Qué es IAM y para qué sirve
Independientemente de dónde trabajen los empleados, necesitan acceder a los recursos de su organización, por ejemplo, las aplicaciones, los archivos y los datos. La forma tradicional de actuar es tener a la mayoría de los empleados trabajando de manera local, donde los recursos de la empresa se mantienen detrás de un firewall. Una vez conectados en las instalaciones, los trabajadores pueden acceder a todo lo que necesiten.
Hoy día, en cambio, el trabajo híbrido es más común que nunca y los empleados necesitan un acceso seguro a los recursos de la empresa tanto si trabajan de manera local como remota. Aquí es donde entra en juego la administración de identidad y acceso (IAM). El departamento de TI de la organización necesita una forma de controlar a qué pueden acceder los usuarios y a qué no, para que las funciones y los datos confidenciales estén restringidos solo a las personas y los dispositivos que necesiten trabajar con ellos.
IAM proporciona acceso seguro a recursos de la empresa (como correos electrónicos, bases de datos, datos y aplicaciones) a entidades verificadas, idealmente con un mínimo de interferencia. El objetivo es administrar el acceso, para que las personas adecuadas pueden hacer su trabajo y se deniegue la entrada a usuarios malintencionados como, por ejemplo, los hackers.
La necesidad de un acceso seguro va más allá de los empleados que trabajan en los equipos de la empresa. También incluye a contratistas, proveedores, partners empresariales y personas que trabajan en dispositivos personales. La IAM se asegura de que cada persona que lo necesite tenga el nivel de acceso correspondiente en el momento idóneo en el equipo adecuado. Debido a esto y al papel que juega en la ciberseguridad de una organización, la IAM es un componente fundamental de la TI moderna.
Con un sistema IAM, la organización puede verificar de forma rápida y precisa la identidad de una persona y que tiene los permisos necesarios para utilizar el recurso solicitado durante cada intento de acceso.
Cómo funciona IAM
La concesión de acceso a los recursos de una organización tiene dos partes: administración de identidad y administración de acceso.
La administración de identidades comprueba un intento de acceso en una base de datos de administración de identidades, que es un registro continuo de todos los que deberían tener acceso. Esta información debe actualizarse constantemente a medida que las personas se unen o abandonan la organización, cambian sus puestos y proyectos, y el ámbito de la organización evoluciona.
Algunos ejemplos del tipo de información que se almacena en una base de datos de administración de identidades son: nombres de empleados, puestos de trabajo, gerentes, subordinados directos, números de teléfono móvil y direcciones de correo electrónico personales. La coincidencia de la información de inicio de sesión de una persona, por ejemplo, su nombre de usuario y contraseña, con su identidad en la base de datos se denomina autenticación.
Para aumentar la seguridad, muchas organizaciones requieren que los usuarios verifiquen su identidad con lo que se denomina la autenticación multifactor (MFA). También conocida como la verificación en dos fases o la autenticación en dos fases (2FA), la MFA es más segura que utilizar solo un nombre de usuario y una contraseña. Agrega un paso al proceso de inicio de sesión donde el usuario debe verificar su identidad con un método de verificación alternativo. Estos métodos de verificación pueden incluir números de teléfono móvil y direcciones de correo electrónico personales. El sistema IAM normalmente envía un código de un solo uso al método de verificación alternativo, que el usuario debe introducir en el portal de inicio de sesión en un período de tiempo establecido.
La administración de acceso es la segunda mitad de la IAM. Una vez que el sistema IAM ha verificado que la persona o el dispositivo que intenta acceder a un recurso coincide con su identidad, la administración de acceso realiza un seguimiento de los recursos a los que la persona o el dispositivo tiene permiso de acceso. La mayoría de organizaciones conceden distintos niveles de acceso a los recursos y los datos, que vienen determinados por factores como el puesto de trabajo, la antigüedad, la autorización de seguridad y el proyecto.
La concesión del nivel de acceso correcto una vez autenticada la identidad del usuario se denomina autorización. El objetivo de los sistemas IAM es asegurarse de que la autenticación y la autorización se realizan de forma correcta y segura en cada intento de acceso.
