METABASE Q

IAM: compruébame quién eres y te diré qué puedes hacer

Como personas propietarias tenemos acceso a todos los niveles y podemos establecer roles, así como políticas para determinar quién y bajo que términos tendrá acceso a ciertos recursos

OPINIÓN

·
Rafael Santana / Columna invitada / Opinión El Heraldo de México

La gestión de identidad y acceso (IAM, por sus siglas en inglés) es un proceso de vital importancia para toda organización, ya que solo a través de su correcta implementación se puede acceder a un nivel de control y visibilidad adecuado en pro de la privacidad y confidencialidad de la información de su infraestructura digital.

Al hablar de este concepto, nos referimos tanto a un proceso lógico como físico. Por fines prácticos e ilustrativos construiremos una analogía usando como ejemplo un edificio. Imaginemos que, en este inmueble, la planta baja se encuentra abierta al público con locales comerciales y en el primer piso encontramos las oficinas administrativas y algunas amenidades de uso exclusivo para los inquilinos que habitan del segundo al último piso. Como primer paso para la gestión de accesos, se debe definir cuáles recursos son privados y cuáles son públicos. De esta forma, podremos determinar qué acciones o información requieren de procesos más robustos de identificación, y rechazar a todos aquellos que no cumplan los criterios establecidos, con la finalidad de garantizar la seguridad de los recursos. También definimos a qué recursos se puede acceder sin el uso de factores de identificación. En el caso de nuestro ejemplo, es el área de comercios en la planta baja. Cualquiera puede acceder a ella y pasear por sus pasillos libremente bajo ciertos parámetros de comportamiento aceptable.

Como personas propietarias tenemos acceso a todos los niveles y podemos establecer roles, así como políticas para determinar quién y bajo que términos tendrá acceso a ciertos recursos. Sin embargo, esta tarea puede resultar abrumadora si no se cuenta con la experiencia y el tiempo necesario para dar seguimiento a solicitudes y resolver posibles conflictos que se presenten entre políticas que se aplican por default a ciertos grupos e individuos y los privilegios que se le otorgarán posteriormente. Por ello, la mejor práctica sería nombrar a una persona con el rol de superadministrador que tenga altos privilegios, y sea su responsabilidad formar y capacitar a administradores capaces de atender y resolver los distintos retos que pueden presentarse.

El principio de “mínimo privilegio” es uno de los pilares de mayor relevancia para poder ejecutar adecuadamente este concepto. Este consiste en otorgar a cada persona solamente las capacidades o privilegios necesarios para poder llevar a cabo el cumplimiento de sus actividades establecidas por su rol o grupo. Por ejemplo, regresando a nuestra metáfora del edificio, solamente algunos miembros de alto rango dentro del grupo del departamento de Recursos Humanos contarán con el privilegio de acceso a detalles de nómina. Mientras tanto, el resto del equipo de RR. HH., aunque pertenezca al mismo grupo, puede ejecutar sus tareas sin necesidad de acceder a dicha información. Por lo tanto, es innecesario concederles dicho privilegio. Por otra parte, el mínimo privilegio permite prevenir conflictos de interés que pudiera haber dentro de un área específica. Por ejemplo, dentro del área financiera sería una buena práctica que quienes dan de alta un proveedor no cuenten con el privilegio de realizar pagos para la prevención de malas prácticas.

Estos son solamente algunos de los muchos beneficios que IAM puede brindar a cualquier organización. Metabase Q, empresa líder en ciberseguridad cuenta con un equipo profesional altamente calificado en la gestión de identidad y acceso, quienes pueden guiarte en el proceso de desarrollo estratégico e implementación.

POR RAFAEL SANTANA
@METABASEQ
WWW.METABASEQ.COM
CONTACT@METABASEQ.COM

PAL