Gestión de identidad y acceso
Control de identidad y autorización
La gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores.
Implementación práctica de IAM
La gestión de identidad y acceso se ocupa del registro de los derechos de accesos de los usuarios y determina qué operaciones pueden realizar. Para poder hacer todo esto, se necesitan soluciones técnicas. El IAM está presente, en cierta medida, generalmente en un sistema ERP como una de sus funcionalidades, en un sistema de gestión documental o en el de Recursos Humanos. Sin embargo, cabe la posibilidad de que necesite seguridad adicional. Si así fuera, podría serle interesante añadir un sistema de gestión de identidad y acceso que se vincule con los paquetes o bases de datos existentes. Un ejemplo de sistema IAM es Azure, que trabaja con los sistemas en la nube.
¿Cómo funciona el software de gestión de identidad y acceso?
Los sistemas IAM tienen dos funciones. La primera, verificar la identidad de aquellos que quieren iniciar sesión. Y la segunda, determinar qué autorizaciones tiene el usuario. Ambas funciones se pueden realizar de distintas formas.
Verificar la identidad
Lo primero que se hace en la gestión de identidad y acceso es averiguar quién inicia en el sistema o en la base de datos. Lo más sencillo para confirmar la identidad es mediante la combinación de usuario y contraseña. Para hacerlo de una forma más avanzada se realiza con la autenticación de múltiples factores, puede ser un código que se le envía al usuario al móvil, una huella digital, una tarjeta clave, etc.
Comprobar el nivel de autorización
Tras quedar confirmada la identificación del usuario, el siguiente paso del sistema IAM es el gestionar el acceso. Gracias a esto, el usuario adquiere un acceso personalizado basado en un conjunto complejo de reglas de autorización que están almacenadas en el sistema. Los ajustes dependen de cada empresa, pero generalmente lo que toman en consideración es la función, su puesto o autoridad y la competencia del empleado. En el caso de clientes (B2B),la posibilidad de iniciar sesión en, por ejemplo, una tienda web, la ubicación puede ser muy importante. Un caso puede ser el de un cliente español al que se le deniega el acceso a una tienda web francesa.
El control de acceso puede, por ejemplo, empezar con la elección de qué (grupo de) empleados serán usuarios limitados y quiénes, usuarios completos en el sistema empresarial. Esto ya puede marcar una diferencia en el control de acceso, ya que algunos empleados solo pueden consultar el sistema y otros también tienen permiso para editar. Otro ejemplo de control de acceso (o Access Control en inglés) son las restricciones a ciertas partes dentro del sistema. De esta manera, el jefes de dirección y el director de Recursos Humanos pueden entrar en el informe de personal, mientras que otros usuarios no tienen acceso a esta sección.
Acceso inmediato a diferentes sistemas
Hay ciertos casos en los que resulta de utilidad que, a través un solo inicio de sesión, los empleados puedan acceder a diferentes sistemas o aplicaciones. La autenticación única, o en inglés Single Sign-On (SSO), permite el acceso con un solo inicio de sesión. Por ejemplo, con una autenticación única, un empleado puede acceder tanto a la base de datos de los clientes como a los datos de la investigación de mercado. Sin embargo, este tipo de autenticación no significa que el usuario reciba una autorización de acceso completo sobre todas las aplicaciones o información dentro de una compañía. El software IAM regula las reglas de autorización establecidas y proporciona el acceso sobre la base de la identificación individual.
De IAM a IGA
IGA o Identity Governance and Administration, que traducido al español sería algo así como Gobierno y Administración de Identidad, es básicamente un nuevo nombre para la Gestión de Identidad y Acceso. Sin embargo, el cambio de nombre viene debido a una nueva forma de actuar en la que cambia el enfoque, al enfatizar la política de la empresa. Originalmente, se creaba el usuario y después se le otorgaba las autorizaciones de acceso. Ahora este proceso se invierte. Primero, IGA analiza la política para la cual se abre la información o los sistemas.
Puede parecer que el enfoque IGA sea un ajuste menor o irrelevante, pero, a menudo, significa un mundo de diferencia para las empresas. Se prevé que cada vez más, las empresas representen las actividades de procesamiento. El sistema de gestión IGA ayuda a las empresas a cumplir con los crecientes requisitos de auditoría y cumplimiento. En el contexto del Reglamento general de protección de datos, particularmente, es esencial que las empresas puedan demostrar quién puede ver y editar cada información, y poder justificar por qué las otorga.
Artículos relacionados TIC Portal:
