IAM e IGA: se trata de dos conjuntos de funciones de seguridad de la identidad que cumplen funciones diferentes, pero complementarias.
- IAM se centra en facilitar y gestionar el acceso seguro de los usuarios a los recursos digitales (aplicaciones, sistemas y datos) mediante la autenticación, el inicio de sesión único (SSO) y otras funciones relacionadas con la autenticación y el acceso.
- El IGA va más allá de los aspectos básicos de la concesión y la gestión del acceso para 1) centrarse en cómo una organización concede acceso a los recursos digitales y 2) garantizar que el acceso concedido sea adecuado y cumpla con la normativa, y tomar medidas si no es así.
Básicamente, la gestión de identidades y accesos (IAM) aborda cuestiones fundamentales como quién inicia sesión, cómo lo hace y a qué tiene derecho a acceder una vez que ha iniciado sesión, mientras que la gobernanza de identidades y acceso (IGA) se centra en determinar si el acceso que se le ha concedido es adecuado para su función y las actividades que se le han asignado.
IAM hace referencia a las políticas y los procesos relacionados con la autenticación de la identidad de un usuario (persona o máquina) que solicita acceso seguro a uno o varios recursos de una organización. El objetivo de autenticar la identidad del usuario es: 1) confirmar que el usuario está efectivamente autorizado a acceder a lo solicitado en función de su cargo y sus responsabilidades, y 2) concederle el acceso (o denegárselo) en consecuencia.
Funcionalidades clave de IAM
La gestión de la identidad y el acceso (IAM) se centra en autenticar a los usuarios y proporcionarles acceso a los recursos de una forma que dé prioridad tanto a la seguridad de la organización como a la productividad de los usuarios. Ha ido evolucionando a lo largo de décadas para abordar simultáneamente estas dos áreas de formas cada vez más sofisticadas.
- Autenticación: En su forma más básica, la autenticación consiste en que un usuario introduzca un conjunto tradicional de credenciales —nombre de usuario y contraseña— para demostrar su identidad. Sin embargo, a medida que el entorno de identidad y el panorama de amenazas aumentan en tamaño y complejidad, se hace cada vez más acuciante el problema de que las credenciales resulten difíciles de recordar para los usuarios y fáciles de robar para los delincuentes.
- Autenticación multifactorial (MFA): Añadir otro factor de identificación, como uno biométrico, eleva el nivel de exigencia de la autenticación, lo que mejora la seguridad. Esto resulta especialmente útil cuando el factor adicional no supone una carga. Por ejemplo, un escaneo facial o una huella dactilar requieren poco esfuerzo por parte del usuario, pero hacen que sea mucho más difícil suplantar una credencial.
- Inicio de sesión único (SSO): A medida que aumenta el número de recursos seguros a los que los usuarios necesitan acceder, el SSO les permite acceder a múltiples aplicaciones con una autenticación sólida desde un único punto de inicio de sesión, lo que agiliza y simplifica el proceso. El SSO también minimiza la superficie de ataque, ya que reduce las oportunidades que tienen los atacantes de aprovechar las vulnerabilidades de inicio de sesión asociadas a los múltiples inicios de sesión.
- Sin contraseña: La autenticación sin contraseña sustituye las credenciales tradicionales por datos biométricos, claves de acceso, autenticadores y otros métodos para demostrar la identidad que no pueden ser robados fácilmente. Además, facilita la autenticación legítima, ya que los usuarios ya no tienen que recordar múltiples credenciales para acceder a un número cada vez mayor de recursos.
Enfoque crítico de IAM: Confianza cero
«Zero Trust» es un concepto de seguridad basado en la idea de establecer la confianza antes de conceder acceso a los recursos, sin darla nunca por sentada. Esto convierte a la gestión de identidades y accesos (IAM) en un elemento fundamental para las organizaciones comprometidas con el funcionamiento de un entorno «Zero Trust», en el que la identidad debe verificarse cada vez que alguien o algo solicite acceso.
