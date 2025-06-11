El gobierno y la administración de identidades (IGA) es la disciplina de ciberseguridad que gestiona el cumplimiento normativo de las identidades digitales y los derechos de acceso de los usuarios en un sistema informático. IGA ayuda a las organizaciones a cumplir con las normativas y mandatos de seguridad controlando quién tiene acceso a qué recursos, por qué y durante cuánto tiempo.
A medida que las organizaciones gestionan miles de cuentas de usuario en sistemas en las instalaciones, servicios en la nube y aplicaciones de software como servicio (SaaS), el seguimiento de quién tiene acceso a qué se vuelve cada vez más complejo.
Cada identidad digital, tanto si representa a un usuario, un dispositivo o una aplicación, es una puerta de acceso potencial a sistemas críticos y datos confidenciales. Sin un gobierno adecuado, este ecosistema en expansión genera importantes riesgos de seguridad y retos de cumplimiento normativo.
Según el Informe "Cost of a Data Breach" de IBM, las credenciales robadas o comprometidas son el vector de ataque inicial más común, responsable del 16 % de las vulneraciones de datos. Cuando los hackers consiguen credenciales legítimas, pueden moverse libremente por las redes, accediendo a datos y sistemas confidenciales.
Las soluciones de gobierno y administración de identidades ayudan a proteger contra los ataques basados en la identidad y evitan posibles vulneraciones de datos.
Las herramientas IGA pueden automatizar el aprovisionamiento de usuarios, aplicar políticas de acceso y realizar revisiones periódicas del acceso a lo largo de todo el ciclo de vida de la identidad, desde la incorporación hasta el desaprovisionamiento en el momento de la baja. Estas funciones dan a las organizaciones más supervisión sobre los permisos y la actividad de los usuarios, lo que facilita detectar y parar el uso indebido y el abuso de privilegios.
Las soluciones de IGA también ayudan a garantizar el cumplimiento normativo continuo de mandatos como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley Sarbanes-Oxley (SOX). IGA ayuda a garantizar que el acceso a los sistemas y datos confidenciales se asigne correctamente y se revise periódicamente, al tiempo que genera registros de auditoría para respaldar las auditorías internas y externas.
IGA y la gestión de identidades y accesos (IAM) son marcos relacionados pero distintos dentro de la seguridad de identidades. IAM se ocupa de cómo los usuarios acceden a los recursos digitales, mientras que IGA ayuda a garantizar que las personas utilicen su acceso adecuadamente.
IAM se encarga de los aspectos operativos de la seguridad de la identidad, como la gestión de contraseñas, la autenticación, la autorización del acceso diario y la gestión de cuentas. IGA amplía la IAM añadiendo capacidades de gobierno, incluidas funciones de supervisión, aplicación de políticas y cumplimiento.
Se puede pensar que IAM e IGA abordan un conjunto de preguntas complementarias:
En la práctica, las organizaciones implementan juntas las herramientas IAM e IGA. Por ejemplo, si un analista financiero se traslada a marketing, IAM se encarga de los aspectos técnicos del cambio de privilegios de acceso, mientras que IGA ayuda a garantizar que esos cambios se alineen con las políticas de la empresa.
Las soluciones IGA surgieron para ayudar a las organizaciones a gestionar la creciente complejidad de los entornos de TI empresariales, el cambiante panorama de las ciberamenazas y la evolución de los mandatos de cumplimiento.
Las redes empresariales ahora abarcan sistemas en las instalaciones, proveedores de servicios en la nube pública y privada, estaciones de trabajo remotas y numerosas aplicaciones. Esta complejidad hace que el gobierno manual de la identidad sea casi imposible y aumenta los riesgos de seguridad.
Las soluciones IGA ayudan a dar dirección a entornos de TI complejos a través de visibilidad centralizada, conectores que vinculan sistemas dispares y automatización de flujos de trabajo.
Muchas soluciones de gobierno de identidades proporcionan paneles de control unificados y consolas de gestión que permiten la visibilidad y el control centralizados en diversos entornos.
Por ejemplo, las organizaciones utilizan con frecuencia herramientas IGA para ver todos los permisos de usuario en servicios en la nube, sistemas en las instalaciones y aplicaciones desde una única interfaz. Esto ayuda a garantizar que las organizaciones puedan mantener políticas de acceso coherentes independientemente de dónde se alojen las aplicaciones.
