Espejito, espejito: ¿Quién accede a qué en mi compañía?

Si realizĆ”ramos una auditorĆ­a de seguridad en empresas pequeƱas, grandes, locales, internacionales… habrĆ­a grandes probabilidades de encontrar una vulnerabilidad en comĆŗn en muchas de ellas: la gestión de las identidades de sus empleados, sus colaboradores y, finalmente, sus clientes.

El grado de complejidad que requiere la gestión de la identidad y quiĆ©n puede acceder a quĆ© en una organización es el fiel reflejo de toda su historia: desde su creación hasta la actualidad. Una gestión de identidades segura es el testigo de la calidad de sus primeros administradores de accesos, de sus arquitectos de seguridad, de sus procesos de negocio; en definitiva, el anĆ”lisis de los sistemas de identidad y accesos es toda una labor de ā€œarqueologĆ­a tecnológicaā€ que nos diagnosticarĆ” la salud de la organización, acentuada si ademĆ”s hemos sufrido fusiones, absorciones y cambios de marca.

La identidad es uno de los campos en los que las organizaciones de ā€œnueva creaciónā€ pueden competir con gran ventaja si ā€œjuegan bien sus cartasā€ y diseƱan unos procesos de gestión que sean, primero, independientes de la tecnologĆ­a que los soporte; segundo, ā€œcapaces de sobrevivir en el futuroā€, es decir, escalables y lo suficientemente versĆ”tiles como para adaptarse a mĆŗltiples cambios regulatorios y de procesos de negocio; y tercero, resilientes a ataques de usurpación de identidad.

Toda esta ā€œlista de deseosā€ no se cumple directamente al instalar una Ćŗnica solución software que podamos encontrar en el mercado. Me temo que no es tan fĆ”cil. Sin embargo, el uso de soluciones abiertas y distribuidas, algunas de ellas tan antiguas como un buen diseƱo de directorio LDAP y una matriz de accesos entendible, aprobada por negocio y actualizada en todo momento, puede hacer maravillas.

A nivel macro, implementaciones blockchain como el proyecto espaƱol Alastria, que trata la gestión de identidades, y conceptos como la auto identidad soberana (ā€œself-sovereign identityā€) son caminos de futuro que merece la pena explorar con seriedad.

En definitiva, tradicionalmente la gestión de identidades ha sido un campo menos atractivo que las pruebas de seguridad (de los populares ā€œred, blue y purple teamsā€), pero un buen diseƱo alrededor de la identidad puede dar a toda organización una gran ventaja competitiva.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×