La forma en que hoy se despliega y se consume la tecnología ha transformado a las ciberdefensas perimetrales en obsoletas. Hoy los ciberdelincuentes obtienen credenciales (identidades) válidas para acceder a las redes o a los sistemas, moviéndose luego silenciosa e impunemente por las áreas sensibles de nuestra organización. Por ese motivo, la gobernanza y la gestión de identidades y accesos (IAM/IGA, por sus iniciales en inglés) es hoy el último bastión defensivo contra esta clase de ataques.
Esta necesidad de “gestión y gobernanza” —que antes parecía aplicar solamente a algunas industrias verticales y únicamente en las grandes corporaciones— está llegando a organizaciones de menor envergadura, sobre todo en aquellos ámbitos altamente regulados, o allí donde priman reconocimientos y certificaciones de los organismos de control. Paralelamente, la digitalización de los procesos, la descentralización del trabajo y el surgimiento de entidades no humanas accediendo a la información, agregaron dimensiones al tema.
Plug Zone nació hace veintiséis años en Argentina, con foco en IAM/IGA. Para Diego Minguillón, Socio Gerente y Fundador de Plug Zone, el problema se vuelve aún más desafiante en la medida en que son pocos los responsables de seguridad que parecen dispuestos a hablar de ese “elefante” que está suelto en la habitación. “Esta clase de soluciones aplica a todos los sectores de la industria. Son, en general, empresas medianas y grandes con algún área de Seguridad Informática. En general, esto último es condición fundamental: si la empresa todavía no se preocupa por la Seguridad Informática, difícilmente esté en condiciones de entender la necesidad de la gestión de identidades. Por otro lado, la cantidad de empleados, proveedores, clientes, etc., también justifica la inversión, por la cantidad de usuarios que es necesario gestionar”, explicó.
«Esta clase de soluciones aplica a todos los sectores de la industria. Son, en general, empresas medianas y grandes con algún área de Seguridad Informática».
Este tipo de gestión también se vuelve relevante en aquellas organizaciones donde el compliance es más fuerte, como es el caso de las compañías de Seguros, Bancos o instituciones de Salud, independientemente de su tamaño. El hecho es que, muchas de estas organizaciones aún manejan la gestión de identidades y accesos desde planillas Excel, manualmente, lo cual puede terminar en caos. El leit motiv de Plug Zone es, precisamente, «la complejidad no tiene por qué significar caos». Hora de cambiar las herramientas y las prácticas.
El elefante en la habitación
La cuestión es detectar los primeros indicios de este caos. Minguillón advirtió sobre varias red flags. “Una de las clásicas es cuando escuchamos que entra un colaborador nuevo y clonan los permisos de algún otro colaborador ya existente en la empresa. Es una red flag fuerte, que marca que el caos es total. En realidad, la pregunta es simple: ¿alguna vez corrieron, por ejemplo, alguna campaña de recertificación de accesos? Si la respuesta es negativa, allí tenemos otro síntoma importante”.
La recertificación es clave en la gobernanza de las identidades y accesos, porque permite validar que los permisos de acceso que cada usuario tiene sobre la información o las funcionalidades de las aplicaciones son realmente los que deben ser, al tiempo que se verifica que las identidades activas se corresponden con los usuarios reales, sean estos empleados, representantes de proveedores, clientes u otras terceras partes que interactúan con los sistemas (y, desde luego, sistemas que, de manera autónoma, se comunican con otros sistemas: usuarios no-humanos).
“Yo creo que toda persona del área de Seguridad sabe que tiene un problema enorme. Pero enfrentar semejante caos y ordenarlo no es fácil. Muchos optan por mirar para otro lado. No hablan del elefante que tienen en la habitación, salvo que no tengan otro remedio que lidiar con ello”, comentó Minguillón. De esta necesidad nació, hace poco más de un año, Rolix: una herramienta inteligente para el gobierno de las identidades, que es un desarrollo propio de Plug Zone y que se basa en la experiencia de varias décadas que la compañía tiene en el tema.
Gobernanza y visibilidad
¿Qué provee Rolix? En primera instancia, un catálogo completo de identidades (identifica a cada persona que tiene relación con la organización). A su vez, cada una de estas personas (identidades) posee una cantidad de cuentas en las distintas plataformas y aplicaciones, como por ejemplo el ERP o el CRM. Y, dentro de las aplicaciones o sistemas, cada usuario tiene acceso a algunas funcionalidades o módulos, y a otros no, según su perfil (accesos). “Todo ese cúmulo de información se carga en Rolix. Pero, además, lo mantenemos, porque no es la foto de hoy. Esto es algo vivo. “La foto cambia de un momento a otro”, aclaró Minguillón. Por otra parte, el software guarda información histórica para auditoría y análisis.
