La gestión de identidades, un imperativo necesario para la empresa
Debe integrarse en la política de seguridad global
Carecer de una política adecuada de gestión de identidades puede constituir un problema de seguridad decisivo en las empresas, además de una pérdida clara de eficacia para sus departamentos de Tecnologías de la Información (TI). Adoptar soluciones de seguridad que contemplen estos aspectos, incorporen los últimos protocolos y faciliten la integración de estas soluciones con la restante infraestructura tecnológica es una prioridad para los responsables de TI.
No disponer de una política y unas herramientas adecuadas de gestión de identidades, que se integre con las restantes soluciones de seguridad puede conllevar importantes problemas para las empresas, tanto en términos de falta de seguridad, como respecto a la pérdida de eficiencia y productividad de los departamentos de TI. Así lo señala un estudio de IDC, cuyas conclusiones reflejan cómo la consolidación de la información de identidades a través de preferencias, políticas y procesos puede reducir la complejidad de su gestión. Asimismo, dicho estudio asegura que la automatización del aprovisionamiento de usuarios puede reducir significativamente el coste en las empresas e incrementar los niveles de seguridad en la comunicación entre los propios empleados de una empresa y éstos y sus clientes. Como señala Jaime García, director de análisis de IDC España, “casi todas las empresas españolas cuentan con políticas de gestión de identidades, el problema es que éstas no están centralizadas y esto puede repercutir en la eficiencia de las mismas. A veces se tardan dos días en dar las claves a los nuevos empleados y, también, se suele tardar mucho en quitarlas cuando se van de la empresa, lo que influye negativamente no sólo en la seguridad, sino en la gestión de dicha seguridad.
Como también asevera Julián Rubio, director general de Novell España, “recientemente encargamos un estudio a la Universidad de Stanford y a la Universidad de Ciencia y Tecnología de Hong Kong sobre gestión de identidades, llamado Exploring Secure Identity Management in Global Enterprises. De éste se desprende que la mayor parte de las organizaciones incluidas en el índice Global 2000 sufren serias vulnerabilidades de seguridad e ineficacias operativas debido a la falta de una gestión segura de identidades”. Rubio explica que el estudio detecta que el 50% de las organizaciones analizadas tarda más de dos días (y otro importante porcentaje más de dos semanas) en revocar el acceso a la red de los usuarios que han cesado su relación laboral con la compañía. “La implantación de una gestión segura de identidades puede reducir los costes de la administración de ordenadores de escritorio de ciertas organizaciones en más de un millón de dólares anuales. Hay que tener en cuenta el peligro que supone manejar listas enormes de contraseñas de los empleados, que pueden fácilmente caer en manos poco adecuadas. Es obvio que la gestión de identidades y seguridad de acceso es uno de los problemas más acuciantes al que deben hacer frente las organizaciones. No solucionar este problema puede afectar negativamente tanto a su seguridad como a su estructura de costes. Es una situación que puede obstaculizar e, incluso, interrumpir, los progresos de una compañía hacia sus objetivos”.
Por su parte, Gabriel Jiménez, director de desarrollo de negocio de Web Services en Sun Microsystems Ibérica, señala que “para la mayoría de las compañías que ya han empezado a utilizar internamente los servicios Web, el problema número uno consiste en comprender y poner orden en una mirada los procesos internos. El desafío es asegurarse de que cada empleado tiene acceso sólo a lo que debe tener acceso, y nada más”.
Falta de concienciación
La falta de información por parte de las empresas, que no son conscientes de los riesgos que conlleva una errónea gestión de identidades es destacada por Jordi Gascón, director de Tecnología de Computer Associates. Éste señala la necesidad de ver la seguridad “como un todo y como un proceso que se compone de varios elementos como la gestión de acceso, las amenazas externas y la gestión de identidades. Para nosotros esta última tiene una especial importancia”.
