Inicio

Topics

Gestión de identidades y accesos

¿Qué es la gestión de identidades y accesos (IAM)?
Explore la solución de gestión de identidades y accesos de IBM Regístrese para recibir actualizaciones de temas de seguridad
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella dactilar y marca de verificación

Publicado: 26 de marzo de 2024
Colaboradores: Matthew Kosinski, Amber Forrest

¿Qué es la IAM?  

La gestión de identidades y accesos (IAM) es la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales y qué pueden hacer con esos recursos. Los sistemas IAM mantienen alejados a los hackers al mismo tiempo que garantizan que cada usuario individual tenga los permisos exactos que necesita para hacer su trabajo y no más que eso.

La red corporativa media alberga usuarios humanos (empleados, clientes, contratistas) y usuarios no humanos (bots, IoT y dispositivos de endpoints, cargas de trabajo automatizadas). Con el auge del trabajo remoto y el cloud computing, estos usuarios se distribuyen cada vez más, y también los recursos a los que necesitan acceder. 

Las organizaciones pueden tener dificultades para realizar un seguimiento de lo que todos estos usuarios están haciendo con aplicaciones y activos dispersos en ubicaciones locales, remotas y basadas en la nube. Esta falta de control plantea serios riesgos. Los hackers pueden entrar en una red sin ser detectados. Los usuarios internos negligentes pueden abusar de sus derechos de acceso. Incluso los usuarios benignos pueden infringir accidentalmente la normativa de protección de datos. 

Las iniciativas de IAM pueden ayudar a optimizar el control de acceso, protegiendo los activos sin interrumpir los usos legítimos de esos activos. Los sistemas de gestión de identidades y accesos asignan a cada usuario una identidad digital distinta con permisos que se adaptan a la función del usuario, las necesidades de cumplimiento y otros factores. De esta manera, IAM garantiza que solo los usuarios correctos puedan acceder a los recursos correctos por las razones correctas, mientras que el acceso y las actividades no autorizados están bloqueados. 

¿Qué es un tejido de identidad?

Descubra cómo el tejido de identidad facilita un control y la visibilidad permanentes.

Contenido relacionado Regístrese para recibir el informe "Coste de una filtración de datos"
Los componentes principales de la gestión de identidades y accesos  

El propósito de IAM es detener a los hackers y, al mismo tiempo, permitir que los usuarios autorizados hagan fácilmente todo lo que necesitan hacer, pero no más de lo que se les permite hacer. Las implementaciones de IAM utilizan una variedad de herramientas y estrategias para lograr este objetivo, pero todas tienden a seguir la misma estructura básica. 

Un sistema IAM típico tiene una base de datos o un directorio de usuarios. Esa base de datos contiene detalles sobre quién es cada usuario y qué puede hacer en un sistema informático. A medida que los usuarios se mueven a través de un sistema, el IAM utiliza la información de la base de datos para verificar sus identidades, monitorizar sus actividades y garantizar que solo hagan lo que la base de datos dice que pueden hacer.  

Para entender más a fondo cómo funciona la IAM, es útil analizar los cuatro componentes principales de las iniciativas de IAM: la gestión del ciclo de vida de la identidad, el control de acceso, la autenticación y la autorización y el gobierno de la identidad. 

Gestión del ciclo de vida de las identidades

La gestión del ciclo de vida de la identidad es el proceso de creación y mantenimiento de identidades digitales de usuario para cada usuario humano y no humano de un sistema.

Para monitorizar la actividad de los usuarios y aplicar permisos personalizados, las organizaciones deben diferenciar entre usuarios individuales. IAM lo hace asignando a cada usuario una identidad digital. Las identidades digitales son colecciones de atributos distintivos que le dicen al sistema quién o qué es cada usuario. Las identidades a menudo incluyen rasgos como el nombre de un usuario, las credenciales de inicio de sesión, el número de identificación, el cargo y los derechos de acceso. 

Las identidades digitales suelen almacenarse en una base de datos o directorio central, que actúa como fuente de verdad. El sistema IAM utiliza la información de esta base de datos para validar a los usuarios y determinar lo que les permitirá hacer y lo que no.  

