Controlar "las puertas" de Internet, gran reto de los directores de TI
Gestión de identidades y control estricto de la mensajería instantánea
En los últimos años, el mayor problema de seguridad informática al que han tenido que enfrentarse las empresas, ha venido de la mano de Internet. Un buen sistema de gestión de la identidad de las personas que acceden y todas las medidas necesarias para evitar que la mensajería instantánea suponga una entrada sin barreras a los intrusos, son dos medidas que las empresas deben considerar implementar.
Una empresa tiene miles de empleados accediendo cada uno de ellos a una docena de aplicaciones internas al mismo tiempo, una base de socios de negocio externos cada vez mayor y toda una serie de clientes visitando el nuevo portal de Internet. Y hay que proporcionar a esta población fluida el canal apropiado para acceder a los recursos a los que están autorizados. En esta situación, lo más aconsejable es implantar un sistema de identidades, que ayude a resolver la multitud de quejas de los usuarios sobre dificultades de acceso y servirá como una defensa importante al propio sistema de seguridad. Para que sea eficaz, es necesario un buen diseño y ejecución, atendiendo a las necesidades actuales y previniendo la posibilidad de añadir funciones y características en el futuro. Hay que tener en cuenta la planificación, la adopción de estándares, la determinación de cuándo hay que centralizar la gestión de contraseñas y cuándo delegarla y el aprovechamiento de los éxitos iniciales para justificar los costes de posibles iniciativas futuras.
En primer lugar, la empresa que decida adoptar un sistema de gestión de identidades apropiado, debe planificar una lista de acciones inmediatas. La primera consistiría en comenzar por determinar qué porciones de la gestión de identidades ejercerán el impacto más positivo sobre el propio negocio. Por ejemplo, una empresa puede determinar que lo más importante a resolver es la cuestión de la restauración de contraseñas, ya que le está absorbiendo un porcentaje demasiado elevado del presupuesto de atención al cliente. En segundo lugar, se debe efectuar una planificación a largo plazo, es decir, se debe tener en cuenta el futuro desarrollo de servicios web, como portales para los empleados, que amplía el acceso a la información corporativa. Posteriormente, es aconsejable analizar los estándares del mercado. Esta es la única forma de facilitar los planes a corto y largo plazo de la empresa. Con una infraestructura basada en estándares, pueden introducirse nuevas reglas y nuevos roles y añadir aplicaciones de gestión de identidades entre aplicaciones según van apareciendo. Además, una infraestructura basada en estándares hace más fácil conceder acceso a partners de negocio externos, sin que tengan que utilizar los mismos productos que utiliza la empresa en cuestión.
Centralización de la gestión de las identidades
Una vez tenidas en cuenta estas cuestiones, la empresa ha de establecer cuándo centralizará la administración. Hay una cantidad igual de empresas y organizaciones que prefieren centralizar la administración de las cuentas de usuarios, que las que deciden no hacerlo. Esta opción se adopta generalmente cuando una compañía determina que su problema de gestión de identidades más importante es el de los datos de usuario inconsistentes y las cuentas de usuarios internos ficticias y, en particular, cuando la política de procesos workflow ya está centralizada en torno al sistema de recursos humanos de la compañía. Este elemento de la gestión de identidades se conoce como provisionamiento de usuarios. Por ejemplo, una empresa de servicios de outsourcing de recursos humanos y tecnología puede determinar que su problema de gestión de identidades más inmediato es eliminar información inexacta sobre cuentas de usuarios de sus 1.500 usuarios distribuidos, cuyos metadatos (números de teléfono, cargos, nombres de cuenta, etc.) son con frecuencia distintos de los almacenados en el sistema de recursos humanos de la compañía. El departamento de Recursos Humanos desea conservar el control sobre la integración de nuevos usuarios y el aprovisionamiento de sus recursos, así como la supresión de usuarios y el desaprovisionamiento de sus recursos después de su cese o transferencia. Además, solicita un sistema que ayude a establecer normas sobre contratación, asignación de funciones y salarios de personal y alerte a los directores de Recursos Humanos cuando esas normas sean violadas. Para ello, el equipo de TI corporativo puede implantar un producto que incorpore conectores a la aplicación corporativa ERP y que pueda aprovisionar cualquier cosa, como acceso a recursos de datos, teléfonos, espacios de oficina, incluso espacio de aparcamientos. Lo más importante, es que el produzco mantenga la consistencia de los datos de usuario de una aplicación a otra. Puede desaprovisionar automáticamente el acceso a los recursos de datos, eliminando así el peligroso problema de la existencia de contraseñas falsas que los infractores pueden utilizar para acceder a los sistemas. La ventaja es que pueden obtener enormes eficiencias en términos de exactitud de la información sobre usuarios, sin tener que emplear tanto tiempo en tareas administrativas.
