La gestión de la identidad y el acceso es un conjunto de políticas, procesos y tecnologías que tienen como objetivo mitigar los riesgos asociados al acceso de la información. Sin embargo, cuando se habla de gestión de identidad y acceso se considera que la única forma de madurar la gestión y dar solución a los múltiples riesgos producto de su gestión inadecuada, es la implementación de una solución tecnológica, lo cual resulta ser todo un elefante blanco en algunas organizaciones al no contar con políticas y procesos que soporten la automatización.
Frente a lo anterior se hace necesario preguntarnos: ¿conozco a qué tienen permitido acceder los usuarios dentro de los sistemas de información?, ¿se han definido los roles de acceso?, ¿se han definido lineamientos para controlar el ciclo de vida de la identidad?, ¿trabajan las áreas de la organización conjuntamente para gestionar los accesos?, si se desconocen algunas respuestas o dar respuesta es un poco complicado, a continuación, presento algunas recomendaciones que puede considerar para desarrollar una estrategia de gestión de identidades y accesos que contemple sus requerimientos actuales y le permita madurar en el tiempo.
Recomendaciones para desarrollar una estrategia de gestión de identidades y accesos
- Identifique los riesgos asociados a la gestión de identidades y accesos
Este será un buen punto de partida para establecer que está sucediendo y cuáles podrían ser los impactos de su gestión inadecuada, lo cual podrá ayudarle a apalancar el desarrollo del proyecto traduciéndolo al lenguaje del negocio. Puede apoyarse en análisis de riesgos anteriores o en auditorías previas para soportar el caso de negocio. - Identifique cuál será el alcance de la gestión
Priorice los sistemas de información, no seamos tan ambiciosos al principio, al ser un proceso de gestión continua lo ideal es que con el tiempo se extienda el alcance de los sistemas de información a ser cobijados hasta que estén el 100%. Por esto, hay que fijar una hoja de ruta que contemple ganancias tempranas y hacer proyecciones a corto, mediano y largo plazo. - Identifique e involucre los actores involucrados tanto internos como externos
La gestión es un proceso transversal a toda la organización, por ello es clave contar con su apoyo y compromiso, deben conocer los lineamientos, los procesos y sus responsabilidades para actuar en armonía, respondiendo a las necesidades operativas y de seguridad de la información. Para ello es clave involucrar áreas como recursos humanos y gestión de proveedores, así como también las áreas de negocio.
[TAMBIÉN LE PUEDE INTERESAR VER: Etapas de maduración en la gestión de identidad y accesos] - Identifique cuáles serán los usuarios que estarán dentro del alcance
Las necesidades de acceso y procesos cambian dependiendo los usuarios objetivo, ya sean colaboradores, proveedores o clientes, cada uno tendrá requerimientos y expectativas diferentes al gestionar sus accesos. - Defina el marco de gobierno que indique cómo se protegerán los datos y el sistema de información que los soporta, abarcando componentes como:
- Identificación de los usuarios en los sistemas
- Identificación y asignación de los roles
- Asignación, eliminación y actualización de usuarios y roles
- Niveles de acceso grupales e individuales.
- Identifique los flujos de trabajo
Habiendo definido los actores y sus responsabilidades desarrolle procedimientos o flujos que especifique las interacciones y actividades que se deben desarrollar para dar cumplimiento al marco de gobierno definido y que responda a las necesidades operativas.
[TAMBIÉN LE PUEDE INTERESAR VER: Herramientas Tecnológicas para Gestionar Accesos de Usuarios] - Desarrolle un inventario de accesos
Este punto es por el que más nos preguntan nuestros clientes y está en el número 7 porque es importante soportar la gestión del inventario de accesos con la implementación de los anteriores numerales, de lo contrario se corre el riesgo que los accesos prontamente queden desactualizados o solo sean conocidos por el área de TI o Seguridad de la Información, dejando de lado la responsabilidad que deben tener las áreas de negocio quienes conocen la sensibilidad y la criticidad de la información, siendo estos quienes certifican los accesos.
Al contar con lineamientos sólidos de gobierno y gestión soportados en procesos, la automatización de los mismos a través de tecnologías de IAM (Identity and Access Management) aportará a agilizar los procesos, eliminar el riesgo de error humano y facilitar el cumplimiento. Sin embargo, tenga en cuenta que estas tecnologías se alimentan de todo el marco definido en los anteriores numerales, de no contar con ello o restarle importancia, se tiende a subutilizar las soluciones o no obtener los resultados esperados.