Disponer de un sistema de protección de datos ante posibles ataques es un factor de gran importancia para las empresas. Preservar la información de los usuarios es tan vital como garantizar el buen funcionamiento de la plataforma y asegurar sus transacciones. Al mismo tiempo, identificar a las personas que se registran en los sitios y sistemas es fundamental para detectar posibles riesgos. La gestión de identidades y accesos hace posible diseñar e implementar estrategias que permiten adelantarse a estas situaciones.
Hoy en día, cuando se ofrece un servicio en Internet -ya sea bancos, e-commerce- la autenticación es clave. Este proceso, que ha ido evolucionando a través de los años, en un principio requería únicamente la creación de un usuario y su correspondiente contraseña. Pero más tarde comenzaron a aparecer procesos más sofisticados que significaron un gran avance en cuanto a la protección de datos.
¿Qué es la gestión de identidades y accesos?
Reducir los accesos riesgosos relacionados a la identidad de los usuarios es más importante que nunca. Actualmente las empresas deben lidiar con amenazas tanto internas como externas. Para resolverlas es muy efectivo aplicar IAM o Identity and Access Management, es decir la gestión de identidades y accesos.
Para controlar estos riesgos se utilizan tecnologías como la autenticación multifactor, que implica mayores medidas de seguridad tales como:
- Códigos que le llegan al usuario por mensaje de texto o vía email.
- Tecnologías de reconocimiento dactilar y facial.
- Código QR.
Estas dinámicas están diseñadas para generar una relación entre las empresas y sus clientes que sea lo más sencilla y fluida posible. Incluso estos avances intentan reducir el uso de contraseñas, utilizando los datos del usuario autenticados en otro sitio web o aplicación.
Por ejemplo: cuando un usuario se registra en una plataforma e-commerce, en lugar de solicitar su información personal, se le brinda la opción de ingresar con los datos de su correo electrónico, como Gmail o de su cuenta de redes sociales, como Facebook. A esta práctica se la llama federación de identidades y lo que permite es, justamente, detectar la identidad de las personas tomando los datos de otra plataforma o portal.
El objetivo de la simplificación del proceso de registro es mejorar la experiencia del usuario, haciendo de su acceso y navegación un procedimiento más rápido e intuitivo (también llamado “frictionless”).
¿Cómo funciona la gestión de identidad?
Para que los usuarios puedan hacer transacciones dentro de una aplicación o un sitio web, es necesario llevar a cabo autenticación de identidad, que toma en cuenta distintos atributos relacionados con el usuario. Una vez autenticado se pasa a un proceso de autorización, que le da permiso para acceder a la aplicación, página web, o transacción en función de su rol.
La gestión de los roles y permisos entra dentro del ámbito de la gestión de identidades, en la cual se maneja el ciclo de vida del usuario.
Complementariamente al proceso de autenticación y autorización, se encuentra el de gobierno y análisis que permite evaluar los conflictos de intereses entre las distintas funciones o roles que pueden tener los usuarios internos. Permite evaluar la posibilidad de restringir los permisos en función del rol del personal dentro de la compañía. Por ejemplo: si una persona tiene la función de administrar los activos, no sería óptimo concederle acceso a emitir órdenes de compra.
Por lo tanto, el funcionamiento de la gestión de identidades y accesos debe contemplar un lenguaje de negocios en lugar de pensar únicamente en términos técnicos de acceso a la aplicación.
El modelo Zero Trust y sus implicancias en la gestión de identidades y accesos
Zero Trust es un modelo de seguridad que nace de la necesidad de las organizaciones de evitar confiar ciegamente en accesos internos o externos que puedan representar un riesgo. Este concepto se apoya en la autenticación de identidad y representa un paradigma de creciente interés para la gestión de la seguridad en el contexto actual. Busca que el acceso a los sistemas de información sea mucho más seguro.
Este modelo está diseñado para brindar una mayor protección a los usuarios y sus transacciones, así como a las empresas que ofrecen esos servicios, en un contexto donde hay crecientes ataques de phishing, de ransomware y malware en general.
Implica la personalización de los accesos para que puedan ingresar únicamente los sistemas y personas autorizadas. Para que funcione, hay diferentes capas de protección, como el control y la auditoría de validación de esos usuarios.