Por último, es mejor escoger una implantación progresiva. Trabajar en fases aporta la ventaja de que se pueden ir justificando los proyectos según el beneficio sobre la inversión o ROI que produzcan. Aprovechar medios de ahorro y eficiencias puede ayudar en gran medida a los departamentos de TI a justificar fases posteriores de desarrollo. Tecnológicamente, la implantación de un sistema de gestión de identidades en fases también resulta mucho más fácil de abordar, según numerosos directores TI. Hay que comenzar por pasos que muestren un beneficio sobre la inversión o ahorros, como unos menores costes en el servicio de atención a clientes. Además, se pueden utilizar estas cifras para justificar el precio de futuros proyectos, como la adopción de controles de acceso más potentes. De hecho, una gestión de identidades bien llevada a cabo puede ahorrar mucho dinero. Para ello se requiere planificación, evaluación de las opciones de solución, crear un mapa de ruta y definir valores de medición para evaluar el éxito alcanzado.
El problema concreto de la seguridad en la mensajería instantánea
Aunque no sea aprobada generalmente por los departamentos de Tecnologías de la Información, la mensajería instantánea o instant messaging, con sus 25 millones de usuarios, representa un problema de seguridad que no es posible ignorar.
Cuando se mencionan los términos mensajería instantánea y seguridad a muchos directores de TI, podría parecer que se está hablando del aceite y el agua. De hecho, algunos han prohibido el uso de esta herramienta de colaboración en sus compañías, afirmando que son agujeros a través de los cuales pueden entrar virus, hackers y espías corporativos, y por los cuales pueden salir secretos de la compañía, afirmaciones falsas y comunicaciones no auditadas. Estos directivos tienen un punto de razón como confirma la consultora Gartner Group, que ha identificado a la mensajería instantánea como uno de los 11 problemas de seguridad más importantes en estos momentos. Por su propia naturaleza, deja abierto un hueco en el firewall, y eso abre a su vez la posibilidad de invitar a entrar a un “gusano” peligroso.
E
Una empresa tiene miles de empleados accediendo cada uno de ellos a una docena de aplicaciones internas al mismo tiempo, una base de socios de negocio externos cada vez mayor y toda una serie de clientes visitando el nuevo portal de Internet. Y hay que proporcionar a esta población fluida el canal apropiado para acceder a los recursos a los que están autorizados. En esta situación, lo más aconsejable es implantar un sistema de identidades, que ayude a resolver la multitud de quejas de los usuarios sobre dificultades de acceso y servirá como una defensa importante al propio sistema de seguridad. Para que sea eficaz, es necesario un buen diseño y ejecución, atendiendo a las necesidades actuales y previniendo la posibilidad de añadir funciones y características en el futuro. Hay que tener en cuenta la planificación, la adopción de estándares, la determinación de cuándo hay que centralizar la gestión de contraseñas y cuándo delegarla y el aprovechamiento de los éxitos iniciales para justificar los costes de posibles iniciativas futuras.
En primer lugar, la empresa que decida adoptar un sistema de gestión de identidades apropiado, debe planificar una lista de acciones inmediatas. La primera consistiría en comenzar por determinar qué porciones de la gestión de identidades ejercerán el impacto más positivo sobre el propio negocio. Por ejemplo, una empresa puede determinar que lo más importante a resolver es la cuestión de la restauración de contraseñas, ya que le está absorbiendo un porcentaje demasiado elevado del presupuesto de atención al cliente. En segundo lugar, se debe efectuar una planificación a largo plazo, es decir, se debe tener en cuenta el futuro desarrollo de servicios web, como portales para los empleados, que amplía el acceso a la información corporativa. Posteriormente, es aconsejable analizar los estándares del mercado. Esta es la única forma de facilitar los planes a corto y largo plazo de la empresa. Con una infraestructura basada en estándares, pueden introducirse nuevas reglas y nuevos roles y añadir aplicaciones de gestión de identidades entre aplicaciones según van apareciendo. Además, una infraestructura basada en estándares hace más fácil conceder acceso a partners de negocio externos, sin que tengan que utilizar los mismos productos que utiliza la empresa en cuestión.
