La expresión “atrapado entre la espada y la pared” viene a la mente al describir dos problemas que enfrentaba la oficina del director de sistemas de información (CIO) de IBM. En primer lugar, imagínese tener que prestar servicios de autenticación de identidad y acceso a más de medio millón de empleados de IBM en todo el mundo, con una plataforma local sumamente personalizada y de inquilino único. Además, al mismo tiempo tiene que proporcionar servicios de identidad y acceso similares para más de 26 millones de clientes globales de IBM, con una solución de identidad como servicio (IDaaS) de primera generación independiente y anticuada.
Ahora tal vez pueda entender a qué se enfrentaba la oficina del CIO de IBM: dos plataformas distintas para la gestión de identidad y acceso (IAM) que ofrecían tecnologías diferentes y distintos niveles de madurez, confiabilidad y funcionalidad.
La magnitud del problema puede ser difícil de imaginar. El equipo de identidad asegurada y operaciones de ciberseguridad de IBM dio soporte a 5000 aplicaciones, más de 600 empresas clientes federadas y sus trabajadores y más de 150 000 grupos de autorización. En un trimestre de 2021, los servicios de autenticación de IBM admitieron 35,7 millones de inicios de sesión.
Y en el entorno competitivo actual, el terreno de juego cambiaba constantemente. Como señala Daniel Opoku-Frempong, director del equipo de identidad asegurada y operaciones de ciberseguridad, “La oficina del CIO de IBM proporciona servicios de identidad críticos para toda la fuerza laboral de IBM, millones de clientes y ahora también Kyndryl”.
La transformación de los servicios de autenticación de IBM requeriría una importante modernización y consolidación de la infraestructura para ofrecer confiabilidad y seguridad a gran escala de forma eficiente. Opoku-Frempong describe la dificultad: "Necesitábamos organizar un cambio fundamental en la forma de capturar, involucrar, gestionar y administrar la identidad y el acceso de nuestros millones de usuarios en todo el mundo. Ya no podíamos defender el escaso retorno de la inversión y la lentitud de comercialización que perseguían a todos los flujos de trabajo afectados por las antiguas soluciones”.
Escalabilidad mejorada
Escalable a más de 27 millones de identidades internas y externas
Capacidades mejoradas
Ofrece capacidades sin contraseña, QR o FIDO2, para más de 800 000 autenticaciones desde la migración
Ed Klenotiz, arquitecto de identidad asegurada, y sus colegas se pusieron manos a la obra."Completamos un análisis competitivo de los principales proveedores para potenciar los servicios de identidad de empresa a empleado y de empresa a empresa", dice. "Aprovechar una plataforma de autenticación estándar basada en la nube sería un primer paso fundamental para modernizar los servicios de identidad a escala, tanto para los empleados de IBM como para nuestros clientes".
Y al igual que IBM recomendaría a sus propios clientes, el equipo de identidad asegurada y operaciones de ciberseguridad capturó todos los requisitos de identidad y acceso y comparó varias de las soluciones que existen en el mercado.
Después de reunir los requisitos y considerar todas las opciones, el equipo de identidad asegurada y operaciones de ciberseguridad eligió IBM Security™ Verify (SaaS) para sus millones de usuarios internos y externos. ¿La razón número uno? La lista estaba encabezada por las API, que permitieron la migración de aplicaciones sin problemas. ¿Y la segunda? Podrían personalizar la interfaz de usuario para adaptarla a sus necesidades exactas sin agotar sus recursos de desarrollo.
Al adoptar IBM Security Verify como la plataforma estándar de servicios de IAM en la nube para todas las identidades B2E y B2B, IBM estaría preparada para implementar capacidades de identidad más modernas, con seguridad, escala y experiencia de usuario mejoradas.
"Con la nueva solución, podríamos ampliar las opciones de autenticación de los usuarios internos", afirma Opoku-Frempong. "La autenticación de dos factores (2FA) protege significativamente las contraseñas contra posibles riesgos, pero suele ser incómoda para los usuarios. Así que implementamos funciones adaptativas de 2FA que utilizaban análisis de back-end para determinar cuándo y dónde se necesitaba autenticación adicional. El cambio a las capacidades 2FA de IBM Security Verify ofreció una opción mejorada para que los empleados de IBM realicen la autenticación a través de opciones sin contraseña, por ejemplo, mediante código QR y FIDO2 para TouchID y Windows Hello. Ese fue un cambio radical en sí mismo”.