Los entornos «Zero Trust» se hacen posibles gracias a las capacidades y prácticas fundamentales de IAM.
- Autenticación: verificación de la identidad mediante autenticación multifactorial (MFA) y autenticación sin contraseña
- Acceso: Adopción de políticas condicionales y adaptadas al contexto para la concesión de acceso
- Centralización: uso del inicio de sesión único (SSO) en todas las aplicaciones y entornos de acceso
Mientras que la gestión de identidades y accesos (IAM) se centra principalmente en autenticar la identidad de un usuario antes de concederle acceso, la gobernanza de identidades y acceso (IGA) se centra en regular cómo se concede el acceso y a quién, y asegurarse de que siempre sea adecuado para el usuario y la situación. El objetivo general de IGA es garantizar que los derechos de acceso se ajusten a las políticas de la empresa, cumplan los requisitos de cumplimiento normativo y sean coherentes con las mejores prácticas de seguridad.
Capacidades clave de IGA
Mientras que la gestión de identidades y accesos (IAM) se ocupa de quién tiene acceso a qué, la gobernanza de identidades y accesos (IGA) se centra en si dicho acceso se concede de forma adecuada, basándose en factores como la función que desempeña el usuario dentro de la organización y las políticas y prácticas de seguridad y cumplimiento normativo de la misma.
- Solicitudes y autorizaciones de acceso: La gestión del acceso basada en flujos de trabajo en entornos IGA combina la automatización y la intervención humana para evaluar de forma rápida y precisa las solicitudes de acceso y conceder permisos a los usuarios.
- Certificación de acceso: Dado que las funciones y responsabilidades de los usuarios cambian constantemente, la gobernanza de identidades requiere una certificación periódica de acceso para validar la idoneidad de los niveles de acceso. Las tareas manuales no pueden seguir el ritmo de estos cambios, por lo que la automatización resulta fundamental.
- Gestión de roles: La creación de roles para los usuarios es fundamental para garantizar fácilmente que tengan acceso a los recursos seguros que necesitan para realizar su trabajo. Una gestión rigurosa de los roles es igualmente importante para garantizar que no acaben teniendo privilegios excesivos que supongan riesgos de seguridad.
- Gestión del ciclo de vida de la identidad: Los cambios en los derechos de acceso forman parte del ciclo de vida de la identidad, que abarca desde la incorporación a una organización, pasando por el desempeño de diferentes funciones, hasta, finalmente, la salida de la misma. La gestión del ciclo de vida de la identidad es esencial para garantizar que los derechos de acceso se ajusten a la función actual.
- Auditoría y elaboración de informes: Hacer un balance de quién tiene acceso a qué recursos es fundamental para cumplir con los requisitos normativos y tener una visión clara de los riesgos relacionados con el acceso. La auditoría y la elaboración de informes son fundamentales para lograr ambos objetivos.
Enfoque crítico de la IGA: Confianza cero
El modelo «zero trust» parte de la premisa de que la confianza nunca puede darse por sentada, sino que debe establecerse cada vez que alguien o algo solicite acceso. IGA proporciona los controles y la gobernanza que una organización necesita para evaluar de forma continua si el acceso es adecuado en función del nivel de confianza en el usuario.
Los entornos «Zero Trust» se hacen posibles, en concreto, gracias a varias capacidades y prácticas fundamentales de la gestión de identidades y acceso (IGA).