Rubio ahonda en esta idea: “En muchos casos se debe a un planteamiento erróneo en sus políticas de seguridad. Un gran número de empresas las afrontan como un grupo de diferentes segmentos sin relación, cuando lo apropiado es hacerlo como un aspecto global que afecta a toda la tecnología y a todos los procesos que desarrolla. Es necesario que la empresa, al abordar su seguridad, se decida por implantar soluciones de infraestructura que abarquen una serie de metodologías de autenticación para toda la plataforma, aplicaciones y accesos internos y/o externos, desestimando el despliegue de un número de productos de seguridad desligados entre sí”. El director de Novell explica cómo al mantener múltiples soluciones de seguridad se introducen significativas vulnerabilidades de red, se incrementan los costes de administración y soporte y se reduce la calidad en la experiencia de los usuarios finales, que se ven obligados a utilizar múltiples claves. “También existe la idea de que cuesta más implantar un sistema de seguridad que lo que se pretende asegurar, pero es una percepción falsa ya que existen soluciones que no sólo reducen los costes del sistema de seguridad sino que, además, permiten una administración muy económica del mismo. Los suministradores tecnológicos tenemos que asumir parte de responsabilidad en esta realidad, al no haber sabido transmitir al mundo empresarial que existen soluciones tecnológicas seguras, fáciles de manejar y baratas de mantener”. Rubio es positivo: “A pesar de lo anterior, el mercado está mostrando una mayor sensibilización con este aspecto y ve la necesidad de invertir más en seguridad”.
Jiménez señala la existencia de un cajón desastre de tecnologías dentro de las empresas: “Las fusiones, adquisiciones y todos esos departamentos que actúan de forma independiente han provocado que el empleado medio tenga que utilizar hasta seis contraseñas diferentes para realizar su trabajo. Esto es desquiciante para el individuo y costoso para la empresa. Optimizar la eficiencia de los sistemas internos es bueno para una organización, pero además genera oportunidades reales para establecer vínculos con otros negocios en beneficio mutuo, oportunidades para incrementar la satisfacción y la fidelidad del cliente. Es importante que desde la dirección de la empresa se entienda esto, se cree una “cultura” empresarial que entienda la identidad digital como algo realmente crítico”.
Los estándares, la clave
En un mundo interconectado, en el que todos los empleados acceden a la red, los estándares de identidad son básicos, según Jiménez. “Para asegurarse, por ejemplo, de que un usuario individual accede a su propia nómina, pero no a la de otro empleado a través de Internet, es necesario introducir a todo el mundo en un directorio online basado en estándares de la industria. Con una herramienta de seguridad, el directorio permitiría establecer reglas, conceder permisos y administrar las políticas de privacidad. Incidir en los estándares abiertos ahorrará tiempo
No disponer de una política y unas herramientas adecuadas de gestión de identidades, que se integre con las restantes soluciones de seguridad puede conllevar importantes problemas para las empresas, tanto en términos de falta de seguridad, como respecto a la pérdida de eficiencia y productividad de los departamentos de TI. Así lo señala un estudio de IDC, cuyas conclusiones reflejan cómo la consolidación de la información de identidades a través de preferencias, políticas y procesos puede reducir la complejidad de su gestión. Asimismo, dicho estudio asegura que la automatización del aprovisionamiento de usuarios puede reducir significativamente el coste en las empresas e incrementar los niveles de seguridad en la comunicación entre los propios empleados de una empresa y éstos y sus clientes. Como señala Jaime García, director de análisis de IDC España, “casi todas las empresas españolas cuentan con políticas de gestión de identidades, el problema es que éstas no están centralizadas y esto puede repercutir en la eficiencia de las mismas. A veces se tardan dos días en dar las claves a los nuevos empleados y, también, se suele tardar mucho en quitarlas cuando se van de la empresa, lo que influye negativamente no sólo en la seguridad, sino en la gestión de dicha seguridad.
Como también asevera Julián Rubio, director general de Novell España, “recientemente encargamos un estudio a la Universidad de Stanford y a la Universidad de Ciencia y Tecnología de Hong Kong sobre gestión de identidades, llamado Exploring Secure Identity Management in Global Enterprises. De éste se desprende que la mayor parte de las organizaciones incluidas en el índice Global 2000 sufren serias vulnerabilidades de seguridad e ineficacias operativas debido a la falta de una gestión segura de identidades”. Rubio explica que el estudio detecta que el 50% de las organizaciones analizadas tarda más de dos días (y otro importante porcentaje más de dos semanas) en revocar el acceso a la red de los usuarios que han cesado su relación laboral con la compañía. “La implantación de una gestión segura de identidades puede reducir los costes de la administración de ordenadores de escritorio de ciertas organizaciones en más de un millón de dólares anuales. Hay que tener en cuenta el peligro que supone manejar listas enormes de contraseñas de los empleados, que pueden fácilmente caer en manos poco adecuadas. Es obvio que la gestión de identidades y seguridad de acceso es uno de los problemas más acuciantes al que deben hacer frente las organizaciones. No solucionar este problema puede afectar negativamente tanto a su seguridad como a su estructura de costes. Es una situación que puede obstaculizar e, incluso, interrumpir, los progresos de una compañía hacia sus objetivos”.
