer, además, cómo se administrarán los privilegios y accesos una vez que se autorice al usuario.
En la actualidad, se ha optado por la norma de “privilegio mínimo”. Esto quiere decir que solo se le otorga a una entidad el acceso a los recursos mínimos y necesarios para realizar una actividad, siendo revocado automáticamente cuando esta termine.
Gestión de acceso con privilegios (PAM)
El acceso privilegiado solo está otorgado a aquellos usuarios administradores o desarrolladores que requieran realizar cambios en el sistema, la base de datos o en las aplicaciones en sus tareas diarias.
Debido al riesgo de estas funciones, y el libro acceso que implican, estos usuarios son aislados por esta solución y sometidos a constantes monitoreos del uso de sus credenciales.
Gestión de acceso basada en roles (RBAC)
La solución IAM basada en roles mejora significativamente la gestión de accesos. Ya que permite otorgar derechos y accesos según el puesto que el usuario desempeñe. Teniendo en cuenta que a ese puesto le corresponde una serie de tareas relacionadas con el uso de herramientas específicas y el acceso a datos determinados.
En lugar de otorgar accesos uno por uno, el administrador podrá otorgar los privilegios de acuerdo a un determinado puesto previamente estipulado.
Integración de IAM con otras facetas de seguridad
1 | IAM e IA
La inteligencia Artificial se ha posicionado como una herramienta fundamental para la IAM, ya que le ha permitido contar con un enfoque más granular y adaptable a la gestión de los usuarios. También le ha permitido acceder al análisis de comportamiento (UEBA) que dispara las alarmas en caso de una actividad sospechosa. Ya sean inicios de sesión maliciosos, múltiples intentos de acceso, ubicaciones o dispositivos no reconocidos o el uso de VPN, la Inteligencia Artificial puede capturar estos indicadores en tiempo real para frenar un ataque.
Ignacio Gil Baréz nos explica que “la sensórica de los dispositivos permite captar los datos de los usuarios y crear una huella individualizada de cada usuario”. Inclusive la herramienta permite identificar los comportamientos sospechosos, como el nerviosismo, para identificar si quien ingresa los certificados se encuentra bajo coacción.
2 | IAM, la nube e IDaaS
El entorno digital ha migrado hacia una naturaleza totalmente híbrida, con productos locales y basados en la nube en simultáneo. Esto incurre en graves problemas de seguridad.
Una de las soluciones IAM más usadas es IDaaS, o identidad como servicio. Esta puede funcionar de manera independiente o complementaria a la solución IAM local existente.
3 | IAM y BYOD
El entorno de trabajo también ha sido modificado luego de la transformación digital de los últimos años. Esto implica que los trabajadores utilicen sus propios dispositivos para realizar tareas laborales.
IAM, en conjunto con BYOD, permite el uso de plataformas de gestión unificada de terminales. Se trata de una solución ideal para la movilidad de las compañías.
4 | IAM y IoT
Las filtraciones de datos más dramáticas de los últimos tiempos han ocurrido debido a que los dispositivos de Internet de las Cosas no contaban con una solución IAM. Esto les otorgaba una puerta de acceso ideal a los hackers. Es por ello que la gestión de identidades y acceso ha otorgado una identidad digital a estos dispositivos si se desea conectarlos a la red.
Consejos para la implementación de identity and access management
Ignacio Gil Barez nos ofrece una pequeña guía que tratará de guiar la implementación de IAM en las empresas. Algunos de sus consejos incluyen:
1 | Optar por productos de fácil integración para no sacrificar la experiencia del usuario
Uno de los principales problemas a la hora de implementar una solución IAM es que esta tenga una complejidad tal que termine afectando la experiencia del cliente o usuario final. “El desafío es lograr una transición limpia. El usuario debe notar únicamente una usabilidad mayor, y una experiencia del usuario sin fricciones. Como así también un aprendizaje de entorno continuo para seguir mejorando”.
Al respecto, mencionó que es preferible optar por productos IAM que incluyan la tecnología SDK y APIs.
2 | Buscar proveedores de IAM que brinden un asesoramiento y adaptación completa a la naturaleza procesal y operativa de tu empresa
Lo hemos mencionado anteriormente, el éxito de cualquier herramienta o software de ciberseguridad radica en su adaptabilidad completa al entorno de destino. Solo así se podrá asegurar sin tasa de error que la cobertura es completa y las fallas mínimas.
Un buen primer indicio de un proveedor de IAM es cuando este ofrece “una prueba de concepto de su caso específico para, a partir de ahí, detectar sus puntos vulnerables más críticos. Ya que en el mundo de la ciberseguridad el eslabón más débil es el de entrada”.
3 | Conoce el perfil de riesgo de tu compañía
Otro factor que Ignacio destacó es el conocimiento del apetito de riesgo que la empresa posee. Muchas veces este permite escalar para aceptar a nuevos clientes, pero otras veces aumentar nuestra cuota de mercado implicaría un gran riesgo.
La mejor opción es optar por una solución IAM que permita escalar la seguridad e integridad del sistema a medida que este se expanda para abordar una cuota de mercado mayor.
El futuro de IAM
“Las contraseñas ya no son un método seguro. Estamos migrando hacia un mundo sin contraseñas, donde el multifactor sea la norma, además de incluir el análisis conductual, puesto que es el que menos fricción representa” nos cuenta Ignacio. También nos explica que la inteligencia artificial y el análisis conductual serán claves para blindar los sistemas sin trastocar la experiencia del usuario.
Aunque también advierte que se debe recordar que estas mismas herramientas pueden ser usados por ciberatacantes. Por lo que la innovación continua debe ser parte de la visión estratégica de la compañía y los proveedores.
Entrevista a Ignacio Gil Baréz, especialista en IAM de HID Global
Puedes conocer a fondo las recomendaciones de implementación de soluciones IAM de Ignacio Gil Baréz en la siguiente entrevista. También podrás conocer las principales tendencias del área de la mano de uno de los especialistas en la materia.
Conclusión
El mundo digital híbrido ha implicado un desafío para las tareas de seguridad. Ya que aquí también colisionan nociones referentes a la experiencia de usuario y la usabilidad. Ignacio Gil Baréz, nos ha brindado una serie de recomendaciones efectivas para aquellas empresas que buscan una solución IAM para sus arquitecturas y plataformas.
El futuro estará marcado por tecnologías IAM multifactor que se apoyan fuertemente en la inteligencia artificial y el análisis conductual. Sin duda, estamos entrando a la era sin contraseñas.
