Gestión de la identidad digital y del acceso

En Asesoría de Negocios y Consultoría

La gestión de identidades y accesos (IAM) es un elemento fundamental de cualquier programa de seguridad de la información y una de las áreas de seguridad con las que los usuarios más interactúan.

Qué puede hacer EY

La gestión de identidades y accesos (IAM) es la disciplina para administrar el acceso a los recursos empresariales.

En el pasado, IAM se centraba en establecer capacidades para admitir las necesidades de gestión de acceso y cumplimiento de normas relacionadas. Las soluciones a menudo se centraban en el aprovisionamiento de tecnología y se adoptaban mal.

También resultaron en altos costos y de un valor limitado. Las organizaciones a menudo tenían dificultades para satisfacer las demandas de cumplimiento durante este período, y las soluciones se implementaron para administrar muy pocas aplicaciones y sistemas.

Los servicios centralizados, estandarizados y automatizados de gestión de identidades diseñados para reducir los riesgos y los costos al tiempo que mejoran la eficiencia operacional, siguen siendo difíciles de alcanzar. Muchas organizaciones ahora entienden, o cumplen, los requisitos de cumplimiento.

Aunque el cumplimiento sigue siendo un factor clave en las iniciativas, IAM está evolucionando hacia un programa basado en el riesgo con capacidades centradas en la administración de derechos y la aplicación de controles de acceso lógicos.

Fases del ciclo de vida de IAM

La gestión de los permisos de identidad y acceso se puede ver como tres etapas.

  • 1. Solicitud de acceso de usuario y aprobar

    Objetivo

    Obtener acceso a las aplicaciones, sistemas y datos necesarios para ser productivos

    Desafíos comunes
    • Los procesos difieren según la ubicación, la unidad de negocio y el recurso.
    • Los aprobadores no tienen un contexto suficiente de las necesidades de acceso de los usuarios. ¿Realmente los usuarios necesitan acceso a datos privados o confidenciales?
    • A los usuarios les resulta difícil solicitar el acceso necesario.
  • 2. Reconciliar

    Objetivo

    Hacer cumplir ese acceso dentro del sistema, igualando los niveles de acceso aprobados

    Desafíos comunes
    • Los derechos reales sobre los sistemas superan los niveles de acceso que se aprobaron o aprovisionaron originalmente.
    • No hay un único repositorio de identidad autorizado para empleados/no empleados.
  • 3. Revisar y certificar

    Objetivo

    Revisar el acceso de los usuarios periódicamente para realinearlo con el rol o la función de trabajo

    Desafíos comunes
    • Los procesos difieren según la ubicación, la unidad de negocio y el recurso.
    • Los revisores deben completar varias revisiones de acceso, redundantes y granulares.
    • Quienes revisan no tienen un contexto suficiente de las necesidades de acceso de los usuarios.
Arquitectura de referencia de IAM NextGen

La arquitectura de IAM de NextGen está diseñada para organizar la integración en todo el ecosistema y ciclo de vida de IAM (es decir, control y administración de identidades, gestión de accesos, acceso con privilegios y gestión de identidades de clientes).

Nuestro enfoque arquitectónico de IAM NextGen busca reducir la complejidad de las implementaciones de IAM, abordar casos de uso de IAM heredados y emergentes, y permitir agilidad al tratar con cambios organizativos significativos (por ejemplo, transformación digital, actualización de tecnología, fusiones y adquisiciones, transición de servicios gestionados).

Capacidades clave de IAM

Durante el desarrollo de un plan de transformación de IAM, debe confirmar que se incluyen estas capacidades recomendadas:

  • Roles de trabajo o matrices de acceso a aplicaciones mediante herramientas de minería de reglas
  • Procesos automatizados de solicitud y aprobación de acceso basados en flujos de trabajo, utilizando matrices de acceso a aplicaciones o roles de trabajo y comprobación de segregación de tareas
  • Solución de depósito de derechos
  • Acceso a soluciones de proxy y autenticación central (capas de aplicación, host y base de datos)
  • Soluciones de autenticación basadas en riesgos
  • Servicios de analítica de identidad y análisis de comportamiento para integrar con la prevención de pérdida de datos (DLP) y la información de seguridad y gestión de eventos
  • Programa de gobierno de procesos de gestión de datos y acceso, que incluye recursos humanos, propietarios de aplicaciones, seguridad de la información y stakeholders de IAM
  • Soluciones de federación
  • Soluciones emergentes que combinan seguridad lógica y física
  • Una solución diseñada teniendo en cuenta los requisitos de escalabilidad futuros

Las habilidades y los recursos necesarios para abordar la ciberseguridad son extremadamente escasos en la mayoría de las organizaciones. Podemos capacitar, desarrollar e implementar esos recursos en sus organizaciones, para integrar esa profunda experiencia para que puedan protegerse a largo plazo.

Contáctanos

¿Te interesó este contenido? Contáctanos para más información.