- Aprovisionamiento basado en flujos de trabajo: uso de la automatización para garantizar una supervisión adecuada de los accesos
- Certificación de acceso: validar continuamente el acceso y realizar los ajustes necesarios
- Gestión de roles: cómo identificar y evitar combinaciones de acceso perjudiciales
- Gestión del ciclo de vida de las identidades: actualización inmediata de los permisos de acceso cuando cambian o finalizan los roles
- Auditoría y presentación de informes: apoyo al principio de «confianza cero» para justificar las decisiones relativas a la confianza
Enfoque clave de IGA: cumplimiento normativo
Las normativas SOX, HIPAA, RGPD, PCI-DSS, ISO 27001IGA y otras exigen un control de acceso estricto, así como la capacidad de demostrar que dicho control cumple con los estándares establecidos por dichas normativas. Este tipo de responsabilidad y auditabilidad es precisamente lo que ofrece IGA.
El cumplimiento normativo se ve respaldado específicamente por varias capacidades y prácticas fundamentales de IGA:
- Certificación de acceso: Revisión del acceso y demostración de la validación de los derechos de acceso
- Auditoría y presentación de informes: Cumplimiento de los requisitos normativos específicos para acreditar el cumplimiento normativo
- Gestión del ciclo de vida de las identidades: Mantener una correspondencia adecuada entre los accesos y las funciones actuales
Tanto la IGA como la IAM se ocupan del acceso seguro a los recursos. Sin embargo, mientras que la IAM permite a los usuarios acceder de forma segura y cómoda a los recursos a los que tienen derecho, la IGA evalúa si realmente deben tener derecho a dicho acceso. En este contexto, las principales diferencias son:
- Autenticación
- Autenticación multifactor (AMF)
- Identidad federada
- Sin contraseña
- Aprovisionamiento basado en flujos de trabajo
- Certificación de acceso
- Gestión de roles
- Gestión del ciclo de vida de las identidades
- Auditoría y presentación de informes
- Índice de éxito/fracaso en la autenticación
- Índice de adopción de la autenticación multifactorial (MFA) y la autenticación sin contraseña
- Tiempo medio de activación de cuentas
- Tiempo medio de resolución de problemas de autenticación
- Niveles de disponibilidad y tiempo de funcionamiento del sistema
- Tiempo medio de tramitación de las solicitudes de acceso
- Porcentaje de revisiones de acceso finalizadas
- Se han detectado infracciones en materia de separación de funciones
- Número de cuentas que cumplen el principio del privilegio mínimo
- Número de constataciones de la auditoría relativas a problemas
Objetivo/finalidad
IAM: Habilitar el acceso
IGA: Gestionar el acceso
Principal motivo de preocupación
IAM: Habilitar el acceso
IGA: Gestionar el acceso
Capacidades clave
IAM: Habilitar el acceso
- Autenticación
- Autenticación multifactor (AMF)
- Identidad federada
- Sin contraseña
IGA: Gestionar el acceso
- Aprovisionamiento basado en flujos de trabajo
- Certificación de acceso
- Gestión de roles
- Gestión del ciclo de vida de las identidades
- Auditoría y presentación de informes
Ejemplos de indicadores de éxito
IAM: Habilitar el acceso
- Índice de éxito/fracaso en la autenticación
- Índice de adopción de la autenticación multifactorial (MFA) y la autenticación sin contraseña
- Tiempo medio de activación de cuentas
- Tiempo medio de resolución de problemas de autenticación
- Niveles de disponibilidad y tiempo de funcionamiento del sistema
IGA: Gestionar el acceso
- Tiempo medio de tramitación de las solicitudes de acceso
- Porcentaje de revisiones de acceso finalizadas
- Se han detectado infracciones en materia de separación de funciones
- Número de cuentas que cumplen el principio del privilegio mínimo
- Número de constataciones de la auditoría relativas a problemas
Para abordar todo el espectro de la seguridad de la identidad, lo ideal es que las organizaciones cuenten con una combinación de IAM (para permitir a los usuarios acceder a los recursos de forma segura y cómoda) e IGA (para garantizar y demostrar que el acceso de los usuarios a los recursos es adecuado y no supone un riesgo para la seguridad). Sin embargo, cada organización tendrá unos requisitos y unos niveles de recursos distintos que determinarán cómo proceder, tal y como se describe en los siguientes escenarios.