Las soluciones IGA incluyen conectores, interfaces preconstruidas que vinculan aplicaciones y plataformas dentro de la pila tecnológica de una organización para ayudar a habilitar un gobierno de identidad unificado. Los conectores ayudan a sincronizar los datos de los usuarios, convertir las políticas de acceso entre sistemas y mantener controles coherentes en aplicaciones previamente aisladas.
Por ejemplo, una empresa de servicios financieros puede utilizar conectores para integrar su sistema bancario central, su plataforma de gestión de la relación con el cliente (CRM) y su base de datos de RR. HH. con una herramienta IGA central. Esta integración facilita el ajuste de los derechos de acceso en todos los sistemas cuando cambia el rol de un empleado.
Las soluciones de IGA utilizan la automatización para agilizar los flujos de trabajo de gestión de identidades, eliminar los procesos manuales que consumen mucho tiempo y reducir el número de tickets de centro de servicio que los equipos de TI deben enviar. Las herramientas IGA suelen admitir:
Sin una solución IGA, el personal de TI debe crear manualmente cuentas de usuario en múltiples sistemas al incorporar nuevos empleados. Las herramientas IGA pueden simplificar este proceso al aprovisionar automáticamente cuentas en todos los sistemas requeridos en tiempo real en función del rol del usuario.
Los ciberataques han evolucionado, y los actores de amenazas se dirigen cada vez más a las identidades en lugar de a la infraestructura de red. La seguridad tradicional basada en el perímetro ya no es suficiente cuando los usuarios pueden acceder a los recursos corporativos desde cualquier lugar y en cualquier dispositivo.
Según el IBM® X-Force Threat Intelligence Index, el abuso de cuentas válidas es una de las formas más comunes en las que los hackers entran en las redes empresariales, y representa el 30 % de los ciberataques.
Las soluciones de IGA pueden ayudar a reducir la superficie de ataque y a limitar los daños al hacer cumplir el principio del mínimo privilegio. Es decir, los usuarios solo tienen el acceso necesario para realizar sus funciones de trabajo, ni más ni menos.
Las soluciones IGA también pueden ayudar a mejorar la posición de seguridad de una organización de otras maneras:
Para proteger aún más las cuentas privilegiadas de alto riesgo con derechos de acceso elevados, las organizaciones suelen integrar IGA con herramientas de administración de acceso privilegiado (PAM), que se centran específicamente en proteger las cuentas con privilegios, como las cuentas de administrador.
Algunas soluciones de IGA también proporcionan capacidades de detección y corrección de amenazas en tiempo real para ayudar a prevenir violaciones de cumplimiento y vulneraciones de datos.
Los requisitos de cumplimiento como RGPD, HIPAA, SOX y otros mandatos imponen reglas sobre cómo las organizaciones manejan los datos. Las sanciones por incumplimiento pueden ser significativas. Por ejemplo, las infracciones del RGPD pueden dar lugar a multas de hasta 22 millones de dólares o el 4 % de los ingresos anuales globales, lo que sea mayor.
Las soluciones de IGA proporcionan controles y documentación que las organizaciones pueden utilizar para agilizar el cumplimiento:
Un proveedor sanitario, por ejemplo, puede utilizar las herramientas de IGA para hacer cumplir la HIPAA restringiendo el acceso a los registros de los pacientes en función de las responsabilidades laborales y manteniendo registros detallados de quién accede a los registros.
Las herramientas y prácticas de IGA se centran en gobernar las identidades digitales y los permisos de acceso a lo largo del ciclo de vida del usuario, desde la incorporación hasta la baja.
Los dos componentes principales de IGA incluyen la gestión del ciclo de vida de las identidades y el gobierno del acceso.
La gestión del ciclo de vida de las identidades implica crear, modificar y desactivar identidades de usuario a medida que los empleados se unen, se mueven dentro y abandonan una organización. Puede garantizar que los nuevos usuarios reciban el acceso adecuado desde el primer día y que el acceso se elimine rápidamente durante la baja.