Pero había otras presiones. Históricamente, el equipo de la oficina del CIO de IBM había invertido en el desarrollo de su directorio corporativo para cumplir con el reglamento sobre el tráfico internacional de armas (ITAR), un régimen regulatorio de los Estados Unidos para restringir y controlar la exportación de tecnologías relacionadas con asuntos militares y de defensa. Eliminar y reemplazar la antigua solución de IAM en todo el mundo y al mismo tiempo estaba fuera de discusión. Los ingenieros de IBM Security Verify habían previsto este requisito. Security Verify Bridge junto con Bridge for Directory Sync permitió al equipo de sistemas de información de IBM aplicar la inversión heredada y los procesos asociados. Y como beneficio secundario, esto les permitió desarrollar un plan de migración cuidadosamente escalonado con un impacto mínimo.
Opoku-Frempong continúa: "Hubo otras capacidades de migración que hicieron que la transición fuera más fluida. La biblioteca de API mejorada de IBM Security Verify permitió la migración de aplicaciones de autoservicio por parte de los propietarios de las aplicaciones, lo que redujo el impacto en otras cargas de trabajo. Además, la capa de control mejorada en torno al acceso privilegiado a las API nos proporciona un control más estricto de la seguridad del entorno, lo que minimiza aún más los vectores de ataque. En definitiva, todos ganamos”.
Opoku-Frempong y su equipo tenían mucho que celebrar. Al adoptar IBM Security Verify, pudieron mejorar la experiencia del usuario y, al mismo tiempo, reforzar la seguridad para esos mismos usuarios y la red, los datos y las aplicaciones de la empresa, a escala. Lee Ann Rodgers, directora del programa IBMid, lo explica de esta manera: "Las capacidades de IBM Security Verify nos permitieron proporcionar a nuestros clientes características extensibles para mejorar la seguridad con métodos de MFA flexibles, mejora de la gestión de contraseñas, gestión del ciclo de vida del ID de usuario y autocuidado, gestión de aplicaciones, notificaciones flexibles de cambios al usuario y servicio de notificación de eventos".
Además, ahora hay una visión del futuro, una promesa para obtener más valor. A medida que continúa el recorrido de autenticación de identidad y acceso de IBM, el personal y los clientes de IBM pueden esperar más beneficios:
- Una experiencia de usuario transformada, sin contraseñas
- Protección mejorada para usuarios privilegiados en entornos multinube
- Métodos flexibles de autenticación multifactor (MFA), gestión mejorada de contraseñas y autogestión y gestión del ciclo de vida de los ID de usuario.
- Integración con dispositivos y soluciones de gestión de dispositivos móviles para respaldar la estrategia de confianza cero de IBM
- Arquitectura de microservicios de IBM Security Verify para mejorar la escalabilidad y la tolerancia a fallos de la solución
- Planes para múltiples sitios para ofrecer mayor confiabilidad
- Enfoque continuo en la experiencia del usuario y de la marca, con un mayor compromiso con la seguridad y la privacidad
Gary Schmader, director sénior de identidad asegurada, lo resume así: "Confiamos en nuestra propia solución comercial para atender una necesidad de misión crítica, a gran escala. Ahora, con IBM Security Verify, a toda persona que interactúe con IBM le podemos proporcionar un acceso sin fricciones, seguro y de última generación a los recursos de información... y recién estamos comenzando".
IBM es el líder mundial en nube híbrida e IA que atiende a clientes en más de 170 países. Más de 3.500 clientes utilizan nuestra plataforma de nube híbrida para acelerar sus procesos de transformación digital y, en total, más de 30 000 de ellos han recurrido a IBM para desbloquear el valor de sus datos: esta lista de clientes incluye nueve de cada diez de los bancos más grandes del mundo. Con esta base, seguimos aprovechando Red Hat® OpenShift® como la plataforma líder para satisfacer las necesidades empresariales de nuestros clientes: una plataforma de nube híbrida abierta, flexible y segura. Con los principios de confianza, transparencia y apoyo a una sociedad más inclusiva como guía, IBM también se compromete a ser un administrador responsable de la tecnología y una fuerza positiva en el mundo.
Notas de pie de página
© Copyright IBM Corporation 2022. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504
Producido en los Estados Unidos de América, enero de 2022.
IBM, el logotipo de IBM, ibm.com y IBM Security son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo.Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Puede consultar una lista actual de marcas comerciales de IBM en la sección "Información sobre derechos de autor y marca registrada",en https://www.ibm.com/mx-es/legal/copytrade.
Red Hat y OpenShift son marcas o marcas registradas de Red Hat, Inc. o sus subsidiarias en los Estados Unidos y otros países.
Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.
Declaración de buenas prácticas de seguridad: la seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido dentro y fuera de su empresa. El acceso inadecuado puede derivarse en la alteración, destrucción, apropiación indebida o mal uso de la información o puede ocasionar daños o mal uso de sus sistemas, incluso para ataques a otros. Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz para prevenir el uso o acceso no autorizado. Los sistemas, productos y servicios de IBM están diseñados para ser parte de un enfoque de seguridad legal e integral, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más efectivos. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS, NI QUE VAYAN A HACER QUE SU EMPRESA SEA INMUNE A DICHA CONDUCTA.