Todo IAM: La Gestión de Identidad y Acceso hecha fácil

En artículos anteriores, nos hemos sumergido directamente en algunos conceptos bastante específicos de Gestión de Identidad y Acceso (IAM). Sin embargo, nos ha quedado pendiente establecer un escenario básico con los componentes principales del dominio de IAM. Una especie de capítulo 0 que defina las piezas que emplearemos. Tomémonos ahora el tiempo para hacerlo, sin entrar en excesivos detalles de momento (ya que los cubriremos en artículos posteriores). ¿Qué es IAM?  Ya sabemos que en el dominio de la Seguridad de la Información, la Gestión de Identidad y Acceso es el campo que trata de asegurar que los usuarios adecuados tienen acceso apropiado a diferentes recursos (datos, aplicaciones, etc). En otras palabras, garantiza que estos usuarios solo puedan acceder a aquello para lo que han sido autorizados, según decisiones tomadas por los propietarios de esos recursos. ¿Pero qué significa todo eso? ¿Cómo lo logramos y cuáles son los diferentes componentes de esta actividad? Aunque muy

A menudo encuentro que los conceptos de entidad, identidad y documento de identidad se dan por entendidos, aunque rara vez con la misma definición para todas las partes. Estos no son términos específicos del campo de IAM, sino que los dos primeros son totalmente universales y los niveles superiores encuentran sus análogos en el mundo físico. El problema es, como veremos, que no tener una comprensión clara de lo que significan y de su importancia, nos llevará a cometer errores de diseño que tendrán un impacto en nuestra seguridad y gobierno. Vayamos paso a paso e intentemos entender cada uno de estos términos, en el mundo físico, para luego relacionarlos con el digital. Entidad Una entidad se define como "algo que existe de forma independiente, no como parte de un todo". Este es el nodo raíz en la cadena de identidad. John Smith es una entidad (un automóvil también es una entidad, como lo es un servicio o una aplicación , en el mundo digital, pero quedémonos con John como

  El siguiente escenario resultará familiar para la mayoría de los lectores que tuvieron que trabajar desde casa durante la reciente pandemia. El día comienza y te sientas frente a tu ordenador de trabajo. Lo enciendes y se te solicitan tus credenciales. Alguna forma de autenticación multifactor (MFA) más o menos sofisticada ayuda a garantizar que eres quien dices ser. De esta manera, tu empresa se asegura de que sólo las personas autorizadas pueden acceder a los recursos corporativos. Dejando a un lado los muchos retos que este escenario conlleva bajo el capó, lo cierto es que sabemos bastante bien cómo solucionarlos. Sabemos qué métodos, tecnologías y prácticas se pueden emplear y cuáles no se puede o no se debe. Sin embargo, la reciente pandemia ha descubierto una debilidad fundamental, común a la mayoría de las organizaciones. Antes de 2020, el proceso típico sería el siguiente. Tengo la intención de teletrabajar, por lo que necesitaré tener acceso a la red o a los sistemas de la e

En pleno 2021, no existe un solo día en el que no se mencione esta palabra de moda en alguna de las conversaciones o material de lectura con los que me encuentro. Pero, ¿qué significa passwordless ? En primer lugar, profundicemos un poco en las razones de esta repentina popularidad de un concepto que en realidad ha existido durante más de 15 años. ¿Son un problema las contraseñas? Contraseñas. Son los medios de autenticación más primitivos que existen, ¿cierto? Falso. De hecho, las contraseñas no son (originalmente) un método de autenticación en absoluto. El primer método de autenticación utilizado fue en realidad la biometría . Más concretamente, el reconocimiento facial. Los seres humanos lo han estado usando desde que existimos. ¡Hola Bob! ¡Sé que eres tú, porque conozco tu cara! Esto es lo que hemos hecho durante miles de años. Reconocemos que una persona es Bob porque reconocemos sus rasgos faciales (o de otro tipo) y los asociamos a su identidad. Sin embargo, a partir de cierto p

  Existen dos decisiones aparentemente irrelevantes que tendemos a tomar muy a la ligera al crear permisos, lo cual destrozará nuestro modelo de autorización a largo plazo y lo hará totalmente inmanejable. El primero es un poco más conocido: " Evitar permisos demasiado amplios " o " Hacer nuestros permisos tan específicos como sea posible ". Abordaremos este concepto en detalle en posteriores artículos.  Sin embargo, el alcance de este artículo es el segundo principio, que de primeras parece un poco más arbitrario y que, por lo general, genera bastante malestar entre los propietarios de las aplicaciones cuando lo señalamos. Se trata de " Definir los permisos como verbos " o " Nombrar los permisos correctamente ". Los propietarios de aplicaciones normalmente encuentran que esta es una inquiteud exagerada. ¡Qué más dará el nombre de los permisos! ¿no? Usemos un sencillo ejemplo simple para ilustrar los problemas que pueden surgir si no le prestamos

En todas las organizaciones, los usuarios necesitan acceso a diferentes recursos para poder realizar su trabajo. Dichos recursos pueden ser datos, aplicaciones, derechos de administración del sistema, capacidades de aprobación para diferentes procesos, etc. La mayoría de los usuarios terminarán teniendo un conjunto de permisos que presentan un riesgo relativamente bajo para la empresa (así debiera ser, al menos). En otras palabras, si esos usuarios decidieran dañar a la organización, o si sus cuentas fueran comprometidas o robadas por atacantes externos, el nivel del daño que podrían infringir está suficientemente bajo control. Sin embargo, es inevitable que otros usuarios acaben teniendo ciertos permisos que suponen un riesgo mucho mayor. Los administradores del sistema podrían deshabilitar todas las cuentas corporativas, evitando que todos los empleados lleven a cabo sus funciones. Los propietarios de los datos podrían revelar información confidencial al público en general, causa

En el dominio de la Seguridad de la Información, la Gestión de Identidad y Acceso (IAM, por sus siglas en inglés) es el campo que trata de asegurar que los usuarios adecuados tienen acceso apropiado a diferentes recursos (datos, aplicaciones, etc). En otras palabras, garantiza que estos usuarios solo puedan acceder a aquello para lo que han sido autorizados, según decisiones tomadas por los propietarios de esos recursos, y basadas en los riesgos que suponen. Est a es la teoría , al menos . Pero es ta teoría puede aplicarse de diferentes maneras: Si nuestra organización usa (u ofrece) múltiples aplicaciones, simplemente p odemos asegurarnos de que cada aplicación administre de forma independiente el acceso de usuarios (es decir, quién puede hacer qué ). O bien podemos administrar ese nivel de acceso de manera centralizada, en lo que se conoce como un sistema de Gest ión de A cceso (AM , por sus siglas en inglés ). De esta manera, nuestra s aplicaciones simplemente deben preg