Por su parte, Gabriel Jiménez, director de desarrollo de negocio de Web Services en Sun Microsystems Ibérica, señala que “para la mayoría de las compañías que ya han empezado a utilizar internamente los servicios Web, el problema número uno consiste en comprender y poner orden en una mirada los procesos internos. El desafío es asegurarse de que cada empleado tiene acceso sólo a lo que debe tener acceso, y nada más”.
Falta de concienciación
La falta de información por parte de las empresas, que no son conscientes de los riesgos que conlleva una errónea gestión de identidades es destacada por Jordi Gascón, director de Tecnología de Computer Associates. Éste señala la necesidad de ver la seguridad “como un todo y como un proceso que se compone de varios elementos como la gestión de acceso, las amenazas externas y la gestión de identidades. Para nosotros esta última tiene una especial importancia”.
Rubio ahonda en esta idea: “En muchos casos se debe a un planteamiento erróneo en sus políticas de seguridad. Un gran número de empresas las afrontan como un grupo de diferentes segmentos sin relación, cuando lo apropiado es hacerlo como un aspecto global que afecta a toda la tecnología y a todos los procesos que desarrolla. Es necesario que la empresa, al abordar su seguridad, se decida por implantar soluciones de infraestructura que abarquen una serie de metodologías de autenticación para toda la plataforma, aplicaciones y accesos internos y/o externos, desestimando el despliegue de un número de productos de seguridad desligados entre sí”. El director de Novell explica cómo al mantener múltiples soluciones de seguridad se introducen significativas vulnerabilidades de red, se incrementan los costes de administración y soporte y se reduce la calidad en la experiencia de los usuarios finales, que se ven obligados a utilizar múltiples claves. “También existe la idea de que cuesta más implantar un sistema de seguridad que lo que se pretende asegurar, pero es una percepción falsa ya que existen soluciones que no sólo reducen los costes del sistema de seguridad sino que, además, permiten una administración muy económica del mismo. Los suministradores tecnológicos tenemos que asumir parte de responsabilidad en esta realidad, al no haber sabido transmitir al mundo empresarial que existen soluciones tecnológicas seguras, fáciles de manejar y baratas de mantener”. Rubio es positivo: “A pesar de lo anterior, el mercado está mostrando una mayor sensibilización con este aspecto y ve la necesidad de invertir más en seguridad”.
Jiménez señala la existencia de un cajón desastre de tecnologías dentro de las empresas: “Las fusiones, adquisiciones y todos esos departamentos que actúan de forma independiente han provocado que el empleado medio tenga que utilizar hasta seis contraseñas diferentes para realizar su trabajo. Esto es desquiciante para el individuo y costoso para la empresa. Optimizar la eficiencia de los sistemas internos es bueno para una organización, pero además genera oportunidades reales para establecer vínculos con otros negocios en beneficio mutuo, oportunidades para incrementar la satisfacción y la fidelidad del cliente. Es importante que desde la dirección de la empresa se entienda esto, se cree una “cultura” empresarial que entienda la identidad digital como algo realmente crítico”.
Los estándares, la clave
En un mundo interconectado, en el que todos los empleados acceden a la red, los estándares de identidad son básicos, según Jiménez. “Para asegurarse, por ejemplo, de que un usuario individual accede a su propia nómina, pero no a la de otro empleado a través de Internet, es necesario introducir a todo el mundo en un directorio online basado en estándares de la industria. Con una herramienta de seguridad, el directorio permitiría establecer reglas, conceder permisos y administrar las políticas de privacidad. Incidir en los estándares abiertos ahorrará tiempo
