Todas las conversaciones sobre gobernanza de identidades acaban volviendo a la misma frustración: revisiones de acceso en las que nadie confía, certificaciones que se aprueban y administradores que sienten que siempre van un paso por detrás. La dirección analiza la situación y llega a la conclusión de que la organización necesita una mejor estrategia de gobierno de identidades. Un nuevo proceso. Una política más firme. Más gobernanza.
Pero la cuestión es la siguiente: la intención de la gobernanza suele estar bien. El problema son los datos subyacentes.
Cuando se diseñaron por primera vez los marcos de gobernanza de identidades, la empresa media gestionaba unos cientos de aplicaciones y un número manejable de cuentas de usuario. Las revisiones de acceso eran tediosas pero manejables. Los administradores podían, con esfuerzo, desarrollar un contexto significativo sobre quién necesitaba qué y por qué.
Ese mundo ya no existe.
Los servicios financieros, las agencias gubernamentales y las organizaciones de alta seguridad gestionan habitualmente miles de aplicaciones que abarcan entornos SaaS, híbridos y locales. Los derechos dentro de esas aplicaciones se cuentan por millones. Cada usuario lleva un rastro de decisiones de acceso acumuladas durante años de cambios de funciones, asignaciones de proyectos y reestructuraciones organizativas. Y esa huella crece continuamente, añadiendo nuevas cuentas, nuevos permisos, nuevas funciones y nuevos riesgos cada día que pasa.
El volumen de datos de identidad que generan actualmente las organizaciones supera lo que cualquier equipo humano puede procesar de forma significativa. No se trata de un fallo de esfuerzo o atención. Es un problema matemático.
Los responsables de la gestión de la identidad operan en condiciones que hacen casi imposible una toma de decisiones eficaz.
Las colas de alertas están perpetuamente sobrecargadas. Cada alerta exige un triaje, pero el volumen significa que muchas se aplazan o descartan no porque se hayan investigado, sino porque no hay ancho de banda para investigarlas. Las solicitudes de aprovisionamiento se acumulan. Las anomalías de acceso aparecen sin el contexto suficiente para actuar con confianza. El resultado es un sistema que parece que funciona, pero que en realidad funciona a base de suposiciones y retrasos.
Los administradores no están fallando en la gobernanza. Se ven desbordados por un entorno de datos que supera a las herramientas diseñadas para gestionarlo.
Las campañas de certificación del acceso se enfrentan a un problema estructural similar, pero se manifiesta de forma diferente.
Cuando se pide a un directivo que certifique el acceso de sus subordinados directos, normalmente se le presenta una lista de derechos y una elección binaria: aprobar o revocar.
Lo que no se les da es el contexto que haría que esa decisión tuviera sentido. ¿Sigue estando en consonancia este acceso con la función actual de la persona? ¿Se ha utilizado recientemente? ¿Representa un riesgo elevado en relación con los grupos de iguales? ¿Existen infracciones de la política en el perfil de acceso actual que no sean evidentes a primera vista?
Sin ese contexto, los revisores hacen lo que hacen las personas racionales: aprueban. No porque el acceso sea apropiado, sino porque revocar algo que podría ser necesario crea un dolor inmediato y visible, mientras que dejar un acceso inapropiado crea un riesgo difuso y diferido.
La mayoría de los procesos de certificación actuales producen datos, no información. Y las decisiones que se toman sin conocimiento no son gobernanza. Son papeleo.
La solución a un problema de datos no es más proceso. Es mejor inteligencia aplicada a los datos que ya existen.
La gobernanza de identidades basada en IA aborda directamente el problema de la escala haciendo lo que los revisores humanos no pueden: analizar patrones en millones de derechos simultáneamente, identificar anomalías relativas al comportamiento de los compañeros, señalar accesos inactivos o excesivos y sacar a la luz elementos específicos que conllevan un riesgo significativo.
Para los administradores, esto significa colas de alerta priorizadas por la señal de riesgo real, no por la hora de llegada. Para los revisores, significa campañas de certificación que muestran el contexto junto a cada decisión, de modo que las aprobaciones y revocaciones se basan en la comprensión y no en el instinto. Para las organizaciones financieras, gubernamentales y de alto nivel de seguridad, significa que la actividad de gobernanza se concentra donde más importa.
La IA no sustituye al criterio humano en la gestión de la identidad. Vuelve a hacer posible el juicio humano gestionando el procesamiento de datos que ha desbordado cualquier otro enfoque.
Las organizaciones que tienen más problemas con el gobierno de las identidades no es porque carezcan de políticas. Lo hacen porque el entorno de datos se ha ampliado más allá de su capacidad para actuar en consecuencia.
En este contexto, la IA no es una característica premium o una consideración futura. A la escala a la que operan las empresas modernas, la IA es el requisito previo para que la gobernanza de la identidad funcione.
Si sus certificaciones parecen una formalidad, si sus administradores tienen la sensación de estar siempre reaccionando, si sus revisiones de acceso producen decisiones poco fiables, la pregunta que merece la pena hacerse no es qué le falta a su programa de gobernanza.
Es lo que sus datos intentan decirle y que nadie tiene el ancho de banda necesario para escuchar. Listo para escuchar lo que tus datos intentan decirte? Participe en nuestro seminario web, Por qué la gestión de identidades falla a gran escala y cómo lo soluciona la IA, para ver de forma práctica cómo evitar el ruido, aflorar el riesgo real y tomar decisiones que realmente se sostengan.
