Espejito, espejito: ĀæQuiĆ©n accede a quĆ© en mi compaƱĆa?
Si realizĆ”ramos una auditorĆa de seguridad en empresas pequeƱas, grandes, locales, internacionales⦠habrĆa grandes probabilidades de encontrar una vulnerabilidad en comĆŗn en muchas de ellas: la gestión de las identidades de sus empleados, sus colaboradores y, finalmente, sus clientes.
El grado de complejidad que requiere la gestión de la identidad y quiĆ©n puede acceder a quĆ© en una organización es el fiel reflejo de toda su historia: desde su creación hasta la actualidad. Una gestión de identidades segura es el testigo de la calidad de sus primeros administradores de accesos, de sus arquitectos de seguridad, de sus procesos de negocio; en definitiva, el anĆ”lisis de los sistemas de identidad y accesos es toda una labor de āarqueologĆa tecnológicaā que nos diagnosticarĆ” la salud de la organización, acentuada si ademĆ”s hemos sufrido fusiones, absorciones y cambios de marca.

Dr. Alberto Partida
linkedin.com/in/albertopartida
La identidad es uno de los campos en los que las organizaciones de ānueva creaciónā pueden competir con gran ventaja si ājuegan bien sus cartasā y diseƱan unos procesos de gestión que sean, primero, independientes de la tecnologĆa que los soporte; segundo, ācapaces de sobrevivir en el futuroā, es decir, escalables y lo suficientemente versĆ”tiles como para adaptarse a mĆŗltiples cambios regulatorios y de procesos de negocio; y tercero, resilientes a ataques de usurpación de identidad.
Toda esta ālista de deseosā no se cumple directamente al instalar una Ćŗnica solución software que podamos encontrar en el mercado. Me temo que no es tan fĆ”cil. Sin embargo, el uso de soluciones abiertas y distribuidas, algunas de ellas tan antiguas como un buen diseƱo de directorio LDAP y una matriz de accesos entendible, aprobada por negocio y actualizada en todo momento, puede hacer maravillas.
A nivel macro, implementaciones blockchain como el proyecto espaƱol Alastria, que trata la gestión de identidades, y conceptos como la auto identidad soberana (āself-sovereign identityā) son caminos de futuro que merece la pena explorar con seriedad.
En definitiva, tradicionalmente la gestión de identidades ha sido un campo menos atractivo que las pruebas de seguridad (de los populares āred, blue y purple teamsā), pero un buen diseƱo alrededor de la identidad puede dar a toda organización una gran ventaja competitiva.