En algunas iniciativas de IAM, los equipos de TI o de ciberseguridad se encargan manualmente de la incorporación de usuarios, la actualización de las identidades a lo largo del tiempo y la desincorporación o desaprovisionamiento de los usuarios que abandonan el sistema. Algunas herramientas de IAM permiten un enfoque de autoservicio. Los usuarios proporcionan su información y el sistema crea automáticamente su identidad y establece los niveles de acceso adecuados.  

Control de acceso

Las identidades digitales diferenciadas no sólo ayudan a las organizaciones a realizar un seguimiento de los usuarios, sino que también permiten a las empresas establecer y aplicar políticas de acceso más granulares. IAM permite a las empresas conceder diferentes permisos de sistema a diferentes identidades en lugar de otorgar a cada usuario autorizado los mismos privilegios.  

Hoy en día, muchos sistemas de IAM utilizan el control de acceso basado en roles (RBAC). En el RBAC, los privilegios de cada usuario se basan en su función laboral y nivel de responsabilidad. El RBAC ayuda a simplificar el proceso de configuración de permisos de usuario y mitiga los riesgos de otorgar a los usuarios más privilegios de los que necesitan.  

Supongamos que una empresa está configurando permisos para un firewall de red. Es probable que un representante de ventas no tenga ningún acceso, ya que su trabajo no lo requiere. Un analista de seguridad de nivel junior podría ver las configuraciones de firewall, pero no cambiarlas. El director de seguridad de la información (CISO) tendría pleno acceso administrativo. Una API que integra el SIEM de la empresa con el firewall podría ser capaz de leer los registros de actividad del firewall, pero no ver nada más.  

Para mayor seguridad, los sistemas IAM también pueden aplicar el principio de privilegios mínimos a los permisos de acceso de los usuarios. A menudo asociado con estrategias de ciberseguridad zero trust, el principio de privilegios mínimos establece que los usuarios solo deben tener los permisos más bajos necesarios para completar una tarea, y los privilegios se deben revocar tan pronto como se realice la tarea.

De acuerdo con el principio del mínimo privilegio, muchos sistemas IAM tienen métodos y tecnologías distintos para la gestión de acceso privilegiado (PAM). PAM es la disciplina de ciberseguridad que supervisa la seguridad de las cuentas y el control de acceso para cuentas de usuarios altamente privilegiados, como los administradores de sistemas.  

Las cuentas privilegiadas se tratan con más cuidado que otros roles de IAM porque el robo de estas credenciales permitiría a los hackers hacer lo que quieran. Las herramientas PAM aíslan las identidades privilegiadas del resto, utilizando bóvedas de credenciales y protocolos de acceso justo a tiempo para mayor seguridad.

La información sobre los derechos de acceso de cada usuario suele almacenarse en la base de datos central del sistema IAM como parte de la identidad digital de cada usuario. El sistema IAM utiliza esta información para aplicar los distintos niveles de privilegios de cada usuario. 

Aprenda a proteger las cuentas privilegiadas
Autenticación y autorización

La autenticación y la autorización son la forma en que los sistemas de IAM aplican políticas de control de acceso personalizadas en la práctica. 

La autenticación es el proceso de determinar que un usuario, humano o no humano, es quien dice ser. Cuando un usuario inicia sesión en un sistema o solicita acceso a un recurso, envía credenciales para garantizar su identidad. Por ejemplo, un usuario humano puede introducir una contraseña, mientras que un usuario no humano puede compartir un certificado digital. El sistema IAM comprueba estas credenciales en la base de datos central. Si coinciden, se concede acceso. 

Aunque una combinación de nombre de usuario y contraseña es la forma más básica de autenticación, también es una de las más débiles. Por esa razón, la mayoría de las implementaciones de IAM en la actualidad utilizan métodos de autenticación más avanzados.  

Autenticación multifactor (MFA)

La autenticación multifactor (MFA) requiere que los usuarios proporcionen dos o más factores de autenticación para demostrar sus identidades. Los factores comunes incluyen un código de seguridad que se envía al teléfono del usuario, una clave de seguridad física o datos biométricos como escaneos de huellas dactilares. 

