Inicio
Temas
¿Qué es IAM? Identity and access management
Fecha de publicación: 22 de enero de 2024
Colaboradores: Matthew KoKokosinski, Amber Forrest
La gestión de identidad y acceso (IAM) es la disciplina de ciberseguridad que se ocupa de cómo acceden los usuarios a los recursos digitales a los recursos y qué pueden hacer con esos recursos. Los sistemas de IAM mantienen alejados a los hackers y garantizan que cada usuario individual tenga las licencias exactas que necesita para hacer su trabajo y nada más.
La red corporativa promedio alberga tanto usuarios humanos (empleados, clientes, contratistas) como usuarios no humanos (bots, IoT y dispositivos de punto final, cargas de trabajo automatizadas). Con el auge del trabajo remoto y la computación en la nube, estos usuarios están cada vez más distribuidos, al igual que los recursos a los que necesitan acceder.
Las organizaciones pueden tener dificultades para realizar un seguimiento de lo que hacen todos estos usuarios con aplicaciones y activos dispersos en ubicaciones locales, remotas y basadas en la nube. Esta falta de control plantea graves riesgos. Los hackers pueden entrar en una red sin ser detectados. Los usuarios internos maliciosos pueden abusar de sus derechos de acceso. Incluso los usuarios benignos pueden violar accidentalmente las regulaciones de protección de datos.
Las iniciativas de IAM pueden ayudar a optimizar el control de acceso, protegiendo los activos sin interrumpir los usos legítimos de esos activos. Los sistemas de gestión de identidades y accesos asignan a cada usuario una identidad digital distinta con licencias que se adaptan a la función del usuario, las necesidades de cumplimiento y otros factores. De esta manera, IAM garantiza que solo los usuarios correctos puedan acceder a los recursos correctos por las razones correctas mientras se bloquean el acceso y las actividades no autorizadas.
Obtenga insights para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force X-Force Force Force Threat Intelligence.
El propósito de IAM es detener a los piratas informáticos y, al mismo tiempo, permitir que los usuarios autorizados hagan fácilmente todo lo que necesitan hacer, pero no más de lo que pueden hacer. Las implementaciones de IAM emplean una variedad de herramientas y estrategias para lograr este objetivo, pero todas tienden a seguir la misma estructura básica.
Un sistema IAM típico tiene una base de datos o un directorio de usuarios. Esa base de datos contiene detalles sobre quién es cada usuario y qué puede hacer en un sistema informático. A medida que los usuarios se mueven por un sistema, el IAM emplea la información de la base de datos para verificar sus identidades, monitorear sus actividades y garantizar que solo hagan lo que la base de datos dice que pueden hacer.
Para una comprensión más profunda de cómo funciona IAM, es útil observar los cuatro componentes principales de las iniciativas de IAM: gestión del ciclo de vida de la identidad, control de acceso, autenticación y autorización y gobernanza de la identidad.
La gestión del ciclo de vida de la identidad es el proceso de crear y mantener identidades de usuario digitales para cada usuario humano y no humano en un sistema.
Para monitorear la actividad de los usuarios y aplicar licencias personalizadas, las organizaciones deben diferenciar entre usuarios individuales. IAM hace esto asignando a cada usuario una identidad digital. Las identidades digitales son colecciones de atributos distintivos que le dicen al sistema quién o qué es cada usuario. Las identidades a menudo incluyen rasgos como el nombre de un usuario, credenciales de inicio de sesión, número de identificación, puesto y derechos de acceso.
Las identidades digitales suelen almacenar en una base de datos o directorio central, que actúa como fuente de información. El sistema IAM emplea la información de esta base de datos para validar a los usuarios y determinar qué les permitirá y qué no.
En algunas iniciativas de IAM, los equipos de TI o de ciberseguridad manejan manualmente la incorporación de usuarios, la actualización de identidades a lo largo del tiempo y la baja o baja de usuarios que abandonan el sistema. Algunas herramientas de IAM permiten un enfoque de autoservicio. Los usuarios proporcionan su información y el sistema crea automáticamente su identidad y establece los niveles de acceso adecuados.
Las identidades digitales diferenciadas no sólo ayudan a las organizaciones a hacer un seguimiento de los usuarios, sino que también permiten a las compañías establecer y aplicar políticas de acceso más granulares. IAM permite a las empresas otorgar diferentes permisos de sistema a diferentes identidades en lugar de otorgar a cada usuario autorizado los mismos privilegios.
