La protección de la seguridad es, para las empresas, uno de los principales desafíos que tienen que abordar. Esto les lleva a tener que tomar medidas en distintos frentes, con la gestión de identidades como uno de los más importantes. Porque aunque la protección de los procesos y los clientes y usuarios de servicios es muy importante, proteger la información para evitar que caiga en manos de quien no tiene permiso para verla.
No obstante, se trata de un área muy delicada, porque a pesar de su importancia, pasarse de largo e implantar medidas excesivamente rigurosas puede complicar la experiencia de los usuarios y complicarles el acceso, e incluso el trabajo. Unas medidas de verificación de identidad complejas puede incluso desembocar en abandono de acceso y en pérdida de ingresos. Por eso es importante poner en práctica medidas y enfoques de gestión de identidades que consigan un equilibrio entre una protección de datos y accesos adecuada y una experiencia de usuario satisfactoria.
Enfoques de gestión de identidades
Las estrategias de gestión de identidades que puede adoptar una empresa están catalogadas en tres modelos: centralizado, federado y descentralizado. En el primero, un único sistema se encarga de gestionar todas las identidades de usuario y los permisos de acceso. Simplifica la administración de los datos y los derechos de acceso, con un nivel elevado de control y visibilidad.
Pero este modelo también tiene sus inconvenientes, sobre todo en cuanto a escalado y seguridad. A mayor número de datos sensibles, será necesario gastar más para protegerlos y mantener la seguridad. Además, almacenar grandes cantidades de datos en un solo punto hace que sea muy atractivo para los ciberatacantes. Por eso es necesario invertir mucho en medidas de seguridad para proteger la información si se opta por este enfoque. No obstante, suele ser la opción elegida cuando se necesita sencillez y facilidad de gestión.
El enfoque de gestión de identidades federado permite que entidades independientes compartan la información sobre identidades de manera segura, lo que permite que los usuarios puedan acceder a varios servicios con un mismo paquete de credenciales.
Su experiencia, de usuario es mejor por tener que recordar menos contraseñas, y muy ventajoso en entornos en los que sea necesario acceder a varios servicios o aplicaciones en distintas organizaciones. Pero también presenta problemas, sobre todo de privacidad, dado que en muchos casos multinacionales. como Alphabet o Meta actúan como proveedores de identidad, y pueden rastrear las actividades del usuario en varias plataformas.
La gestión de identidades descentralizada está más centrada en dar a los usuarios el control sobre los datos de su identidad. Este enfoque emplea tecnologías relacionadas con las llamadas credenciales verificables, y permite generar identidades digitales reutilizables, con lo que el usuario puede gestionar sus credenciales de forma independiente, sin depender de una autoridad central para ello.
Con este modelo se mejora tanto la privacidad como la seguridad, ya que no existen repositorios de datos que atacar. Por eso, este enfoque está ganando peso en los últimos tiempos, de cara al futuro de la gestión de identidades. Sobre todo en el caso del uso de aplicaciones que necesiten un nivel elevado de confianza y seguridad. Pero todo depende de las necesidades concretas de seguridad de cada empresa, así como del marco regulatorio en el que se mueve.
Mejores prácticas para la gestión de identidades
Como paso previo a la gestión de identidades, lo más recomendable es establecer una política completa dedicada a su gestión. De esta manera se contará con una base sólida para hacerlo con seguridad. En esta política deben quedar especificados los protocolos que se emplearán para la verificación de identidad, las medidas de seguridad a adoptar y cómo se gestionarán las brechas de datos. Además, es aconsejable que todas las partes implicadas en la gestión de identidades son conscientes de sus papeles y responsabilidades.
Otra práctica más que aconsejable es la adopción de la conocida como privacidad por diseño. Se trata de un enfoque que plantea que los sistemas tienen que tener en cuenta la privacidad y la protección de datos desde las primeras etapas de un proyecto que implique gestión de identidades, y a lo largo de todo su ciclo de vida.
Se trata de una buena práctica que implica la recopilación de la mínima cantidad de datos, y su retención solo mientras sea necesario. Además, contempla su protección a través de diversas medidas de seguridad, como el cifrado, y permite asegurar el cumplimiento de las normas, como la RGPD, desde un primer momento, lo que eleva el nivel de confianza de clientes y usuarios.
Evidentemente, para una correcta gestión de identidades es necesario implementar métodos de autenticación sólidos, en dos o más factores. Así se reduce de manera notable el riesgo de que haya acceso no autorizado a la información. Además, es aconsejable realizar auditorías de seguridad con cierta frecuencia, además de formar a los usuarios en las mejores prácticas que pueden adoptar en relación con la seguridad: mostrarles cómo identificar intentos de phishing, aconsejarles utilizar contraseñas sólidas y cambiarlas cada cierto tiempo, etc.
Sin duda, una de las prácticas de gestión de identidades más sólidas de la actualidad es la adopción del principio conocido como Zero Trust, o Confianza Cero. Con él, las organizaciones asumen por defecto que no hay que confiar en ninguna entidad o usuario. Ni en los externos ni en los internos.
La implementación de este principio implica desplegar controles de acceso estrictos, y verificar todas las peticiones de acceso que se lleven a cabo. De esta manera se consigue reducir la superficie de ataque y las posibles amenazas, asegurando que solo los usuarios autenticados y los dispositivos autorizados pueden acceder a los recursos de red.
Gestión de identidad mejorando la experiencia del usuario
Además, hay que tener en cuenta que cualquier sistema de gestión de identidad que se adopte debe ser escalable y flexible, para adaptarse al crecimiento de la empresa, así como a la evolución de su entorno digital. El uso de tecnologías que permiten la escalabilidad, como las soluciones basadas en la nube y las arquitecturas de microservicios, aseguran que el sistema pueda absorber el aumento de usuarios y transacciones.
La flexibilidad aumenta además si se opta por emplear credenciales de identidad reutilizables, propias de un modelo de gestión descentralizado. Estas credenciales se almacenan en los dispositivos móviles de los usuarios, y aseguran que la verificación y la autenticación de un usuario se llevan a cabo entre iguales y se procesan en sus dispositivos, en local. Así el sistema es escalable y a la vez mantiene unos niveles elevados de seguridad y privacidad.
Otra de las prácticas más populares para agilizar la gestión de identidades en los últimos tiempos es la automatización del proceso de acceso por primera vez. Así se reducen errores y se mejora la experiencia de usuario, facilitando la verificación también de las credenciales de usuario. También la creación de cuentas y la asignación de privilegios de acceso. El proceso es más ágil y más fiable.
El conocido como SSO (Single Sign-On, o acceso único) también contribuye a mejorar la experiencia de acceso, ya que permite acceder a varias aplicaciones con una sola acción de autenticación. Eso sí, debe implementarse con el mayor nivel de seguridad posible, y ofrecerlo en combinación con sistemas de autenticación sólidos para evitar que la seguridad quede comprometida, o que el usuario pueda ser rastreado por terceros.
La entrada Cómo mejorar la gestión de identidades y accesos en tu empresa es original de MuySeguridad. Seguridad informática.