La importancia de la IAM para las organizaciones
Un motivo por el que la IAM es una parte importante de la ciberseguridad es que ayuda al departamento de TI de una organización a conseguir el equilibrio correcto entre mantener los datos y recursos importantes inaccesibles para la mayoría pero accesibles para algunos. IAM permite establecer controles que concedan un acceso seguro a empleados y dispositivos, a la vez que dificultan o impiden el acceso de usuarios externos.
Otro motivo por el que la IAM es importante es que los ciberdelincuentes están cambiando sus métodos diariamente. Existen ataques sofisticados como los correos electrónicos de phishing, que son una de las fuentes más comunes de ataques y vulneraciones de datos destinados a usuarios con acceso existente. Sin la IAM, es difícil administrar quién tiene acceso o no a los sistemas de una organización. Las vulneraciones y los ataques proliferan no solo porque es difícil ver quién tiene acceso, sino porque también lo es revocar el acceso de un usuario comprometido.
Aunque desgraciadamente la protección perfecta no existe, las soluciones IAM son un método excelente para evitar y minimizar el impacto de los ataques. En lugar de restringir el acceso de todos los usuarios en caso de vulneración, muchos sistemas IAM están habilitados con IA y pueden detectar e impedir ataques antes de que se conviertan en problemas más graves.
Ventajas de los sistemas IAM
El sistema IAM adecuado ofrece múltiples ventajas a una organización.
El acceso necesario para las personas adecuadas
Con la capacidad de crear y aplicar privilegios de acceso y reglas centralizadas, un sistema IAM permite garantizar que los usuarios tengan acceso a los recursos que necesitan sin que puedan acceder a la información confidencial que no necesitan. Esto se conoce como el control de acceso basado en roles (RBAC). RBAC es una forma escalable de restringir el acceso solo a las personas que lo necesitan para ejercer su rol. Los roles pueden asignarse en función de un conjunto fijo de permisos o valores personalizados.
Productividad sin límites
Si bien la seguridad es importante, también lo son la productividad y la experiencia del usuario. Por muy tentador que sea implementar un sistema de seguridad complejo para evitar vulneraciones, imponer barreras a la productividad, como múltiples inicios de sesión y contraseñas, es una experiencia frustrante para el usuario. Las herramientas de IAM como el inicio de sesión único (SSO) y los perfiles de usuario unificados permiten conceder un acceso seguro a los empleados en distintos canales como, por ejemplo, recursos locales, datos en la nube y aplicaciones de terceros, sin necesidad de varios inicios de sesión.
Protección de vulneraciones de datos
Aunque ningún sistema de seguridad es infalible, el uso de la tecnología IAM reduce significativamente el riesgo de vulneraciones de datos. Las herramientas de IAM como MFA, la autenticación sin contraseña y SSO ofrecen a los usuarios la capacidad de verificar su identidad utilizando algo más que un nombre de usuario y una contraseña, que se pueden olvidar, compartir o robar. La ampliación de las opciones de inicio de sesión de usuario con una solución IAM reduce el riesgo, al agregar una capa de seguridad adicional al proceso de inicio de sesión que no se puede atacar o compartir tan fácilmente.
Cifrado de datos
Uno de los motivos por los que la IAM es tan eficaz aumentando la seguridad de una organización es que muchos sistemas IAM ofrecen herramientas de cifrado. Estas protegen la información confidencial cuando se transmite hacia o desde la organización. Asimismo, hay características como el acceso condicional que permiten a los administradores de TI fijar condiciones como la ubicación del dispositivo o información de riesgos en tiempo real como condiciones de acceso. Esto permite que los datos estén seguros, incluso en el caso de una vulneración, ya que solo se pueden descifrar en determinadas condiciones verificadas.
Menos trabajo manual de TI
La IAM puede ahorrar tiempo y trabajo a los departamentos de TI al automatizar sus tareas como, por ejemplo, ayudar a las personas a restablecer la contraseña, desbloquear sus cuentas y supervisar los registros de acceso para identificar anomalías. Esto libera a los departamentos de TI para centrarse en otras tareas importantes como la implementación de una estrategia de Confianza cero en el resto de la organización. La IAM es fundamental para la Confianza cero, que es un marco de seguridad basado en los principios de verificación explícita, uso de acceso con privilegios mínimos y suposición de vulneración.
