Avanzando hacia la gestión de identidades

Un acceso más cómo y sencillo a los recursos TI corporativos, el provisionamiento automatizado de contraseñas y derechos a usuarios, y mayores niveles de seguridad de la información son tan sólo algunos de los motivos que están haciendo a muchas empresas plantearse el despliegue de infraestructuras de gestión de identidades. Sin embargo, a menudo, estos proyectos resultan mucho más complejos de lo previsto y algunos de los objetivos iniciales quedan frustrados. Pese a ello, los expertos aseguran que las ventajas de estos sistemas, aún cuando su alcance dentro de la infraestructura TI corporativa sea parcial, son incuestionables.

A medida que la industria se ha ido consolidando, muchas de las herramientas de gestión de identidad, en un pasado autónomas, han ido siendo absorbidas en suites que integran provisionamiento de usuario, gestión de acceso Web, firma única (SSO) y otras funcionalidades en un mismo entorno. Pero centralizar la gestión de información sobre identidades es todavía un reto costoso y complejo que implica la integración de repositorios basados en directorio y específicos de aplicación.

Además, paradójicamente, en aquellas organizaciones a las que más ventajas aportarían estas posibilidades –grandes empresas donde la gestión manual de cuentas se hace más difícil dado el elevado número de usuarios, la alta frecuencia de los cambios y la gran cantidad de aplicaciones corporativas- es precisamente donde más difícil resulta el despliegue de infraestructuras de gestión de identidad centralizadas y globales.

“La integración de algunas aplicaciones en la solución centralizada y las cuestiones relacionadas con la gestión basada en roles constituyen objetivos que deben estar soportados por arquitecturas que muchas organizaciones encuentran muy complejas de planificar y desplegar”, asegura Ray Wagner, analista de Gartner. “Y realmente, las soluciones para identificar y gestionar roles de usuario son todavía un mercado muy incipiente”.

Como resultado, casi siempre, lo que a menudo se plantea como un proyecto global y centralizado, termina reduciéndose a la implementación de una solución para determinadas aplicaciones y grupos de usuarios. No todas las aplicaciones corporativas estarán preparadas para integrarse en las nuevas plataformas, ni todos los roles serán estandarizables. Por tanto, muchas veces, por ejemplo, partes de las tareas de provisionamiento de derechos de acceso, deberán continuar haciéndose de forma manual.

Un sistema difícil de globalizar
Uno de los principales problemas en este tipo de proyectos, está relacionado directamente con la heterogeneidad de las infraestructuras ya existentes en las organizaciones, en las que abundan los sistemas heredados. Hace dos años, Exxon Mobil –compañía de exploración y producción de petróleo y gas, que también fabrica y comercializa combustibles, lubricantes y otros productos químicos- planificó un ambicioso proyecto que perseguía la creación de una infraestructura de gestión de identidades gestionada de forma centralizada. Uno de los objetivos era que el nuevo sistema permitiera automatizar el proceso de distribución de nuevas cuentas de usuario para acceder a su elevado número de aplicaciones corporativas. Desafortunadamente, tuvo que paralizar esos planes el año pasado, tras comprobar que la tecnología disponible no podía satisfacer sus requerimientos.

“Nuestro plan incluía la gestión del ciclo completo de vida de todas las identidades de usuario y privilegios de acceso”, explica Patricia Hewlett, vicepresidenta de TI global de la compañía. El problema era conseguir ese objetivo a gran escala. Para lograrlo, Exxon necesitaba gestionar identidades y proporcionar acceso basado en cada rol de usuario y los tipos de acceso a sistemas requeridos por cada uno de ellos para realizar mejor sus tareas. Algo bastante complejo en una organización con 84.000 empleados distribuidos por 200 países. “Los productos disponibles podían manejar un pequeño número de roles estáticos, pero no estaban bien preparados para gestionar roles dinámicos, basados en atributos”, explica Hewlett.

Además, en el análisis previo de la infraestructura para conocer los cambios que el nuevo sistema exigiría, la compañía descubrió que muchas de las aplicaciones de Exxon no soportaban acceso basado en roles. “Hubiéramos tenido que añadir esas capacidades a cada aplicación”. Esto resultaba complejo y costoso, lo que decidió a la organización a congelar el proyecto para retomarlo en el momento indicado.

Ciertamente, los productos han mejorado desde que la empresa se planteó por primera el proyecto, pero aún así, Hewlett considera que el acceso basado en rol está todavía relativamente inmaduro. Por tanto, “no hemos tomado una decisión aún sobre cuándo retomaremos nuestros planes”.

Las nuevas aplicaciones que soporten un sistema de directorio común, como Active Directory, hacen la gestión basada en roles más sencilla, pero incluso entonces seguirán existiendo grandes dificultades, según Rafael Rodriguez, CIO asociado para servicios de infraestructura de la organización estadounidense University Health System. “Active Directory puede seguir la trayectoria de los roles, pero continuará siendo necesario realizar en cada aplicación el mantenimiento relacionado con qué están autorizados a hacer esos roles en esa aplicación, por ejemplo”.

Por otra parte, muchos despliegues de gestión de identidad también carecen de granularidad, soportando sólo un acceso tipo “todo o nada” a las aplicaciones. La implementación de controles de acceso más precisos, donde los usuarios dispongan de distintas clases de acceso según sus roles, es todavía algo limitado a muy pocas organizaciones, según Wagner. Y esto significa que, en la mayoría de los casos, los administradores, si desean un acceso granular, sigan viéndose obligados a gestionarlo dentro de todas y cada una de las aplicaciones.

Mapping y definición de roles
La limpieza y el mapping de los datos es otro reto importante en cualquier proceso de despliegue de infraestructuras de gestión de identidades. “Las empresas no siempre tienen sus datos en un formato que permita reunirlos e integrarlos en un repositorio común de identidad. A veces, también ocurre que los propios responsables de los proyectos, no entienden los procesos de negocio lo suficientemente bien como para desplegar sistemas basados en roles de forma adecuada”, asegura Peter Houston, director senior de gestión de productos de acceso e identidad de Microsoft.

Los despliegues, además, pueden resultar muy costosos, y la complejidad aumenta con el tamaño de la organización. Los ejecutivos TI deben asumir que habrán de pagar entre 20 y 30 dólares por usuario en concepto de software, y entre dos y seis veces esa cantidad por la integración, según datos de Wagner.

Por otra parte, la definición de roles es, de por sí, una tarea tremendamente compleja. A menudo, no existe una manera estandarizada de hacerlo desde una perspectiva de proceso de negocio. Durante la definición surgen muchas incertidumbres que nada tienen que ver con las capacidades de la tecnología, sino con decisiones de gestión de más alto nivel, que a veces pueden entrar en conflicto por motivos de disparidad de criterios.

Así, por ejemplo, el jefe de un área en un hospital puede considerar que, además de las enfermeras, la directora de enfermería debe disfrutar también de acceso a los registros médicos porque alguna de sus competencias así lo exija. Sin embargo, el de otra área puede determinar que tal acceso no está justificado. Incluso es posible que esa disparidad de opiniones esté