Inicio / Protege tu empresa / Blog / Con la movilidad y la nube, ¿dónde está el perímetro?

Con la movilidad y la nube, ¿dónde está el perímetro?

Publicado el 21/04/2016, por INCIBE
Con la movilidad y la nube, ¿dónde está el perímetro?

La transformación digital impone nuevas formas de interacción con los clientes y nuevas formas de trabajo para los empleados. Es habitual el uso de aplicaciones web, apps en dispositivos móviles y servicios en la nube para el desarrollo del negocio.

Llegamos a nuestros clientes por todos los medios a nuestro alcance, nuestra web o incluso una tienda online, las redes sociales, etc. Además, como para complicar más las cosas, los usuarios utilizan todo tipo de dispositivos (móviles, tabletas, smartwatches,…) y tienen «vida propia» comportándose de forma activa en la red con sus opiniones, descargas, valoraciones, etc. En cualquier caso, se plantean nuevos desafíos a la hora de gestionar las identidades de acceso de los usuarios a los distintos servicios: los empleados y colaboradores a las aplicaciones de gestión y operación del negocio, y los clientes a los servicios/productos que ofrecemos.

Se habla ahora de que la identidad es el nuevo perímetro dando a entender que cuando los sistemas que soportan nuestra actividad ya no están dentro de una sala cuyos límites están definidos de cara a su protección, la nueva frontera a proteger está ahora en la identidad. Ya no se puede controlar el perímetro sólo con un cortafuegos, son necesarios nuevos mecanismos para proteger el fuerte.

La revolución de la transformación digital ha estado acompañada con una constante evolución de la gestión de identidades y acceso que ha sufrido algunos avances, por ejemplo:

  • el social login, que permite el uso de perfiles de las redes sociales para acceder a otros servicios
social login
  • los mecanismos de federación de identidades, que permiten a empresas que ofrecen servicios a los mismos clientes, que estos dispongan de un único punto de autenticación y autorización; de esta forma los clientes una vez hayan iniciado sesión no tendrán que repetir este login en los servicios federados (Amazon, …)

Paralelamente a estos avances, y buscando que el acceso no sea una barrera para el usuario en el uso de los servicios, se producen otros retos que están provocando nuevos desarrollos tecnológicos:

  • los servicios de intermediarios de seguridad de acceso a la nube CSAB (Cloud Security Access Brokers),
  • los dispositivos móviles son ya verdaderos interfaces para biometría (huella dactilar, rostro o voz), generadores de contraseñas de un único uso (OTP o One Time Password) e incluso para la autorización directa de pagos; todo esto hace que sean necesarios productos para la gestión de la movilidad en la empresa, y en particular el uso de dispositivos personales para uso profesional o BYOD,
  • los retos en la identidad de sensores (pulseras de actividad, smartwatches,…) y otros elementos en la Internet de las cosas (IoT)
  • la privacidad del usuario en los Big Data

Lo que parece claro es que la frontera de la empresa se hace difusa con la movilidad de los trabajadores, el uso de los dispositivos móviles y la IoT, las redes sociales o la nube. Es necesario reconocer que controlar la identidad y el acceso es clave para garantizar la seguridad.

En cualquier caso el empresario tiene que hacerse estas preguntas:

  • ¿quién tiene acceso a los recursos, datos y aplicaciones?
  • ¿quién otorga/revoca este acceso?
  • ¿cómo se autentica (verifica que son quienes dicen ser, por ejemplo con contraseñas, biometría, enviándole un código al móvil, con tarjeta de coordenadas,…) a los usuarios?
  • ¿qué privilegios tienen los usuarios y en base a qué?

Todo esto debe estar definido en la política corporativa que debe seguir el principio del mínimo privilegio, es decir, un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus funciones.

  • Inventariar los recursos, la información y las aplicaciones.
  • Determinar quién puede acceder qué, por áreas o servicios; elaborar perfiles de permisos por grupos funcionales,…
  • Asignar los permisos sobre los recursos individualmente, por perfiles o por grupos de usuarios. Los sistemas operativos permiten asignar este tipo de permisos.
  • Establecer quién es el responsable y cómo es el proceso para autorizar/revocar el acceso a los diferentes tipos de información. Desde la solicitud hasta los cambios técnicos que haya que realizar.
  • Disponer mecanismos para verificar periódicamente que los permisos concedidos son adecuados, revisando los de los usuarios cuyos accesos han sido eliminados o modificados (personas que dejan la empresa, usuarios que se dan de baja o cambian de puesto…).

Es fundamental que los medios técnicos permitan la trazabilidad y que sean proporcionales al volumen de información y tamaño de nuestra organización. Debemos buscar un equilibrio para que, garantizando la seguridad, el acceso a una información por parte de un nuevo usuario autorizado se realice de manera ágil. En el Catálogo de empresas y soluciones de ciberseguridad bajo la categoría de Control de Acceso y Autenticación, se pueden encontrar las soluciones del mercado para facilitar esta tarea.

No hay que olvidar integrar la gestión de las identidades y acceso de los servicios accesibles desde el exterior, como el correo electrónico corporativo o el acceso de usuarios a través web o colaboradores vía VPN (red privada virtual).

En este momento, el mercado de soluciones de identidad y acceso (IAM, de Identity Access Management) está cambiando. Surgen, por ejemplo, proveedores de Identidad como servicio (IDaaS), soluciones CRM que incorporan gestión de identidades o aplicaciones que permiten al usuario traer la propia identidad o BYOId (Bring Your Own Identity).

  • IDaaS, son servicios cloud, como Salesforce o Microsoft, que ofrecen a las empresas una interfaz para realizar toda la gestión de identidades en la nube o bien se centran en los servicios de acceso y autenticación del usuario o en la gestión de los eventos (logs) relacionados con la identidad y el acceso.
  • Por otra parte las soluciones CRM con IAM permiten gestionar las identidades de nuestros usuarios externos, incluso con funcionalidades self-service (auto registro,…) permitiéndonos así una vía más para su fidelización.
  • El BYOId será la evolución del social login permitiendo que el usuario traiga su propia identidad en la que confiaremos para darle acceso a nuestros servicios.

Para esto y para lo que está por venir el Especial «IAM la clave maestra» de la revista SIC analiza las tendencias y algunas propuestas tecnológicas.

En definitiva que aunque estemos en un mundo de cambios, los principios permanecen: nuestra política de identidad y acceso debe extenderse allá donde llegue nuestro perímetro, donde estén nuestros usuarios, nuestros datos y nuestras aplicaciones.