Hoy en día, muchos sistemas de IAM emplean el control de acceso basado en roles (RBAC). En RBAC, los privilegios de cada usuario se basan en su función laboral y nivel de responsabilidad. RBAC ayuda a agilizar el proceso de configuración de licencias de usuario y mitiga los riesgos de otorgar a los usuarios privilegios más altos de los que necesitan.
Digamos que una compañía está configurando licencias para un firewall de red. Un representante de ventas probablemente no tendría acceso en absoluto, ya que su trabajo no lo requiere. Un analista de seguridad de nivel junior podría ver las configuraciones del firewall, pero no cambiarlas. El director de seguridad de la información (CISO) tendría acceso administrativo completo. Una API que integra el SIEM de la compañía con el firewall podría leer los registros de actividad del firewall pero no ver nada más.
Para mayor seguridad, los sistemas IAM también pueden aplicar el principio de mínimo privilegio a las licencias de acceso de los usuarios. El principio del mínimo privilegio, a menudo asociado con las estrategias de ciberseguridad de confianza cero , establece que los usuarios solo deben tener las licencias más bajos necesarios para completar una tarea, y los privilegios deben revocar tan pronto como se realiza la tarea.
De acuerdo con el principio de privilegio mínimo, muchos sistemas de IAM tienen métodos y tecnologías distintos para la gestión de acceso privilegiado (PAM). PAM es la disciplina de ciberseguridad que monitorear la seguridad de las cuentas y el control de acceso para las cuentas de usuario con muchos privilegios, como los administradores de sistemas.
Las cuentas privilegiadas se tratan con más cuidado que otros roles de IAM porque el robo de estas credenciales permitiría a los hackers hacer lo que quieran. Las herramientas PAM aíslan las identidades privilegiadas del resto, empleando bóvedas de credenciales y protocolos de acceso justo a tiempo para mayor seguridad.
La información sobre los derechos de acceso de cada usuario generalmente se almacena en la base de datos central del sistema IAM como parte de la identidad digital de cada usuario. El sistema IAM utiliza esta información para hacer cumplir los distintos niveles de privilegio de cada usuario.
La autenticación y la autorización son la forma en que los sistemas IAM aplican políticas personalizadas de control de acceso en la práctica.
La autenticación es el proceso de determinar que un usuario, humano o no humano, es quien dice ser. Cuando un usuario inicia sesión en un sistema o aplicar acceso a un recurso, envía credenciales para garantizar su identidad. Por ejemplo, un usuario humano puede introducir una contraseña, mientras que un usuario no humano puede compartir un certificado digital. El sistema IAM compara estas credenciales con la base de datos central. Si coinciden, se concede el acceso.
Si bien una combinación de nombre de usuario y contraseña es la forma más básica de autenticación, también es una de las más débiles. Por esa razón, la mayoría de las implementaciones de IAM actuales emplean métodos de autenticación más avanzados.
La autenticación multifactor (MFA) requiere que los usuarios proporcionen dos o más factores de autenticación para demostrar sus identidades. Los factores comunes incluyen un código de seguridad que se envía al teléfono del usuario, una clave de seguridad física o datos biométricos como escaneos de huellas digitales.
El inicio de sesión único (SSO) permite a los usuarios acceder a múltiples aplicaciones y servicios con un conjunto de credenciales de inicio de sesión. El portal de SSO autentica al usuario y genera un certificado o token que actúa como clave de seguridad para otros recursos. Los sistemas SSO emplean protocolos abiertos como Security Assertion Markup Language (SAML) para compartir claves libremente entre diferentes proveedores de servicios.
La autenticación adaptativa, también llamada autenticación basada en riesgos, emplea la IA y el machine learning para analizar el comportamiento del usuario y cambiar los requisitos de autenticación en tiempo real a medida que cambia el nivel de riesgo. Al requerir una autenticación más estricta para las actividades más riesgosas, los esquemas de autenticación basados en el riesgo dificultan que los piratas informáticos o las amenazas internas lleguen a los activos críticos.
Un usuario que inicie sesión desde su dispositivo y ubicación habituales puede que sólo tenga que introducir su contraseña, ya que esta situación rutinaria plantea poco riesgo. Ese mismo usuario que inicia sesión desde un dispositivo que no es de confianza o que intenta ver información especialmente delicada puede tener que aportar más factores, ya que ahora está incurriendo en un comportamiento más arriesgado.