Inicio de sesión único (SSO)

El inicio de sesión único (SSO) permite a los usuarios acceder a varias aplicaciones y servicios con un conjunto de credenciales de inicio de sesión. El portal de SSO autentica al usuario y genera un certificado o token que actúa como clave de seguridad para otros recursos. Los sistemas SSO utilizan protocolos abiertos como el lenguaje de marcado de aserción de seguridad (SAML) para compartir claves de manera libre entre diferentes proveedores de servicios. 

Autenticación adaptativa

La autenticación adaptativa, también llamada autenticación basada en el riesgo, utiliza la IA y el machine learning para analizar el comportamiento de los usuarios y modificar los requisitos de autenticación en tiempo real a medida que cambia el nivel de riesgo. Al exigir una autenticación más estricta para las actividades de mayor riesgo, los sistemas de autenticación basados en el riesgo dificultan que los hackers o las amenazas internas lleguen a los activos cruciales. 

Un usuario que inicie sesión desde su dispositivo y ubicación habituales puede que solo necesite introducir su contraseña, ya que esta situación rutinaria supone poco riesgo. Es posible que ese mismo usuario que inicia sesión desde un dispositivo que no es de confianza o que intenta ver información especialmente sensible tenga que aportar más factores, ya que ahora está incurriendo en un comportamiento más arriesgado. 

Una vez autenticado un usuario, el sistema IAM comprueba los privilegios que están conectados a su identidad digital en la base de datos. El sistema IAM autoriza al usuario a acceder únicamente a los recursos y realizar las tareas que sus permisos le permiten. 

Gobernanza de identidades

El gobierno de la identidad es el proceso de seguimiento de lo que hacen los usuarios con derechos de acceso. Los sistemas IAM monitorizan a los usuarios para asegurarse de que no abusen de sus privilegios y para atrapar a los hackers que puedan haberse colado en la red. 

El gobierno de identidades es importante para el cumplimiento normativo. Las empresas suelen diseñar sus políticas de acceso para alinearlas con los mandatos de seguridad, como el Reglamento General de Protección de Datos (RGPD) o el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS). Al realizar un seguimiento de la actividad de los usuarios, los sistemas de IAM ayudan a las empresas a garantizar que sus políticas funcionen según lo previsto. Los sistemas de IAM también pueden producir registros de auditoría para ayudar a las empresas a demostrar el cumplimiento o identificar las violaciones según sea necesario.  

Explore la solución de gobierno de IBM
Soluciones y servicios de IAM  

Muchos flujos de trabajo clave de IAM, como la autenticación de usuarios y el seguimiento de su actividad, son difíciles o directamente imposibles de realizar manualmente. En su lugar, las organizaciones confían en las herramientas tecnológicas para automatizar los procesos de IAM.  

En el pasado, las organizaciones utilizaban soluciones puntuales para gestionar diferentes partes de la IAM, por ejemplo, una solución para gestionar la autenticación de usuarios, otra para hacer cumplir las políticas de acceso y una tercera para auditar la actividad de los usuarios.  

Hoy en día, las soluciones de IAM son a menudo plataformas completas que hacen todo o integran varias herramientas en un todo unificado. Aunque hay muchas variaciones en las plataformas de IAM, todas tienden a compartir funciones principales comunes, como:  

  • Directorios centralizados o integraciones con servicios de directorio externos como Microsoft Active Directory y Google Workspace.
      
  • Flujos de trabajo automatizados para crear, actualizar y eliminar identidades digitales.
     
  • La capacidad de crear una red de identidades en toda la red, independiente del producto, que permita a la organización gestionar la identidad y el acceso para todas las aplicaciones y activos, incluidas las aplicaciones heredadas, a través de un único directorio autorizado.

  • Opciones de autenticación integradas como MFA, SSO y autenticación adaptativa.

  • Funciones de control de acceso que permiten a las empresas definir políticas de acceso granulares y aplicarlas a los usuarios en todos los niveles, incluidas las cuentas privilegiadas.

  • Capacidades de seguimiento para monitorizar usuarios, señalar actividades sospechosas y garantizar el cumplimiento.

