Dejando a un lado el humor, estas necesidades diametralmente opuestas están patentes en cualquier entorno de seguridad de la TI actual, y los profesionales de gestión de identidades y acceso son los que mejor conocen esta lucha continua.

La lucha por la comodidad

El crecimiento y el aumento de la complejidad del mundo digital dificultan la gestión del riesgo en las empresas abiertas actuales.  Queremos proporcionar a los empleados, los socios comerciales y los trabajadores temporales acceso permanente y desde cualquier parte, algo que ya no es tanto un lujo sino una necesidad; el objetivo primordial es tener siempre la máxima comodidad.

Para que las empresas puedan ser competitivas y progresar, deben ofrecer a cada vez más personas acceso a un número cada vez mayor de activos digitales para trabajar con eficacia en su organización. Desde aplicaciones empresariales en la nube como Salesforce y Workday hasta aplicaciones web como portales e intranets, hasta aplicaciones heredadas (sí, incluso mainframe), la gente entra y sale de la red física corporativa continuamente, muchas veces incluso desde sus propios dispositivos.

La urgencia de hacer frente a los riesgos informáticos

Las necesidades básicas de la empresa no desaparecen, sino que existe una necesidad cada vez mayor de mejorar el equilibrio entre necesidades empresariales y necesidades en materia de seguridad. El personal de seguridad de TI debe seguir el ritmo de crecimiento de aplicaciones móviles y en la nube que funcionan sobre las aplicaciones locales tradicionales de la organización. Además deben facilitar que la plantilla pueda trabajar de forma global y un ecosistema de socios que desdibuje las líneas que marcan la diferencia entre empleados, trabajadores externos, socios y, a veces, incluso clientes.

La disolución del perímetro de la red exige que los controles de seguridad se adapten a este cambio. Más que centrarse en las redes y las aplicaciones, los hackers están atacando a las personas que los gestionan, y en muchas ocasiones logran su cometido. En la empresa moderna, el punto de partida de la seguridad es la identidad.

¿Es el inicio de sesión único la respuesta?

Aunque ofrece un nivel de comodidad muy elevado, el inicio de sesión único no es una medida de seguridad propiamente dicha. El SSO es un método de acceso que permite que los usuarios inicien sesión una sola vez y puedan acceder a diversas aplicaciones. Aunque sí que mejora la productividad y palia problemas como tener que iniciar sesión una y otra vez, el SSO no está diseñado para proporcionar la automatización y los controles necesarios para garantizar que la gente dispone del acceso adecuado a las aplicaciones correctas en el momento justo de una forma que proteja la empresa.  El SSO es una de las herramientas de un protocolo IAM, pero más centrado en la comodidad que en el control.

Gobierno de la identidad: equilibrar la comodidad y el control

Para equilibrar la comodidad del SSO con el nivel de controles adecuado, las organizaciones necesitan una solución de gobierno de la identidad robusta. El gobierno de la identidad proporciona los controles de prevención y detección necesarios para controlar el acceso y, de este modo, identificar y corregir los problemas de seguridad.

Entre algunas de las funciones que el gobierno de la identidad proporciona como complemento y refuerzo del SSO encontramos las siguientes:

1.       Aprovisionamiento de usuarios: para automatizar los procesos definidos para conceder, cambiar y eliminar los privilegios de acceso de usuarios.

2.       Gestión de políticas: para contribuir al refuerzo de contraseñas en todas las aplicaciones y evitar «combinaciones tóxicas» no deseadas de privilegios de acceso.

3.       Gestión de contraseñas autoservicio: para permitir que los usuarios finales gestionen sus propias credenciales en todo momento, desde donde quieran, sin que el departamento de soporte tenga que intervenir.

4.       Certificaciones de acceso: para garantizar que el acceso de los usuarios es adecuado, cumple con las políticas y satisface los requisitos de auditoría y cumplimiento.

Con el gobierno de la identidad, las organizaciones de seguridad pueden proporcionar acceso a la empresa abierta con confianza, ya que saben que hay instaurados los controles de prevención adecuados.

Conclusión: Lograr un equilibrio esquivo

Nos guste o no, la época de bloquear los entornos tecnológicos y prohibir herramientas y dispositivos personales ha terminado. La puerta giratoria de tecnología, usuarios y zonas geográficas hace que nos debamos centrar en las identidades, ya que una gestión y un gobierno control de las mismas resultan esenciales para cualquier estrategia de seguridad.

También podemos mirar a la población digital desde otro punto de vista. Hay 3.200 millones de identidades. Muchas de ellas trabajan en nuestra economía globalizada, colaborando y haciendo que las empresas prosperen a nivel internacional. Basarnos en una estrategia de gobierno de la identidad refuerza la seguridad, es cómodo para los usuarios y concede a las organizaciones la capacidad necesaria para lograr un equilibrio saludable y sostenible entre comodidad y control.