Colaboración y eficacia mejoradas
Una colaboración perfecta entre los empleados, los fabricantes, los contratistas y los proveedores es fundamental para mantener el ritmo de trabajo actual. La IAM permite esta colaboración asegurándose de que no solo sea segura, sino también rápida y sencilla. Los administradores de TI también pueden crear flujos de trabajo automatizados basados en roles para agilizar los procesos de permiso en las transferencias de roles y las nuevas contrataciones, lo que permite ahorrar tiempo en la incorporación.
IAM y los reglamentos de cumplimiento
Sin un sistema IAM, una organización debe realizar un seguimiento manual de cada entidad individual que tenga acceso a sus sistemas, y de cómo y cuándo utilizan dicho acceso. Como resultado, las auditorías manuales son un proceso laborioso que requiere mucho tiempo. Los sistemas IAM automatizan este proceso, para que la auditoría y la creación de informes sean mucho más rápidas y sencillas. Durante las auditorías, los sistemas IAM permiten a las organizaciones demostrar que el acceso a los datos confidenciales se está gestionando correctamente, como se requiere en muchos contratos y leyes.
Las auditorías son solo una parte del cumplimiento de determinados requisitos normativos. Muchos reglamentos, leyes y contratos requieren una administración de la privacidad y un gobierno del acceso a los datos, que es para lo que se han diseñado los sistemas IAM.
Las soluciones IAM permiten verificar y administrar identidades, detectar actividad sospechosa y notificar incidencias. Todo esto es necesario para satisfacer los requisitos de cumplimiento como "Conozca a su cliente", la supervisión de transacciones para los informes de actividad sospechosa y la regla de señales de alarma. También hay estándares de protección de datos como el Reglamento general de protección de datos (GDPR) en Europa, y la Ley de transferencia y responsabilidad de seguros de salud (HIPAA) y la Ley de Sarbanes-Oxley en Estados Unidos que requieren estrictos estándares de seguridad. Tener en vigor el sistema IAM adecuado permite cumplir estos requisitos fácilmente.
Tecnologías y herramientas de IAM
Las soluciones IAM se integran con una amplia variedad de tecnologías y herramientas para garantizar que la autenticación y la autorización sean posibles a escala empresarial:
- Lenguaje de marcado de aserción de seguridad (SAML) – SAML es lo que hace que el SSO sea posible. Una vez el usuario se ha autenticado satisfactoriamente, SAML notifica a las otras aplicaciones que el usuario es una entidad verificada. El motivo por el que SAML es importante es que funciona en distintos sistemas operativos y equipos, lo que permite conceder un acceso seguro en una amplia variedad de contextos.
- OpenID Connect (OIDC) – OIDC agrega un aspecto de identidad a 0Auth 2.0, que es un marco de autorización. Envía tokens que contienen información sobre el usuario entre el proveedor de identidades y el proveedor de servicios. Estos tokens se pueden cifrar y contienen información sobre el usuario como, por ejemplo, el nombre, la dirección de correo electrónico, la fecha de nacimiento o una fotografía. Los tokens son fáciles de utilizar para los servicios y las aplicaciones, lo que hace que OIDC sea muy útil para autenticar usuarios de aplicaciones, redes sociales y juegos móviles.
- System for Cross-Domain Identity Management (SCIM) – SCIM permite a las organizaciones administrar identidades de usuario de una forma estandarizada que funciona en múltiples aplicaciones y soluciones (proveedores).
Los proveedores tienen distintos requisitos para la información de identidad de usuario. SCIM permite crear una identidad para un usuario en una herramienta IAM que se integre con el proveedor, para que el usuario tenga acceso sin necesidad de crear una cuenta diferente.
Implementación de IAM
Los sistemas IAM afectan a cada departamento y cada usuario. Por lo tanto, se requiere una planificación exhaustiva previa para garantizar una implementación satisfactoria de la solución IAM. Se recomienda empezar calculando el número de usuarios que necesitarán acceso y compilando una lista de las soluciones, los dispositivos, las aplicaciones y los servicios que utiliza la organización. Estas listas son muy útiles para comparar soluciones IAM, para garantizar que sean compatibles con la configuración de TI existente de la organización.
A continuación, es importante asignar los distintos roles y situaciones que deberá acomodar el sistema IAM. Este marco se convertirá en la arquitectura del sistema IAM y formará la base de la documentación de IAM.
