La gestión de identidades y accesos es uno de los pilaresfundamentales de la seguridad de la información en cualquier organización.Puede alcanzar cotas de prioridad estratégica en el planteamiento director delas TIC, ya que este proyecto responde a un objetivo de negocio tan vital, ypragmático a la vez, como que los usuarios accedan a sus aplicacionesinformáticas desde una entrada única, con total garantía de autenticación ycumplimiento del procedimiento de trabajo.
Este tipo de proyectos conlleva la implantación de una serie deherramientas y procesos informáticos necesarios para gestionar el ciclo de vidade los usuarios informáticos y sus accesos a las diferentes aplicaciones que laorganización pone a su disposición para el desempeño de su labor profesional.
El proceso se inicia con el flujo de aprovisionamiento automático delusuario en un repositorio único de la organización. Para ello, se debe definiruna fuente confiable y autorizada, como por ejemplo la aplicación informáticaque gestiona recursos humanos. La fase de provisión de activos laborales llevaconsigo la revisión de las estructuras organizacionales.
La definición del entorno heterogéneo de usuarios es un punto álgido,puesto aquí es donde se define el perfil de los mismos y sus permisos deacceso. Es decir, qué perfil de usuario informático tiene cada empleado, o sise trata de un proveedor, un colaborador externo o un cliente. Es obvio que laparametrización de permisos de accesos para cada uno de ellos puede ser muydiferente.
A continuación, debemos garantizar la autenticación del usuario en supropio sistema informático: cuando una persona se incorpora a una organización,normalmente se le asigna un activo informático (ordenador o/y dispositivomóvil), con conexión a los recursos de la red, para el desarrollo de sutrabajo. En estos activos, el usuario debiera utilizar un sistema robusto deautenticación, más allá del típico “usuario y contraseña”. Es decir, un sistemade doble factor que, además del código de usuario y clave particular, incorporeun elemento físico, como una tarjeta electrónica corporativa, un tokencriptográfico o bien un dispositivo de reconocimiento biométrico.
Y, a partir de que el sistema ha identificado convenientemente alusuario, se gestionan automáticamente las diferentes contraseñas que éste puedatener para cada aplicación, así como los roles en las mismas. Ello facilita yagiliza el acceso a las aplicaciones que le estén permitidas, sin necesidad detener que identificarse nuevamente en todas y cada una de ellas, a lo largo dela sesión.
Por otra parte, cuando la identidad digital trasciende más allá de unaorganización, y el usuario precisa utilizar esa misma identidad para realizarun proceso donde se vean involucradas aplicaciones de diferentesorganizaciones, como por ejemplo acudir con el padrón del ayuntamiento agestionar su solicitud de alta en la matrícula de la universidad y pagar lastasas con su sistema electrónico de pago habitual, podríamos estar hablando defederación de identidades, y ¿por qué no? de un documento único de identidaddigital.
Por último, el registro de las sesiones de los usuarios gestionadas poreste sistema posibilita la disponibilidad de las trazas correspondientes atodas sus conexiones. Esto facilita cierto análisis e inteligencia decomportamiento de los usuarios en la red y la realización de una auditoríaposterior. A la par, asegura el cumplimiento de las políticas de negocio y lagestión centralizada del gobierno de la identidad digital, acorde al recienteReglamento General de Protección de Datos y al Esquema Nacional de Seguridad.
JUANTXU MATEOS, DIRECTOR DE DESARROLLO DE NEGOCIO DE NEXTEL S.A.