Una vez que un usuario está autenticado, el sistema IAM verifica los privilegios que están conectados a su identidad digital en la base de datos. El sistema IAM autoriza al usuario únicamente a acceder a los recursos y realizar las tareas que sus licencias le permiten.
La gobernanza de la identidad es el proceso de seguimiento de lo que hacen los usuarios con derechos de acceso. Los sistemas de IAM monitorean a los usuarios para garantizar que no abusen de sus privilegios y para atrapar a los piratas informáticos que puedan haber infiltrado en la red.
El control de la identidad es importante para el cumplimiento de normas. Por lo general, las empresas elaboran sus políticas de acceso para alinearse con los mandatos de seguridad como el Reglamento General de Protección de Datos (GDPR) o el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS). Al hacer un seguimiento de la actividad de los usuarios, los sistemas de IAM ayudan a las empresas a garantizar que sus políticas funcionen según lo previsto. Los sistemas IAM también pueden producir pistas de auditoría para ayudar a las empresas a probar el cumplimiento de normas o identificar infracciones según sea necesario.
Muchos flujos de trabajo clave de IAM, como la autenticación de usuarios y el seguimiento de su actividad, son difíciles o absolutamente imposibles de realizar manualmente. En cambio, las organizaciones confían en herramientas tecnológicas para automatizar los procesos de IAM.
En el pasado, las organizaciones empleaban soluciones puntuales para gestionar diferentes partes de IAM; por ejemplo, una solución para gestionar la autenticación de usuarios, otra para aplicar políticas de acceso y una tercera para auditar la actividad de los usuarios.
Hoy en día, las soluciones de IAM suelen ser plataformas integrales que hacen de todo o integran múltiples herramientas en un todo unificado. Aunque las plataformas IAM son muy variadas, todas tienden a compartir características básicas comunes como:
Algunas soluciones de IAM están diseñadas para ecosistemas específicos. Por ejemplo, las plataformas IAM de Amazon Web Services (AWS) y Google Cloud IAM controlan el acceso a los recursos alojados en esas nubes respectivas.
Otras soluciones de IAM -como las de Microsoft, IBM®, Oracle y otras- están pensadas para funcionar con todos los recursos de una red corporativa, independientemente de dónde estén alojados. Estas soluciones IAM pueden actuar como proveedores de identidad para todo tipo de servicios, empleando estándares abiertos como SAML y OpenID Connect (OIDC) para intercambiar información de autenticación de usuarios entre aplicaciones.
Cada vez más, las soluciones de administración de identidad y acceso se han ido desplazando fuera de las instalaciones y adoptando un modelo de software como servicio (SaaS ). Llamadas " identity-as-a-service " (IDaaS) o " autentificación como servicio " (AAaS), estas soluciones de IAM basadas en la nube ofrecen algunas capacidades de las que pueden carecer las herramientas locales.
Las herramientas IDaaS pueden ser útiles en redes corporativas complejas donde los usuarios distribuidos inician sesión desde varios dispositivos (Windows, Mac, Linux y dispositivos móviles) para acceder a recursos ubicados en el sitio y en nubes privadas y públicas. Si bien es posible que las herramientas de IAM locales no se adapten fácilmente a tantos usuarios y recursos diferentes en todas las ubicaciones, IDaaS a menudo sí puede hacerlo.
IDaaS también puede ayudar a las organizaciones a extender los servicios de IAM a contratistas, clientes y otros roles que no son empleados. Esto puede ayudar a simplificar las implementaciones de IAM, ya que la compañía no necesita emplear diferentes sistemas para diferentes usuarios.
Las herramientas IDaaS también permiten a las compañías externalizar algunos de los aspectos de IAM que requieren más tiempo y recursos, como la creación de nuevas cuentas de usuario y la autenticación de solicitudes de acceso y gobernanza de identidades.
Las iniciativas de IAM pueden ayudar a satisfacer varios casos de uso que abarcan ciberseguridad, operaciones comerciales y más.
Con el auge de los entornos multinube, la IA y la automatización y el trabajo remoto, la transformación digital significa que las compañías necesitan facilitar el acceso seguro para más tipos de usuarios a más tipos de recursos en más ubicaciones.