Otro aspecto a tener en cuenta en la implementación de IAM es el plan de desarrollo a largo plazo de la solución. A medida que la organización crezca y se expanda, sus necesidades de un sistema IAM variarán. Planifica este crecimiento previamente para asegurarte de que la solución IAM esté alineada con los objetivos empresariales y configurada para garantizar el éxito a largo plazo.
Soluciones IAM
A medida que aumenta la necesidad de un acceso seguro a los recursos en todas las plataformas y dispositivos, es más clara e imperativa la importancia de IAM. Las organizaciones necesitan una forma eficaz de gestionar las identidades y los permisos a escala empresarial, que facilite la colaboración y aumente la productividad.
La implementación de una solución IAM que se adapte al ecosistema de TI existente y utilice tecnologías como la IA para ayudar a los administradores de TI a supervisar y administrar el acceso en toda la organización es una de las mejores formas de reforzar la posición de seguridad de tu organización. Para obtener más información sobre cómo proteger el acceso a cualquier aplicación o recurso, asegurar y verificar cada identidad, proporcionar solo el acceso necesario y simplificar el proceso de inicio de sesión, explora Microsoft Entra y otras soluciones de Seguridad de Microsoft.
Más información sobre Seguridad de Microsoft
Microsoft Entra
Proteja las identidades y los recursos con una familia de soluciones multinube de identidad y acceso de red
Azure Active Directory
Mantenga las identidades y los datos seguros mientras simplifica el acceso. Azure AD se convertirá próximamente en Microsoft Entra ID
Gobernanza de id. de Microsoft Entra
Proteja, supervise y audite el acceso a los recursos críticos.
Id. externa de Microsoft Entra
Proporcione a sus clientes y asociados acceso seguro a cualquier aplicación.
Protección de Microsoft Entra ID
Bloquee la apropiación de identidad en tiempo real.
Seguridad de Microsoft
Obtén protección contra ciberataques en tu empresa, negocio y hogar.
Preguntas más frecuentes
-
La administración de identidad está relacionada con la administración de los atributos que permiten verificar la identidad de un usuario. Los atributos se almacenan en una base de datos de administración de identidades. Algunos ejemplos de atributos son el nombre, el puesto, el área de trabajo asignada, el director, los informes directos y un método de verificación que el sistema puede utilizar para comprobar que son quienes afirman ser. Estos métodos de verificación pueden incluir números de teléfono móvil y direcciones de correo electrónico personales.
La administración de acceso controla a qué tiene acceso el usuario una vez verificada su identidad. Estos controles de acceso pueden estar basados en el rol, la autorización de seguridad, el nivel educativo o valores personalizados.
-
La administración de identidad y acceso permite garantizar que solo las personas adecuadas puedan acceder a los datos y recursos de una organización. Es una práctica de ciberseguridad que permite a los administradores de TI restringir el acceso a recursos de la organización, para que solo tengan acceso las personas que lo necesiten.
-
Un sistema de administración de identidades es una base de datos que almacena información de identificación sobre las personas y los dispositivos que necesitan acceder a los datos y los recursos de una organización. La base de datos almacena atributos como, por ejemplo, nombres de usuario, direcciones de correo electrónico, números de teléfono, directores, informes directos, área de trabajo asignada, nivel educativo y nivel de autorización de seguridad. Estos atributos se utilizan para verificar que un usuario sea quien afirma ser. El sistema de administración de identidades debe actualizarse constantemente a medida que las personas se unen y abandonan una empresa, cambian de puesto, e inician y finalizan proyectos.
-
El software de administración de identidad y acceso proporciona herramientas para ayudar a las organizaciones a verificar las identidades de las personas y los dispositivos que intentan iniciar sesión, y garantiza que los usuarios verificados tengan acceso a los recursos adecuados. Es una forma centralizada de verificar la identificación, administrar el acceso y marcar las vulneraciones de seguridad.
-
La IAM es un componente crucial de la informática en la nube porque los nombres de usuario y las contraseñas ya no son suficientemente seguros para mantener una organización a salvo de vulneraciones. Las contraseñas se pueden robar, compartir u olvidar, y muchas organizaciones son tan grandes que es imposible administrar y supervisar manualmente los intentos de acceso. Con un sistema IAM, es más fácil mantener actualizados los atributos de identidad; conceder y restringir el acceso por rol; y marcar las anomalías y las vulneraciones de seguridad.
Seguir a Microsoft