Rolix puede llegar a los clientes empresariales como parte de un servicio ofrecido por un partner que ofrece servicios de IAM/IGA, o bien de manera directa a través de Plug Zone y su propio staff. “Sabemos que muchas organizaciones realizan el gobierno y la administración de las identidades (IGA) usando herramientas viejas o inadecuadas, como por ejemplo Excel. Y esto pasa incluso en algunas grandes consultoras”, comentó Minguillón, problemática que se extiende de la misma manera en numerosas industrias verticales.
«Yo creo que toda persona del área de Seguridad sabe que tiene un problema enorme. Pero enfrentar semejante caos y ordenarlo no es fácil. Muchos optan por mirar para otro lado. No hablan del elefante que tienen en la habitación…»
El ejecutivo propone una simple cuenta: cantidad de identidades (personas / entidades que interactúan con la empresa) por la cantidad de cuentas (cada identidad tendrá, por ejemplo, una cuenta en SAP, otra en la suite de aplicaciones de productividad, otra para correo electrónico, etc., llegando en algunas organizaciones a varias decenas) por los accesos (según el rol que un usuario tiene en relación con la empresa, habrá módulos del ERP o el CRM con los que puede interactuar, y otros a los que no le estará permitido ingresar). Esta multiplicación, en una empresa mediana puede dar centenares de miles de relaciones que monitorear, y en una grande pueden ser millones. Por otra parte, al no tratarse de una foto estática, los cambios son permanentes. De ahí que sea necesaria la incorporación de herramientas que faciliten, e incluso automaticen el IGA.
Gestionar para pasar a la acción
Cuando Plug Zone dio inicio a sus operaciones, en 2000, Luis M. Battistello y el propio Minguillón, sus fundadores, tenían amplia experiencia en el mundo Novell, cuya plataforma de red NetWare 4 tenía el primer directorio (NDS), lo cual lke daba la posibilidad de gestionar identidades. Curiosamente, hoy, el IDM (el sistema de gestión de identidades) de OpenText es continuidad de aquel de Novell. Sobre esta plataforma, Plug Zone monta su software HiFlow. Al integrarse con Opentext IDM, amplía sus capacidades, simplifica el trabajo diario y lo ayuda a cumplir con los estándares más exigentes de auditoría y ciberseguridad.
A diferencia de la gobernanza, la gestión tiene un trasfondo operativo: ejecutar las acciones necesarias para desplegar, mantener o corregir las relaciones entre identidades, cuentas y accesos. Además de la actividad diaria, en este punto existe otra herramienta que asume un rol central: las campañas de recertificación. A través de encuestas o solicitud de información a distintas fuentes (RRHH, Compras, Ventas, consultas con jefes de área, etc.) se intenta establecer una suerte de mapa que dé cuenta de quién debe acceder a qué recurso y cómo.
«Sabemos que muchas organizaciones realizan el gobierno y la administración de las identidades (IGA) usando herramientas viejas o inadecuadas, como por ejemplo Excel. Y esto pasa incluso en algunas grandes consultoras».
Cuando ese mapa no coincide con la realidad (cuentas que apuntan a empleados que ya no están en la empresa, identidades que a lo largo de su paso por distintas posiciones de la organización han acumulado permisos para acceder a información y a procesos que no son compatibles con su actual rol, cuentas en aplicaciones que ya no se usan, etcétera), lo que queda al descubierto es una importante cantidad vulnerabilidades que eventualmente podrían ser aprovechadas para hacer daño (alterar información, borrar registros, transferir fondos, introducir malware, y más).
Abordar estos proyectos, complejos y de largo aliento, exige el liderazgo del área de Seguridad y el compromiso de la Dirección de la empresa, como sostiene Minguillón. En este camino, el rol del partner tecnológico es fundamental, no solo proveyendo herramientas y servicios, sino garantizando que el cliente gane autonomía en su uso diario. Plug Zone, con más de dos décadas y media de experiencia, se posiciona como una «consultora gourmet»: un equipo pequeño, efectivo y con la capacidad de atender grandes cuentas. Su valor diferencial es simple y poderoso: sabe comunicar lo que hace. Una habilidad vital para ayudar a las organizaciones a dejar de ignorar el «elefante en la habitación» y convertir la complejidad de la gestión de identidades en una estrategia clara y efectiva.