  • Capacidades de gestión de identidades y accesos de clientes (CIAM) que amplían la gestión del ciclo de vida de la identidad, las medidas de autenticación y autorización a portales digitales para clientes, socios y otros usuarios que están fuera de la organización.

Algunas soluciones IAM están diseñadas para ecosistemas específicos. Por ejemplo, las plataformas Amazon Web Services (AWS) IAM y Google Cloud IAM controlan el acceso a los recursos alojados en esas respectivas nubes.

Otras soluciones de IAM, como las producidas por Microsoft, IBM, Oracle y otros, están diseñadas para funcionar con todos los recursos de una red corporativa, independientemente de dónde estén alojados. Estas soluciones de IAM pueden actuar como proveedores de identidad para todo tipo de servicios, utilizando estándares abiertos como SAML y OpenID Connect (OIDC) para intercambiar información de autenticación de usuarios entre aplicaciones.  

Más información sobre las soluciones de IAM
Cloud Identity and Access Management  

Las soluciones de gestión de identidades y accesos se están trasladando cada vez más fuera de las instalaciones y adoptando un modelo software como servicio (SaaS). Llamada "identidad como servicio" (IDaaS) o "autenticación como servicio" (AaaS), estas soluciones de IAM basadas en la nube ofrecen algunas capacidades que pueden carecer de herramientas locales. 

Las herramientas IDaaS pueden ser útiles en redes corporativas complejas donde los usuarios distribuidos inician sesión desde varios dispositivos (Windows, Mac, Linux y móviles) para acceder a los recursos ubicados en el sitio y en nubes privadas y públicas. Aunque es posible que las herramientas de IAM locales no se adapten fácilmente a tantos usuarios y recursos diferentes en todas las ubicaciones, IDaaS a menudo puede. 

IDaaS también puede ayudar a las organizaciones a ampliar los servicios de IAM a contratistas, clientes y otros roles no empleados. Esto puede ayudar a simplificar las implementaciones de IAM, ya que la empresa no necesita utilizar diferentes sistemas para diferentes usuarios. 

Las herramientas de IDaaS también permiten a las empresas subcontratar algunos de los aspectos de la IAM que más tiempo y recursos consumen, como la creación de nuevas cuentas de usuario y la autenticación de las solicitudes de acceso y el gobierno de la identidad. 

Explore la solución SaaS de IBM Security Verify
¿Por qué es importante la gestión de identidades y accesos?

Las iniciativas de IAM pueden ayudar a cumplir varios casos de uso que abarcan la ciberseguridad, las operaciones comerciales y más.

Transformación digital

Con el auge de los entornos multinube, la IA y la automatización y el teletrabajo, la transformación digital supone que las empresas necesitan facilitar el acceso seguro para más tipos de usuarios a más tipos de recursos en más ubicaciones. 

Los sistemas IAM pueden centralizar la gestión del acceso para todos estos usuarios y recursos, incluidos los usuarios no empleados y los usuarios no humanos. Cada vez son más las plataformas IAM que incorporan o se integran con herramientas CIAM, lo que permite a las organizaciones gestionar el acceso de usuarios internos y externos desde el mismo sistema.  

Gestión de identidades y accesos en el lugar de trabajo

Hoy en día, las empresas mantienen fuerzas de trabajo remotas e híbridas, y la red corporativa promedio presenta una combinación de sistemas locales heredados y aplicaciones y servicios más nuevos basados en la nube. Las soluciones de IAM pueden optimizar el control de acceso en estos entornos complejos. 

Funciones como el SSO y el acceso adaptativo permiten a los usuarios autenticarse con la mínima fricción y, al mismo tiempo, proteger los activos vitales. Las organizaciones pueden gestionar las identidades digitales y las políticas de control de acceso de todos los sistemas desde una única solución de IAM central. En lugar de implementar diferentes herramientas de identidad para diferentes activos, los sistemas integrales de IAM crean una única fuente de verdad, gestión y cumplimiento para todo el entorno de TI.

