Gestión de identidad y acceso a sistemas en entornos empresariales

Por Geovanny Torres, CISO de BMI Companies.

Las organizaciones sin una plataforma tecnológica escalable no pueden ser competitivas frente a las exigencias del entorno y los mercados. Por lo tanto, es importante tener la capacidad de integrarse con plataformas que permitan este crecimiento. Sin embargo, esta integración implica exponerse a una serie de riesgos. En la gestión de seguridad, ya sea en el desarrollo interno o al utilizar soluciones de terceros, se debe estimar los impactos que conlleva cada integración, priorizando un equilibrio entre la funcionalidad y la seguridad de la información.

Frente a las aplicaciones desarrolladas in house o de terceros se requiere de políticas que visiones un ecosistema seguro donde se detallen las reglas de juego y los controles que debe cumplir cada dueño de la información y las partes interesadas de la organización bajo el sustento normativo de buenas prácticas internacionales como la ISO 27034, NIST 800-163, OWASP, entre otras. Sin olvidar lo que se solicite en las resoluciones o circulares de las entidades de control que normen cada sector empresarial.

Para definir los niveles de acceso a los sistemas y aplicaciones de los colaboradores de una organización se necesita generar roles o permisos que se asignan a los usuarios según sus responsabilidades. Los roles son el conjunto de aquellos flujos que permitirán al usuario disponer de las funcionalidades que estrictamente fueron diseñadas para su gestión, estos roles se asignarán en base al nivel de atribución y responsabilidad que tengan los gestores sobre los procesos en los sistemas y aplicaciones.

El acceso a los distintos sistemas de la organización se debe definir con el principio del mínimo privilegio y segregación de funciones. La administración de perfiles en los entornos dinámicos actuales no es viable; los accesos deben ser diseñados en base a los flujos que el gestor va a utilizar dentro de los sistemas o aplicaciones, priorizando los niveles de atribución que tendrá en cada proceso transversal. Para ello, es importante la optimización de procesos y los controles que acompañan cada etapa.

Un aspecto importante en el acceso a sistemas es la incorporación o desvinculación de colaboradores. Los procedimientos a seguir son compartidos con el dueño del proceso y las áreas de talento humano, que definitivamente son los responsables de ejecutar los procesos de incorporación o desvinculación. Aunque lo ideal es disponer de un gestor de identidades (IDM) que permita la creación automática de usuarios y roles que le corresponden a cada nuevo colaborador, basándose en la gestión que realizarán, y que desactive los accesos a los sistemas cuando un colaborador se desvincula.

Llegar a este nivel de optimización involucra varias etapas, desde estandarizar los perfiles de cargo, agrupar los flujos de cada rol en los sistemas y servicios con los perfiles de cargo, hasta definir un estándar para la generación de usuarios. Se recomienda hacerlo por correo electrónico y usar este usuario como identificador único de acceso a los sistemas. Además, se debe proporcionar a los nuevos usuarios una clave temporal que puedan cambiar en su primer inicio de sesión en el dispositivo asignado para su gestión.

Si una organización no dispone de un IDM, el proceso debe contar con controles más estrictos en cada etapa. La asignación adecuada de roles debe ser monitoreada periódicamente por los equipos de seguridad de información para evitar una asignación incorrecta debido a omisiones en el proceso definido.

Los procesos de onboarding o incorporación de colaboradores deben ser simples y seguros. La inclusión de controles que no agreguen valor a la seguridad de la identidad puede limitar el uso de servicios y sistemas, lo que afecta la experiencia del cliente y la relación con los socios comerciales. Un ecosistema de seguridad óptimo es aquel que equilibra la funcionalidad de los sistemas con los controles implementados.

En entornos híbridos, que son cada vez más comunes en las organizaciones, garantizar la identidad y el acceso de los colaboradores remotos o aquellos que trabajan fuera de la oficina es un desafío. Los modelos orientados al concepto de «confianza cero» permiten un control más efectivo sobre cómo acceden los colaboradores a los sistemas y servicios, incorporando funcionalidades adicionales como la protección contra fugas de información (DLP), el filtrado de contenido web y el antimalware.

Las mejores prácticas en la gestión de identidad y acceso a sistemas y aplicaciones dentro de una estrategia de seguridad de la información incluyen el uso del principio del «mínimo privilegio» y la segregación de funciones, la creación de roles orientados a los procesos en lugar de perfiles, la implementación de un gestor de identidades (IDM) o la inclusión de controles efectivos para garantizar la asignación adecuada de roles en los procesos de creación de cuentas de usuario y la eliminación de accesos en los procesos de desvinculación. Además, se puede considerar la implementación de un modelo de «confianza cero», incluso en entornos de trabajo tradicionales.

Dentro de las campañas de concientización en materia de seguridad de la información, es importante considerar el uso adecuado de contraseñas, proporcionar consejos sobre cómo proteger la identidad y evaluar su aplicación mediante simulaciones de ataques de phishing. La gestión de seguridad de la información se basa en la prevención; los colaboradores representan la primera capa de protección, y la noción de ser el «eslabón más débil» deja de aplicar cuando los colaboradores están debidamente capacitados para enfrentar incidentes de seguridad o ciberataques.