Situación: ¿Implementar IAM e IGA a la vez? Sí, siempre que sea posible.
La implantación conjunta de IAM e IGA suele ser casi siempre la opción ideal, tanto si una organización está planteándose una nueva implantación de ambas soluciones como si pretende sustituir una implantación de IAM ya existente e incorporar también IGA. Al implementar las capacidades de IGA e IAM del mismo proveedor, al mismo tiempo, la organización se asegura una cobertura completa de la seguridad de la identidad en dos áreas complementarias y críticas, sin el riesgo de brechas de seguridad innecesarias, problemas de integración u otros inconvenientes que pueden surgir con una implementación escalonada.
H3 Escenario: ¿Añadir IGA a una implementación de IAM ya existente? Quizás.
Para aquellas organizaciones que ya cuentan con una implementación de IAM que ofrece todo lo necesario para conceder y gestionar el acceso, puede merecer la pena mantener dicha implementación con el fin de conservar su inversión inicial en identidad, al tiempo que se añade IGA. Esto funciona bien si la solución de IGA procede del mismo proveedor. De lo contrario, es probable que la administración general de la seguridad de las identidades resulte mucho más compleja; la integración de ambos sistemas puede suponer un reto; y pueden surgir problemas continuos de resolución de incidencias asociados al funcionamiento de sistemas dispares.
Situación: ¿Seguir solo con IAM? No es recomendable.
Es posible implementar IAM sin IGA, como barajan algunas organizaciones debido a limitaciones presupuestarias u operativas. Pero no es necesariamente recomendable. Es cierto que, al contar con un sistema de IAM para autenticar a los usuarios, existe menos riesgo de que alguien que no esté autorizado a acceder consiga hacerlo de alguna manera. Pero eso no tiene en cuenta la cuestión de si el acceso que tienen los usuarios es el derecha acceso. Por eso, las organizaciones que utilizan únicamente IAM corren el riesgo de generar problemas de seguridad debido a que los usuarios acumulan privilegios de acceso excesivos. Las organizaciones que carecen de IGA tampoco disponen de registros de auditoría ni de otras pruebas que demuestren el cumplimiento normativo ante una inspección regulatoria.
Situación: ¿Utilizar únicamente IGA? En realidad, no es una opción.
No tiene sentido disponer de IGA sin IAM, ya que la aplicación de las políticas de seguridad por parte de IGA se basa en los mecanismos subyacentes de autenticación y autorización que proporciona IAM. En otras palabras, sin IAM, IGA no tiene sobre qué basarse. La única decisión que hay que tomar es entre optar solo por IAM o por IAM e IGA juntos.
La seguridad de la identidad consiste en proteger las identidades digitales mediante la verificación de las mismas y la aplicación de controles de acceso, con el objetivo de impedir el acceso no autorizado.
Sí. IAM combina la gestión de identidades y la gestión de accesos para proteger las identidades digitales y evitar el acceso no autorizado a los recursos en entornos digitales.
La gestión de identidades y accesos (IAM) permite el almacenamiento seguro de recursos confidenciales y el acceso seguro a los mismos mediante métodos como el inicio de sesión único (SSO), la autenticación multifactorial (MFA) y sin contraseña.
El objetivo de la gestión de identidades es reducir el riesgo de brechas de seguridad garantizando que las personas adecuadas —y solo ellas— puedan acceder a los recursos protegidos.
La gestión de identidades permite un acceso seguro a los recursos, facilita el cumplimiento normativo y optimiza la experiencia del usuario, al hacer que el acceso sea a la vez cómodo y seguro.
La gestión de identidades y accesos (IAM) se centra en quién tiene acceso, es decir, en la autenticación de los usuarios y en la gestión de su acceso a los recursos, mientras que la gobernanza de identidades y acceso (IGA) se centra en si el acceso de un usuario es adecuado para su función y sus responsabilidades.