Si un empleado cambia de puesto, las herramientas de IGA pueden revocar automáticamente los permisos anticuados y asignarle otros nuevos en función de sus responsabilidades actualizadas.
Los procesos clave de gestión del ciclo de vida de la identidad incluyen:
El gobierno de acceso supervisa quién tiene acceso a qué recursos y ayuda a garantizar que el acceso siga siendo adecuado a lo largo del tiempo. Proporciona la capa de supervisión para la gestión de identidades, centrándose en la aplicación de políticas, las revisiones de acceso y el cumplimiento.
Las funciones clave de gobierno del acceso incluyen:
El control de acceso basado en roles (RBAC) asigna permisos a los usuarios en función de los roles organizativos en lugar de asignar permisos individuales a cada usuario. Por ejemplo, un rol financiero podría autorizar a un usuario a realizar compras, mientras que un rol de recursos humanos podría autorizar a un usuario a ver archivos de personal.
Las capacidades de gestión de roles de las soluciones IGA ayudan a las organizaciones a definir, gestionar y mantener los roles a lo largo del tiempo.
Con RBAC, las soluciones IGA pueden administrar el acceso de miles de usuarios sin tener que asignar permisos individuales uno por uno. Cuando un empleado se incorpora, se transfiere de departamento o se va, los administradores pueden simplemente asignar o eliminar roles estandarizados en lugar de reconfigurar docenas de permisos de sistema separados.
La separación de funciones (SoD), también llamada segregación de funciones, es un principio de seguridad que evita los conflictos de intereses al garantizar que ninguna persona tenga privilegios de acceso excesivos.
Las soluciones de IGA ayudan a hacer cumplir la SoD identificando y evitando combinaciones de derechos que pueden dar lugar a fraudes o usos indebidos.
En un proceso de compras, por ejemplo, la misma persona no debe poder añadir un nuevo proveedor al sistema y aprobar los pagos a ese proveedor. Una solución IGA puede marcar este acuerdo como una infracción de SoD y bloquearlo por completo o requerir aprobaciones adicionales.
La certificación de acceso implica revisar periódicamente los derechos de acceso de los usuarios para garantizar que sigan siendo adecuados a lo largo del tiempo. Estas revisiones generalmente implican que los gestores o propietarios de recursos confirmen que los miembros del equipo aún necesitan sus privilegios de acceso actuales.
Las soluciones de IGA pueden ayudar a agilizar las reseñas de acceso al iniciar reseñas automáticamente de forma periódica. Los derechos de acceso de alto riesgo (como el acceso a los sistemas financieros) podrían revisarse con mayor frecuencia que los permisos de menor riesgo.
Algunas soluciones IGA también pueden hacer recomendaciones para cambios de acceso basados en patrones de uso, como marcar permisos no utilizados que un usuario podría no necesitar.
La gestión de derechos es el componente más granular del gobierno de acceso, que se centra en los permisos que los usuarios tienen dentro de los sistemas. Dicho de otra manera: el gobierno de acceso supervisa a qué pueden acceder los usuarios, mientras que la gestión de derechos supervisa lo que los usuarios pueden hacer con ese acceso.
Por ejemplo, en un sistema contable, la gestión de derechos se ocuparía de controles detallados, como qué usuarios pueden ver los registros financieros, qué usuarios pueden editarlos y qué usuarios pueden eliminarlos.
Las capacidades adicionales de gestión de derechos incluyen:
Los avances en inteligencia artificial (IA) están trayendo nuevos desafíos y nuevas oportunidades a IGA.
Los actores de amenazas están utilizando nuevas herramientas de IA generativa para dirigirse a los flujos de trabajo y controles de IGA. Por ejemplo, al utilizar la IA para generar deepfakes y mensajes de phishing convincentes, los atacantes pueden engañar a los usuarios legítimos para que entreguen sus credenciales. Los actores más sofisticados podrían incluso utilizar herramientas de machine learning (ML) para analizar las estructuras de permisos e identificar oportunidades de evasión de políticas para eludir los controles de IGA.
Al mismo tiempo, los proveedores están utilizando la IA para transformar sus soluciones IGA de puntos de control de cumplimiento estáticos en sistemas de gestión de riesgos adaptativos. Algunos ejemplos de cómo las soluciones IGA están utilizando la IA incluyen:
