Elegir las herramientas de IAM adecuadas se basa en más que las necesidades actuales

Las redes en la nube se han convertido en un aspecto crítico de las prácticas comerciales modernas, debido a la necesidad de administrar el acceso a la información almacenada en la nube y, por lo tanto, garantizar que permanezca segura. La gestión de identidades y accesos (IAM) permite la gestión de múltiples niveles de credenciales en las diversas redes y plataformas de una organización.

La nube es un elemento relativamente reciente de la práctica empresarial moderna, por lo que se espera un cierto nivel de conservadurismo. Las nuevas tecnologías deben tener un historial probado de confiabilidad y solidez antes de que se utilicen para obtener información confidencial.

“Si nos fijamos en los últimos tres o cuatro cambios tecnológicos importantes que se han producido en el mercado de aplicaciones más amplio, la seguridad suele estar entre cinco y diez años por detrás de todos ellos”, dice Steve Van Till, presidente de Brivo.

Muchas personas ahora trabajan desde casa y es probable que continúen haciéndolo una vez que haya pasado la pandemia. Una consecuencia de esto es que ahora hay más empresas que nunca que dependen del trabajo remoto.

“Lo que está claro es que Covid-19 aceleró el futuro”, dice Van Till. “Acelerará la transición a los servicios basados ​​en la nube”.

Asegurar diferentes niveles de acceso

No son solo los empleados los que necesitan acceder a la red de una organización. También deben tenerse en cuenta los socios, contratistas, proveedores, algunos clientes y otros terceros. Todos estos requerirán acceso y necesitarán diferentes niveles de permisos otorgados.

Si solo se requiere acceso para una única red, la solución puede ser comparativamente sencilla. Sin embargo, en los casos en que una organización tiene su sede en varias oficinas, en diversas regiones, y utiliza una variedad de plataformas en línea y servicios en la nube, administrar las credenciales puede convertirse en un desafío.

“Si tiene 10 edificios en todo el mundo y tiene una población de 10,000 personas, todos necesitarán privilegios de acceso”, dice Van Till. “La nube es consciente de la identidad de todas esas personas porque ha escrito sus nombres y sus credenciales o las ha sincronizado con un servicio de identidad”.

Este cambio rápido y fundamental en nuestros paradigmas de trabajo ha demostrado ser un desafío para algunas organizaciones, especialmente aquellas que no estaban preparadas para estos niveles de gestión de credenciales.

Estas organizaciones se han encontrado a sí mismas haciendo malabarismos con las credenciales de las partes interesadas internas y externas, en múltiples plataformas, además de intentar asegurarse de que cumplen con todos los requisitos de protección de datos aplicables.

Es posible que también se deban considerar las regulaciones de control de exportación para artículos controlados (incluida la información y el software) que no pueden enviarse a ciertos destinos. Este es especialmente el caso de las organizaciones multinacionales, que podrían tener empleados de varios países accediendo a información en otro país.

Básicamente, IAM agiliza todo el proceso de administración de acceso, lo que permite a las organizaciones tener un único punto de contacto para administrar todas las identidades en sus redes en la nube. Es posible simplemente seleccionar y comprar herramientas IAM, luego instalarlas y administrarlas internamente, pero el uso de un proveedor de servicios IAM podría ahorrar tiempo y recursos.

“Desde una perspectiva operativa, IAM como servicio puede ser beneficioso, ya que permite que una organización se concentre en los aspectos comerciales y de seguridad, no en las operaciones técnicas”, dice Martin Kuppinger, miembro de la junta de KuppingerCole Analysts.

“Esto se puede hacer de varias formas, desde la identidad completa como servicio [IDaaS] soluciones que brindan servicios de IAM como seguridad como servicio [SaaS] plataformas, a soluciones IAM administradas y operadas por proveedores de servicios administrados [MSPs]. Esto último también podría permitir un enfoque de elevación y cambio de las soluciones IAM ya implementadas a un servicio administrado “.

La elección de un servicio IAM no es un procedimiento sencillo. Si bien todos ofrecen una funcionalidad de servicio muy similar, no es un caso de talla única. Al elegir el proveedor de servicios correcto, primero es necesario considerar cuidadosamente el alcance de los servicios ofrecidos por cada proveedor.

Sin comprender completamente la cobertura de un servicio de IAM, podría llevar a que una faceta particular de una red en la nube quede expuesta inadvertidamente. Tomarse el tiempo para negociar con el proveedor de IAM, con las responsabilidades de cada parte registradas en un contrato, proporciona un entendimiento común de lo que esperan ambas partes.

