El papel de IAM dentro del marco cibernético de su empresa

Publish date:

Una sólida infraestructura de IAM puede ayudar a la organización a aplicar eficazmente sus políticas y normas para reducir el riesgo cibernético en toda la empresa y la cadena de suministro, y garantizar el cumplimiento continuo de su programa cibernético.

La gestión de identidades y accesos (IAM) es un área funcional muy importante de la ciberseguridad, ya que implica la identificación de las personas, cuentas y objetos que se conectan a su red y acceden a sus datos, aplicaciones y otros recursos. Estas capacidades son de vital importancia para la protección de la empresa moderna, donde miles de millones de ordenadores se comunican entre si a través de Internet, todos los días, sirviendo a los propósitos de miles de millones de personas que llevan a cabo su vida personal y empresarial. El viejo chiste, “en Internet, nadie sabe que eres un perro“, sigue siendo cierto y se aplica como siempre.

Los fallos en la IAM pueden dar lugar a filtraciones inadvertidas de datos, al acceso de intrusos a los sistemas en línea y a la pérdida de control de las TI de la empresa. Muchos de los ciberataques más devastadores de las dos últimas décadas han implicado alguna medida de violación, compromiso, secuestro o fallo de la IAM.

Como práctica de seguridad, la IAM suele incluir ocho áreas principales de capacidades, procesos y tecnología:

  1. Gobierno de la identidad: El proceso de gestión del ciclo de vida de las identidades electrónicas, incluyendo la provisión de identidades, la carencia y la revisión ante cambios en las relaciones, roles, permisos y personal
  2. Directorios empresariales: Infraestructura utilizada para llevar un registro de quiénes son los usuarios y a qué pueden acceder, y para poner esa información a disposición de las aplicaciones informáticas de la empresa
  3. Gestión del acceso: El proceso de identificar quién puede acceder a qué y quién puede hacer qué dentro de la empresa, sus datos y sus aplicaciones; principales modelos de gestión de acceso control de acceso basado en roles (RBAC) y control de acceso basado en atributos (ABAC)
  4. Gestión de credenciales: Capacidades relacionadas con la gestión de las credenciales de los usuarios, incluidas las políticas de contraseñas, la gestión de contraseñas, el restablecimiento de contraseñas, el desbloqueo de cuentas y el acceso de emergencia; también incluye la gestión de la validación de la identidad biométrica, la autenticación multiactor (MFA) y las claves criptográficas utilizadas para las identidades en línea
  5. Inicio de sesión único (SSO): Capacidades relacionadas con permitir a los usuarios de la empresa acceder a múltiples aplicaciones sin tener que iniciar sesión por separado en cada una de ellas; esto simplifica enormemente la experiencia del usuario y la productividad
  6. Federación de identidades: Capacidades relacionadas con permitir a la organización llevar a cabo una colaboración de identidades, o federación, con partes externas; con la federación, la organización puede permitir a terceras partes validar las credenciales de sus usuarios cuando estos acceden a los sistemas de TI de la organización, y puede igualmente permitir a sus usuarios acceder a aplicaciones de terceros, sin tener que compartir directamente las credenciales
  7. Gestión de cuentas privilegiadas (PAM): Capacidades relacionadas con la gestión de cuentas altamente privilegiadas, como cuentas de administrador de sistemas, cuentas de administrador de aplicaciones, cuentas de sistemas y servicios, y cuentas de emergencia “break-glass” o puertas traseras de sistemas; normalmente coordinadas con protecciones de red, hosts bastiones y capacidades MFA para proporcionar una sólida protección para los canales de administración de sistemas
  8. Auditoría y cumplimiento: Capacidades relacionadas con el seguimiento de los inicios de sesión de los usuarios, los permisos y la actividad, para detectar incidentes cibernéticos, investigar incidentes cibernéticos y auditar los controles cibernéticos relacionados con IAM.

En la última década, la importancia de la IAM ha aumentado drásticamente en la mayoría de las empresas.  Varios factores impulsan este aumento:

  • En primer lugar, las infracciones dirigidas a las cuentas y credenciales de los usuarios han hecho que las empresas presten cada vez más atención a sus usuarios, a sus accesos y a la protección de sus cuentas.
  • En segundo lugar, la transición a la computación en la nube ha roto el perímetro tradicional de la red y lo ha sustituido por un ecosistema informático empresarial, protegido no por cortafuegos sino por las credenciales de los usuarios.
  • En tercer lugar, el aumento del uso de contratistas, servicios de terceros y proveedores externos ha hecho que sea cada vez más difícil hacer un seguimiento de quién tiene acceso a los datos de la empresa, cuándo y por qué.
  • En cuarto lugar, el aumento de la normativa de seguridad, el escrutinio y la responsabilidad han hecho que cada vez más reguladores, auditores y aseguradoras se interesen por las identidades en línea de la organización y sus accesos.

En los últimos años, hemos visto que estos factores han hecho que muchos de nuestros clientes y socios inviertan significativamente en el despliegue, el mantenimiento, la ampliación y la mejora de las capacidades de IAM de sus empresas. Una sólida infraestructura de IAM puede ayudar a la organización a aplicar eficazmente sus políticas y normas para reducir el riesgo cibernético en toda la empresa y la cadena de suministro, y garantizar el cumplimiento continuo de su programa cibernético.

Conozca más sobre Capgemini Identity & Access Management.

Hablemos más sobre el tema

Nos encantaría reunirnos contigo para brindarte más información sobre nuestras soluciones a la medida de tu organización. Escribe a connect.co@capgemini.com para programar una sesión con uno de nuestros expertos.

Post relacionados

DevSecOps

Manish Parulekar
Date icon abril 28, 2021

La transformación digital continúa cobrando fuerza, por lo que las empresas deben acelerar el...

Cuentas por pagar sin fricciones: cliente feliz, empleado feliz

Date icon abril 23, 2021

Eliminar la fricción para agilizar los procesos de cuentas por pagar no solo le ayuda a...

Inicie su viaje de transformación ágil (y sea un disruptor digital)

Ram Thayi
Date icon abril 19, 2021

Ahora más que nunca, los actores digitales puros están revolucionando los mercados...