Centralización de la gestión de las identidades
Una vez tenidas en cuenta estas cuestiones, la empresa ha de establecer cuándo centralizará la administración. Hay una cantidad igual de empresas y organizaciones que prefieren centralizar la administración de las cuentas de usuarios, que las que deciden no hacerlo. Esta opción se adopta generalmente cuando una compañía determina que su problema de gestión de identidades más importante es el de los datos de usuario inconsistentes y las cuentas de usuarios internos ficticias y, en particular, cuando la política de procesos workflow ya está centralizada en torno al sistema de recursos humanos de la compañía. Este elemento de la gestión de identidades se conoce como provisionamiento de usuarios. Por ejemplo, una empresa de servicios de outsourcing de recursos humanos y tecnología puede determinar que su problema de gestión de identidades más inmediato es eliminar información inexacta sobre cuentas de usuarios de sus 1.500 usuarios distribuidos, cuyos metadatos (números de teléfono, cargos, nombres de cuenta, etc.) son con frecuencia distintos de los almacenados en el sistema de recursos humanos de la compañía. El departamento de Recursos Humanos desea conservar el control sobre la integración de nuevos usuarios y el aprovisionamiento de sus recursos, así como la supresión de usuarios y el desaprovisionamiento de sus recursos después de su cese o transferencia. Además, solicita un sistema que ayude a establecer normas sobre contratación, asignación de funciones y salarios de personal y alerte a los directores de Recursos Humanos cuando esas normas sean violadas. Para ello, el equipo de TI corporativo puede implantar un producto que incorpore conectores a la aplicación corporativa ERP y que pueda aprovisionar cualquier cosa, como acceso a recursos de datos, teléfonos, espacios de oficina, incluso espacio de aparcamientos. Lo más importante, es que el produzco mantenga la consistencia de los datos de usuario de una aplicación a otra. Puede desaprovisionar automáticamente el acceso a los recursos de datos, eliminando así el peligroso problema de la existencia de contraseñas falsas que los infractores pueden utilizar para acceder a los sistemas. La ventaja es que pueden obtener enormes eficiencias en términos de exactitud de la información sobre usuarios, sin tener que emplear tanto tiempo en tareas administrativas.
Por último, es mejor escoger una implantación progresiva. Trabajar en fases aporta la ventaja de que se pueden ir justificando los proyectos según el beneficio sobre la inversión o ROI que produzcan. Aprovechar medios de ahorro y eficiencias puede ayudar en gran medida a los departamentos de TI a justificar fases posteriores de desarrollo. Tecnológicamente, la implantación de un sistema de gestión de identidades en fases también resulta mucho más fácil de abordar, según numerosos directores TI. Hay que comenzar por pasos que muestren un beneficio sobre la inversión o ahorros, como unos menores costes en el servicio de atención a clientes. Además, se pueden utilizar estas cifras para justificar el precio de futuros proyectos, como la adopción de controles de acceso más potentes. De hecho, una gestión de identidades bien llevada a cabo puede ahorrar mucho dinero. Para ello se requiere planificación, evaluación de las opciones de solución, crear un mapa de ruta y definir valores de medición para evaluar el éxito alcanzado.
El problema concreto de la seguridad en la mensajería instantánea
Aunque no sea aprobada generalmente por los departamentos de Tecnologías de la Información, la mensajería instantánea o instant messaging, con sus 25 millones de usuarios, representa un problema de seguridad que no es posible ignorar.
Cuando se mencionan los términos mensajería instantánea y seguridad a muchos directores de TI, podría parecer que se está hablando del aceite y el agua. De hecho, algunos han prohibido el uso de esta herramienta de colaboración en sus compañías, afirmando que son agujeros a través de los cuales pueden entrar virus, hackers y espías corporativos, y por los cuales pueden salir secretos de la compañía, afirmaciones falsas y comunicaciones no auditadas. Estos directivos tienen un punto de razón como confirma la consultora Gartner Group, que ha identificado a la mensajería instantánea como uno de los 11 problemas de seguridad más importantes en estos momentos. Por su propia naturaleza, deja abierto un hueco en el firewall, y eso abre a su vez la posibilidad de invitar a entrar a un “gusano” peligroso.
E