Hablamos de sistemas y usuarios porque las fuentes de información o transaccionales no son consumidas únicamente por personas, sino también por sistemas que conectan a la empresa, a los proveedores y a los clientes. Entonces, cuando nos referimos a gestión de identidades incluimos a personas, sistemas y aplicaciones.
Por otra parte, los usuarios pueden ser internos (empleados o administradores de sistemas críticos) o externos, como clientes de la empresa y el público en general que quiera acceder a la plataforma. La gestión específica a desarrollar dependerá del tipo de usuario que deba acceder.
¿Cómo se protegen las identidades?
La autenticación multifactor es uno de los mecanismos principales del sistema de protección de identidades, dado que permite configurar el acceso según la información a compartir con usuarios y clientes. Para hacer efectiva esa restricción, se puede elegir el nivel de autenticación que se le exige a la persona que intenta acceder.
En este sentido, las posibilidades son:
- No requerir ninguna contraseña: el registro o login se hace con datos provenientes de otra plataforma.
- Solicitar usuario y contraseña: permite acceder a su información para comprobar su identidad.
- Pedir volver a ingresar la password, ingresar la huella digital, código SMS o tecnología de reconocimiento facial. Estos procedimientos son muy comunes cuando el usuario quiere realizar algún tipo de transacción.
Cuando se trata de niveles de protección más críticos, se puede utilizar una MFA (multifactor authentication), es decir una combinación de uno o más factores de autenticación para verificar la identidad.
Un ejemplo de implementación de MFA puede ser: una persona quiere transferir dinero a través de la aplicación móvil de su banco. Para hacerlo el sistema le solicita un factor simple, como un código de seguridad o contraseña. En cambio, cuando el mismo usuario quiere transferir una suma de dinero mucho más alta, la aplicación le pide comprobar su identidad mediante su huella digital.
Herramientas de protección
La solución IAM de IBM (IBM Security Verify) es la opción ideal para la gestión de identidades y accesos. Esta pone a disposición de las empresas un kit de desarrollo que les permite incluir un software de autenticación dentro de sus websites o aplicaciones. De esta manera, se logra embeber estas funciones dentro de sus plataformas de una manera dinámica sin tener que programar factores específicos o externos.
A esta herramienta se le suma la funcionalidad de RBA (Risk-Based Authentication) o autenticación basada en riesgos. Se trata de sistemas que permiten ver de qué manera se conecta la persona, teniendo en cuenta información como:
- Su ubicación.
- Desde qué dispositivo se conectó.
- Si está utilizando el mismo dispositivo desde que se conecta siempre o no.
En algunos casos hasta se puede utilizar la información de la dinámica de tipeo de la persona, cómo mueve el mouse y el horario de conexión para detectar desvíos con respecto a la forma habitual de acceder al servicio.
Usando un motor de riesgos que evalúa una serie de políticas de seguridad el sistema decide si catalogar a la persona como riesgosa e impedir su acceso, o bien pedirle más pasos de autenticación como los que ya mencionamos.
¿Cómo se logra que el cliente confíe sus datos a la organización?
En primer lugar, la confianza del cliente se consigue garantizando la seguridad de los datos de los usuarios. Se logra mediante la solución IBM Security Verify, ya que cuenta con una base de datos privada y varias capas de protección para que nadie ajeno pueda ingresar a esa información externamente.
En segundo lugar, la información que reside dentro de la organización requiere otro tipo de protecciones. Para eso hay otros tipos de soluciones a nivel redes, perimetral, encriptación de los datos y control de la gestión de la protección de los datos de las bases de contactos a partir de monitoreos y auditorías. De esta forma se pueden detectar y contener los accesos no autorizados.
A partir de estos procedimientos es posible transmitir tranquilidad y confianza a las organizaciones que confían en nuestros servicios.
Nuestro valor agregado en la gestión de identidades y accesos
En Xelere trabajamos con las soluciones de IBM, aportando valor a los clientes a partir del armado de una arquitectura de implementación y soporte que permite que las organizaciones puedan adoptar las tecnologías que desarrollamos en este artículo.
Estas prácticas de gestión son puestas en marcha para lograr que distintos tipos de servicios o funciones se puedan habilitar, ayudando a poner a disposición de sus clientes sistemas de protección que se ajusten a sus necesidades.
Así, el trabajo en conjunto ayuda a colocar una capa de protección que permite gestionar los accesos y las identidades.