Espejito, espejito: ¿Quién accede a qué en mi compañía?
Si realizáramos una auditoría de seguridad en empresas pequeñas, grandes, locales, internacionales… habría grandes probabilidades de encontrar una vulnerabilidad en común en muchas de ellas: la gestión de las identidades de sus empleados, sus colaboradores y, finalmente, sus clientes.
El grado de complejidad que requiere la gestión de la identidad y quién puede acceder a qué en una organización es el fiel reflejo de toda su historia: desde su creación hasta la actualidad. Una gestión de identidades segura es el testigo de la calidad de sus primeros administradores de accesos, de sus arquitectos de seguridad, de sus procesos de negocio; en definitiva, el análisis de los sistemas de identidad y accesos es toda una labor de “arqueología tecnológica” que nos diagnosticará la salud de la organización, acentuada si además hemos sufrido fusiones, absorciones y cambios de marca.
La identidad es uno de los campos en los que las organizaciones de “nueva creación” pueden competir con gran ventaja si “juegan bien sus cartas” y diseñan unos procesos de gestión que sean, primero, independientes de la tecnología que los soporte; segundo, “capaces de sobrevivir en el futuro”, es decir, escalables y lo suficientemente versátiles como para adaptarse a múltiples cambios regulatorios y de procesos de negocio; y tercero, resilientes a ataques de usurpación de identidad.
Toda esta “lista de deseos” no se cumple directamente al instalar una única solución software que podamos encontrar en el mercado. Me temo que no es tan fácil. Sin embargo, el uso de soluciones abiertas y distribuidas, algunas de ellas tan antiguas como un buen diseño de directorio LDAP y una matriz de accesos entendible, aprobada por negocio y actualizada en todo momento, puede hacer maravillas.
A nivel macro, implementaciones blockchain como el proyecto español Alastria, que trata la gestión de identidades, y conceptos como la auto identidad soberana (“self-sovereign identity”) son caminos de futuro que merece la pena explorar con seriedad.
En definitiva, tradicionalmente la gestión de identidades ha sido un campo menos atractivo que las pruebas de seguridad (de los populares “red, blue y purple teams”), pero un buen diseño alrededor de la identidad puede dar a toda organización una gran ventaja competitiva.