Durante años, el gobierno y la administración de identidades (IGA) se han tratado como un gran programa de transformación, algo que lleva años implantar y que pretende resolver todo a la vez. En teoría, resolver todo a la vez parece la opción correcta. En la práctica, a menudo es la razón por la que IGA fracasa.
El patrón que observo con más frecuencia no es una falta de conocimiento de lo que es la AGI o de lo que hace: las organizaciones entienden la importancia de la AGI. El problema es que los enfoques tradicionales de la AGI presuponen que una organización tiene tiempo, estabilidad y capacidad para construirlo todo de una sola vez. En el entorno actual, esto ya no es realista.
El IGA tradicional funcionaba bien cuando el mundo era más sencillo: sistemas locales, personal de oficina y funciones que rara vez cambiaban. Las funciones estaban claramente definidas, los sistemas no cambiaban con frecuencia y las decisiones de acceso podían revisarse cada pocos meses sin mayor riesgo.
Hoy en día, todo es diferente. Las organizaciones utilizan la nube, SaaS y equipos distribuidos. Las organizaciones gestionan algo más que identidades de empleados: también son responsables de contratistas, socios e incluso máquinas. El acceso cambia constantemente.
Por eso, los modelos estáticos de AGI -con funciones, políticas y derechos establecidos- se quedan obsoletos muy pronto. Muchos programas de AGI se quedan atascados aquí. Intentan diseñar todo a la perfección desde el principio, pero el entorno sigue cambiando antes de que puedan ofrecer resultados.
El enfoque “big bang” tradicional del IGA es muy ambicioso. Trata de integrar todas las aplicaciones, definir todas las funciones e implantar una gobernanza completa en un solo programa.
El reto es que esto lleva tiempo. Y durante ese tiempo, los riesgos siguen creciendo.
Los procesos manuales dificultan aún más un “big bang” IGA. Las revisiones de acceso se hacen demasiado extensas, los revisores no siempre tienen el contexto adecuado y las decisiones se centran más en completar la tarea que en reducir el riesgo. Los roles estáticos se vuelven obsoletos y, con el tiempo, el acceso se acumula sin un control adecuado.
Al final, las organizaciones invierten mucho, pero no siempre ven un valor rápido o claro.
Lo que vemos que funciona mucho mejor es una mentalidad diferente. En lugar de intentar resolverlo todo, hay que empezar por un problema concreto de IGA. Algo claro, algo medible, algo importante.
Por ejemplo:
- Demasiados usuarios tienen acceso de alto riesgo en una aplicación crítica
- Las revisiones de auditoría señalan las cuentas inactivas
- Algunos derechos sensibles se asignan a muchos usuarios pero rara vez se utilizan
Son problemas reales, no teóricos. Y pueden resolverse rápidamente.
Cuando una organización se centra en un caso de uso o reto de IGA, todo resulta más sencillo. Los equipos cuentan con las partes interesadas adecuadas, definen el éxito con mayor claridad y ofrecen resultados claros. Esa victoria inicial genera confianza e impulso para lo que viene después.
Así es también como pensamos en la IGA en RSA.
En lugar de pedir a los clientes que lo hagan todo de una vez, les proponemos un enfoque gradual a través de nuestro sistema modular. Gobierno y ciclo de vida de RSA concesión de licencias. Los clientes pueden empezar con Visibilidad-simplemente comprender quién tiene acceso a qué. Solo esto ya aporta valor y conocimiento.
Entonces pueden pasar a Gobernanza, aplicando controles y revisiones donde realmente importa. Y después, pueden extenderse a Ciclo de vida, para automatizar procesos y escalar.
Este enfoque permite a las organizaciones empezar poco a poco pero pensar a lo grande. Permite a las organizaciones resolver primero un problema real y luego ampliarlo paso a paso, sin necesidad de volver a empezar o de rediseñarlo todo.
En los entornos modernos, la gobernanza no puede ser estática. Debe ser más dinámica y centrada.
En lugar de revisar todo por igual, las organizaciones deben hacerlo:
- Concéntrese primero en los elementos de mayor riesgo
- Utilizar los datos para orientar las decisiones
- Actuar con rapidez
Las organizaciones que logran estos pasos tienden a combinar las capacidades de los productos con los servicios. Para obtener beneficios inmediatos de la IGA, las empresas no solo necesitan disponer de las herramientas adecuadas, sino también utilizarlas de forma inteligente y práctica para obtener resultados.
Otro punto importante es la flexibilidad, sobre todo en lo que respecta a la implantación.
Muchas soluciones obligan a los clientes a elegir entre soluciones IGA en la nube o locales. Pero en realidad, esta elección puede cambiar. Una empresa puede empezar con una estrategia "cloud-first", pero más tarde enfrentarse a razones normativas o empresariales para permanecer en las instalaciones. O puede que las organizaciones necesiten actuar con mayor flexibilidad e implantar más soluciones en la nube.
La única solución adecuada es la que satisface las necesidades actuales de la organización y está preparada para adaptarse a los cambios de prioridades en el futuro. Por este motivo, RSA Governance & Lifecycle ofrece una paridad de producto total entre sus soluciones en la nube y locales: la solución proporciona las mismas capacidades independientemente de la implementación.
Esto significa que los clientes pueden adaptarse si cambia su estrategia. No están bloqueados. Pueden avanzar sin perder lo que ya han construido.
Empezar poco a poco no significa limitar tu ambición. Significa ser práctico.
Cuando una organización resuelve un reto de IGA o aborda un caso de uso, resulta más fácil ampliarlo a la siguiente aplicación, el siguiente riesgo o la siguiente mejora. El progreso incremental puede ofrecer resultados significativos y construir un programa IGA sólido y modernizado.
La IGA tradicional no está fracasando porque la gobernanza sea errónea. Está fallando porque el enfoque no está adaptado a la velocidad y complejidad actuales.
Las organizaciones que triunfan son las que se centran, empiezan poco a poco y construyen paso a paso. Buscan resultados reales, no solo grandes diseños.
La IGA no tiene por qué ser abrumadora. Debe ser práctica, rápida y aportar un gran valor.
Le mostraremos cómo se ve esto en la práctica.
Participe en nuestro próximo seminario web, Por qué la gestión de identidades falla a gran escala y cómo lo soluciona la IA, donde explicaremos cómo analizar los datos de identidad, priorizar los riesgos y actuar con confianza.