Gestión de TI y administración de redes

Los sistemas IAM, en particular los que admiten SSO, permiten a los usuarios acceder a varios servicios con una sola identidad en lugar de crear diferentes cuentas para cada servicio. Esto reduce significativamente el número de cuentas de usuario que los equipos de TI deben administrar. El crecimiento de las soluciones Bring Your Own Identity (BYOI), que permiten a los usuarios administrar sus propias identidades y portarlas entre sistemas, también puede ayudar a simplificar la gestión de TI. 

Los sistemas de IAM pueden agilizar el proceso de asignación de permisos de usuario mediante el uso de métodos RBAC que establecen automáticamente los privilegios de usuario en función de la función y las responsabilidades. Las herramientas de IAM pueden proporcionar a los equipos de TI y seguridad una única plataforma para definir y aplicar políticas de acceso para todos los usuarios.

Conformidad con la normativa

Estándares como RGPD, PCI-DSS y SOX requieren políticas estrictas sobre quién puede acceder a los datos y con qué fines. Los sistemas IAM permiten a las empresas establecer y aplicar políticas formales de control de acceso que cumplan con esos estándares. Las empresas también pueden rastrear la actividad de los usuarios para demostrar el cumplimiento durante una auditoría.

Seguridad de la red y de los datos

Según el informe Cost of a Data Breach de IBM, el robo de credenciales es una causa principal de vulneraciones de datos. Los hackers suelen apuntar a cuentas sobreaprovisionadas con permisos superiores a los necesarios. Estas cuentas suelen estar menos protegidas que las cuentas de administrador, pero permiten a los hackers acceder a grandes franjas del sistema. 

IAM puede ayudar a frustrar los ataques basados en credenciales al agregar capas de autenticación adicionales para que los hackers necesiten algo más que una contraseña para acceder a los datos confidenciales. Incluso si entra un hacker, los sistemas IAM ayudan a evitar el movimiento lateral. Los usuarios solo tienen los permisos que necesitan y nada más. Los usuarios legítimos pueden acceder a todos los recursos que necesitan bajo demanda, mientras que los actores maliciosos y las amenazas internas están limitados en lo que pueden hacer.   

Soluciones relacionadas
IBM Security Verify 

La familia de productos IBM Security Verify proporciona capacidades automatizadas, basadas en la nube y locales, para administrar el gobierno de identidades, gestionar la identidad y el acceso del personal y controlar las cuentas privilegiadas.

Explore IBM Security Verify
Servicios de gestión de identidad y acceso

Ponga su programa IAM de personal y consumidores en el camino del éxito con las habilidades, la estrategia y el apoyo de expertos en identidad y seguridad.

Explore los servicios de IAM
IBM Security Verify Privilege

Herramientas de gestión de acceso privilegiado para descubrir, controlar, gestionar y proteger cuentas privilegiadas en endpoints y entornos híbridos multinube.

Explore IBM Security Verify Privilege
IBM Security Verify Governance

Suministre, audite y genere informes de capacidades de ciclo de vida, cumplimiento y análisis, en las instalaciones y para la nube.

Explore IBM Security Verify Governance
IBM Security Application Gateway

Amplíe fácilmente la autenticación moderna a las aplicaciones antiguas y mejore la posición de seguridad a la vez que crea una experiencia de usuario coherente.

Explore IBM Security Application Gateway
Recursos ¿Qué es el inicio de sesión único (SSO)?

SSO es un esquema de autenticación que permite a los usuarios iniciar sesión una vez y obtener acceso seguro a múltiples aplicaciones y servicios relacionados.

Informe sobre el coste de la vulneración de datos

El informe Coste de una filtración de datos comparte los conocimientos más recientes sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.

¿Qué es la autenticación multifactor (MFA)?

MFA es un método de verificación de identidad en el que un usuario debe proporcionar al menos dos pruebas para demostrar su identidad.

Dé el siguiente paso

IBM Security Verify es una plataforma líder de IAM que ofrece capacidades con IA para gestionar las necesidades de su personal y de sus clientes. Unifique los silos de identidad, reduzca el riesgo de sufrir ataques basados en la identidad y proporcione una autenticación moderna que incluya la capacidad de prescindir de contraseñas.

Explore Verify Pruebe Verify durante 90 días