Los sistemas IAM pueden centralizar la gestión del acceso para todos estos usuarios y recursos, incluidos los usuarios no empleados y no humanos. Cada vez son más las plataformas IAM que incorporan o se integran con herramientas CIAM, lo que permite a las organizaciones gestionar el acceso de usuarios internos y externos desde el mismo sistema.
Hoy en día, las compañías mantienen fuerzas de trabajo remotas e híbridas, y la red corporativa promedio presenta una combinación de sistemas locales heredados y aplicaciones y servicios más nuevos basados en la nube. Las soluciones de IAM pueden optimizar el control de acceso en estos entornos complejos.
Características como SSO y acceso adaptativo permiten a los usuarios autenticar con una fricción mínima mientras protegen los activos vitales. Las organizaciones pueden gestionar identidades digitales y políticas de control de acceso para todos los sistemas desde una única solución de IAM central. En lugar de desplegar diferentes herramientas de identidad para diferentes activos, los sistemas integrales de IAM crean una única fuente de verdad, gestión y aplicación para todo el entorno de TI.
Los sistemas IAM, en particular los que soportan SSO, permiten a los usuarios acceder a múltiples servicios con una única identidad en lugar de crear cuentas diferentes para cada servicio. Esto reduce significativamente la cantidad de cuentas de usuario que los equipos de TI deben administrar. El crecimiento de las soluciones de traiga su propia identidad (BYOI), que permiten a los usuarios administrar sus propias identidades y portarlas entre sistemas, también puede ayudar a simplificar la administración de TI.
Los sistemas IAM pueden agilizar el proceso de asignación de licencias de usuario mediante el uso de métodos RBAC que establecen automáticamente los privilegios de usuario en función del rol y las responsabilidades. Las herramientas IAM pueden brindar a los equipos de TI y seguridad una plataforma única para definir y aplicar políticas de acceso para todos los usuarios.
Normas como GDPR, PCI-DSS y SOX exigen políticas estrictas sobre quién puede acceder a los datos y con qué fines. Los sistemas IAM permiten a las compañías establecer y aplicar políticas formales de control de acceso que cumplan esas normas. Las compañías también pueden realizar un seguimiento de la actividad de los usuarios para demostrar el cumplimiento durante una auditoría.
Según el Informe del costo de una filtración de datos de IBM, el robo de credenciales es una causa principal de filtraciones de datos. Los hackers suelen apuntar a cuentas sobreaprovisionadas con permisos superiores a los necesarios. Estas cuentas suelen estar menos protegidas que las cuentas de administrador, pero permiten a los hackers acceder a grandes franjas del sistema.
La IAM puede ayudar a frustrar los ataques basados en credenciales al agregar capas de autenticación adicionales para que los hackers necesiten algo más que una contraseña para acceder a datos confidenciales. Incluso si un hacker ingresa, los sistemas IAM ayudan a prevenir el movimiento lateral. Los usuarios solo tienen las licencias que necesitan y nada más. Los usuarios legítimos pueden acceder a todos los recursos que necesitan bajo demanda, mientras que los actores maliciosos y las amenazas internas están limitados en lo que pueden hacer.
La familia IBM® Security Verify proporciona capacidades on premises, automatizadas y basadas en la nube para gestionar la gobernanza de identidades, la fuerza laboral, la identidad y el acceso de los consumidores y controlar las cuentas privilegiadas.
Ponga su fuerza laboral y su programa de IAM del consumidor en el camino hacia el éxito con habilidades, estrategia y soporte de expertos en identidad y seguridad.
Herramientas de gestión de accesos privilegiados para descubrir, controlar, gestionar y proteger cuentas privilegiadas en endpoints y entornos híbridos multicloud.
Aprovisione, audite e informe sobre el acceso y la actividad de los usuarios a través de capacidades de ciclo de vida, cumplimiento y analíticas, localmente y para la nube
Amplíe fácilmente la autenticación moderna a aplicaciones heredadas y mejore la postura de seguridad mientras crea una experiencia de usuario consistente.
El SSO es un esquema de autenticación que permite a los usuarios iniciar sesión una vez y obtener acceso seguro a múltiples aplicaciones y servicios relacionados.
El informe sobre el costo de una filtración de datos comparte los últimos insights sobre el panorama de amenazas en expansión y ofrece recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
La MFA es un método de verificación de identidad en el que un usuario debe proporcionar al menos dos pruebas para demostrar su identidad.