“Se requiere una evaluación exhaustiva de los niveles de servicio y una definición clara de los servicios. Es especialmente importante que la cola no mueva al perro, como cuando el MSP selecciona la herramienta IAM o empuja al cliente a ciertos tipos de bloqueo ”, dice Kuppinger. “El MSP es el proveedor; las decisiones deben ser tomadas por el cliente “.

Muchas organizaciones solo tendrán un amplio conocimiento de dónde estarán dentro de 10 años. Sin embargo, deben comprender su crecimiento esperado y objetivo, y qué servicios necesitarán para lograr estos objetivos. Como tal, no solo se debe considerar si el servicio es el correcto para su red en la nube tal como está configurado actualmente, sino también si será el adecuado para ellos en el futuro.

Cumplimiento de la normativa global

Además de las consideraciones técnicas, las organizaciones también deben conocer los requisitos reglamentarios que se esperan de ellas con respecto a sus datos de usuario.

Debido a la naturaleza global de las empresas modernas, es totalmente posible que el residente de un país trabaje para una organización que tenga su sede en otro país, con su información de identidad almacenada en un tercer país. En tal escenario, la organización quedaría sujeta a múltiples regulaciones de protección de datos.

El potencial de regulaciones de protección de datos en conflicto es mucho menor de lo que era antes, principalmente debido a que el Reglamento general de protección de datos (GDPR) se ha convertido en un modelo para las legislaciones modernas de protección de datos; por ejemplo, la Ley de Privacidad del Consumidor de California (CCPA) comparte muchas similitudes con la GDPR. No obstante, si bien las diversas leyes de protección de datos son muy similares, pueden tener diferentes requisitos reglamentarios.

Para garantizar el cumplimiento de las leyes regionales de protección de datos, las organizaciones deben asegurarse de que el servicio de IAM que se ha seleccionado tenga las medidas adecuadas para cumplir con los requisitos para almacenar información de identificación personal (PII).

Los servicios de IAM también pueden permitir la auditoría de quién ha accedido a ciertos tipos de información restringida o personal y cuándo tuvo lugar. La capacidad de registrar dichos datos es un requisito de ciertas regulaciones de protección de datos.

Es importante ser consciente de los riesgos que conlleva estar sujeto a un contrato con un servicio de IAM que ya no proporciona la seguridad adecuada. Como tal, las primeras negociaciones con los proveedores de servicios de IAM deberían aclarar la duración de los contratos. En el caso de contratos extendidos o renovables, las discusiones deben incluir la negociación de períodos de corte o evaluaciones anuales del contrato, permitiendo así que los contratos se resuelvan sin penalización.

“El error más común es subestimar el hecho de que la herramienta IAM puede tener un ciclo de vida más largo que la relación MSP”, dice Kuppinger. “Si el MSP controla y decide demasiado, esto podría llevar a un bloqueo con el MSP”.

Busque asesoramiento profesional

Debido a la naturaleza compleja de IAM y sus proveedores de servicios, puede ser necesario contar con personal con las habilidades o conocimientos adecuados de las tecnologías de IAM.

Si el reclutamiento no es una opción, se puede contactar a consultores de seguridad para obtener asesoramiento y revisiones de seguridad. Si bien la contratación de consultores puede ser un gasto adicional, vale la pena considerarlo, ya que sus habilidades pueden ser particularmente valiosas en el momento de la puesta en marcha y las revisiones, así como para cualquier problema que surja.

El tiempo necesario para la instalación de los servicios de IAM depende completamente del alcance del trabajo. Una red en la nube comparativamente simple debería tardar menos de una hora en integrarse con un servicio IAM. Sin embargo, cuanto más complejas y extensas sean las redes y plataformas en la nube, más tiempo llevará.

Si es necesario, IAM también puede incorporar seguridad física. Esto puede permitir que las organizaciones apliquen credenciales de acceso tanto en la nube como en sus instalaciones. Sería necesario instalar las cerraduras de seguridad electrónicas adecuadas, pero luego permite la auditoría de los movimientos de personal, como en áreas restringidas.

En última instancia, elegir el proveedor de IAM adecuado se trata de comprender sus requisitos, ejecutar una evaluación exhaustiva de la elección de herramientas y evaluar los MSP. También hay especialistas que pueden brindar soporte, como terceros neutrales.

“Dado que la gente hace más trabajo de forma remota desde casa, gracias a Covid-19, la administración remota se ha convertido en una prima”, dice Van Till. “Hemos visto una avalancha de personas que llegan y dicen que desearían haber estado en la nube antes de esto”.