Administración de identidad y control de acceso a la información entrega eficiencia operativa y seguridad
Por Christian López Chavero, líder de Identidad Digital en Minsait:
La información y los sistemas involucrados en la operación de la compañía son dos de los activos más importantes. Su administración y el control de acceso a los mismos son pieza clave para que todo funcione de manera óptima y evitar problemas operativos o, en el peor de los casos, ser víctimas de un ataque cibernético.
El saber quién, cómo, cuándo y de qué manera pueden acceder los diferentes actores involucrados en la operación (empleados, accionistas, proveedores o partners) implica el desarrollo de una estrategia de control de accesos que garantice la operación y refuerce la seguridad.
Dentro de esta estrategia lo más importante es identificar los sistemas con los que cuenta la compañía, establecer políticas, roles y definir quién o quiénes deberán tener acceso a las herramientas e información relacionada con dicha actividad y por cuánto tiempo.
Por ejemplo, el área de finanzas dentro de una organización requiere acceso a toda la data económica para poder tomar decisiones y distribuir de manera eficiente los recursos. Sin embargo, no es necesario que entren en su totalidad a la información o a los sistemas de producción o recursos humanos. En este caso, se establecen privilegios y controles de acceso de acuerdo con el perfil del puesto y/o relación con la empresa.
Es decir, se delimitan las funciones y se establece una identidad y acceso para cada persona tomando en cuenta su posición dentro del negocio, sus actividades, así como su relación con los diferentes aplicativos y datos involucrados en la operación. A esto se le conoce como Administración de Identidad y Acceso (IAM) a la información y activos del negocio.
Controles de acceso a la medida
Al ingresar una persona a la corporación, dentro del proceso de onboarding, uno de los primeros pasos es asignarle un equipo y con ello sus claves de acceso a los sistemas o plataformas de la compañía, así como a la información. ¿Qué debería haber atrás de esa contraseña? Reglas y políticas de acceso relacionadas con las funciones del nuevo integrante, las cuales deben garantizar el ingreso a los recursos necesarios, pero al mismo tiempo salvaguardar aquellos en los que no tiene injerencia.
El área de sistemas juega un papel fundamental al diseñar esquemas de identidad digital (Digital Identity) con factores de autenticación (simples, dobles o multifactor) apegados a la gobernanza de datos y activos de la compañía. Con las herramientas indicadas, será posible establecer las reglas de acceso, determinar cuándo es necesario escalarlas y en qué momento se deben limitar, tomando en cuenta las funciones de las personas dentro de la organización y el ciclo de vida de la cuenta de cada usuario.
No todo queda ahí. Debe haber un monitoreo constante respecto a los usos de contraseña, y es que en algunas ocasiones a las personas se les hace fácil compartir sus claves de acceso para revisar algo muy puntual y solo por una ocasión. El problema es que ese ingreso único puede representar una vulnerabilidad al abrir la puerta a un activo que exclusivo para ciertas persona o funciones.
A final, las funciones de la gestión de acceso ofrecen controles que tienen como objetivo reducir riesgos tomando en cuenta posición, ubicación y políticas empresariales. Es decir, están diseñadas para garantizar que los privilegios y limitantes de acceso sean acorde a la estrategia de las empresas y sus necesidades de seguridad.
Mayor control traducido en ventajas competitivas
Contar con una estrategia para administrar el gobierno de identidades, gestionar la identidad y el acceso de los trabajadores y consumidores puede contribuir a reducir riesgos de seguridad, hacer más eficientes los procesos operativos e, incluso, controlar costos al identificar quién necesita qué y con qué aplicativos o sistemas deberán trabajar.
Dentro del proceso no hay que olvidar que en este mundo digitalizado y abierto al trabajo colaborativo es fundamental contar con políticas de control de identidad a terceros (clientes, proveedores o partners). Al igual que con los empleados e integrantes de la compañía, establecer roles, políticas de control de acceso a la información y/o aplicativos, monitorear el ciclo de vida de cada identidad, así como determinar opciones de autenticación basada en riesgo.
Si bien la seguridad de la información y los sistemas de las empresas es una de las principales ventajas de contar con esquemas de Digital Identity, también lo es la reputación de la empresa, la cual se construye a partir del manejo adecuado de la información y el cumplimiento de normas y demostrar una estructura de acceso robusta gracias a las ventajas que la tecnología ofrece.
WhatsApp eSemanal 55 7360 5651
