Las comprobaciones de identidad basadas en usuarios y contraseñas fueron posiblemente el primer nivel de seguridad implementado por los sistemas de información. Estar seguros que solo las personas indicadas y autorizadas tengan acceso a equipos o información específica era y sigue siendo el objetivo de los sistemas de identidad. El ambiente tecnológico ha evolucionado de forma exponencial y los sistemas de seguridad han seguido el paso de este crecimiento de cerca. Sistemas más complejos, integrados, disponibles y capaces demandan cada vez más, tecnologías y estrategias de aseguramiento avanzadas. La gestión de las identidades no ha sido la excepción y ha pasado del simple concepto de la autenticación a una mirada mucho más integral del manejo de la identidad.
A continuación una revisión del concepto de identidad desde la mirada del centro de datos, algunas técnicas de gestión de la identidad que no se limitan a la administración de contraseñas y usuarios, y son un complemento a las estrategias de seguridad de las organizaciones.
Monitoreo de equipos críticos:
Los equipos de tecnologías de información, cada vez son más complejos, diversos y segmentados. Es muy común encontrar áreas de IT que cuentan con departamentos especializados de infraestructura, aplicaciones y bases de datos los cuales comparten recursos, servidores y sistemas críticos para la operación del negocio.
Controlar los accesos a estos recursos se convierte en un reto teniendo en cuenta que para la ejecución de tareas avanzadas, es necesario el uso compartido de usuarios de administración como Root o administrator
Las herramientas de gestión de identidades ayudan a mantener el control sobre ambientes compartidos, ejerciendo una segmentación de capacidades y funcionalidades para cada uno de los administradores, asimismo, garantizan que cada área cuente con los accesos requeridos para su operación sin comprometer sistemas, aplicaciones o servicios que estén bajo la gestión de otras áreas.
Automatización de los procesos de autorización de acceso:
El uso de cuentas de administrador de sistemas, aplicaciones y servidores es requerido en el día a día de la operación de una organización. Tareas como la actualización de sistemas operativos, instalación de aplicaciones y ejecución de mantenimientos hacen necesario que los operadores de sistemas soliciten continuamente el acceso con privilegios elevados a sistemas críticos del negocio; estas solicitudes son complejas de manejar y entorpecen la agilidad de las tareas.
Las herramientas de gestión de identidades cuentan con la capacidad de automatizar estas solicitudes, centralizando las peticiones en un único sistema, en el cual, los operadores pueden documentar la solicitud, incluyendo los privilegios requeridos, el horario en el que se usará, y solicitar la autorización de un tercero el cual puede definir bajo qué condiciones se asignan estos privilegios manteniendo un seguimiento y auditoria del uso de cuentas privilegiadas.
Control de proveedores y terceros:
Es muy común que los administradores de infraestructura crítica deban permitir el acceso a plataformas de información a terceros como proveedores de servicios o equipos de soporte externo para la ejecución de instalaciones o mantenimientos; poder hacer un buen seguimiento sobre qué actividades realizan estos terceros es crítico para garantizar la integridad de los sistemas internos. La grabación de sesiones incluida en herramientas de gestión de identidad permite a la organización contar con un registro en video de las actividades ejecutadas por cada usuario, identificando cambios mal intencionados, extralimitación de actividades o simples errores ejecutados durante estas actividades.
Control de acceso sobre aplicaciones:
El control de acceso a sistemas críticos no se limita a usuarios o administradores individuales, en muchos casos es necesario permitir el acceso de aplicaciones nuevas a servidores, bases de datos u otros sistemas críticos, lo que comúnmente se hace escribiendo las credenciales de autenticación en el código de esas aplicaciones, convirtiéndose en un riesgo para la seguridad de la organización.
Haciendo uso de sistemas de integración web como los Web Services, las organizaciones pueden delegar estas tareas de autenticación a un sistema de gestión de identidad que administre el acceso de aplicaciones a recursos internos sin requerir que estas almacenen de ninguna forma credenciales críticas.