Panorama de la gestión de identidades y accesos

Para crecer, toda empresa, negocio u organización debe disponer de un método sistemático para organizar a sus empleados o miembros. Hoy en día, ese método suele englobarse bajo la denominación de Gestión de Identidades y Accesos (IAM), o también conocida a veces como Gestión de Acceso a Credenciales de Identidad (ICAM). En ambos casos, el marco general describe cómo incorporar nuevos empleados a la organización y gestionar la sucesión y la desprovisión de cuentas cuando sea necesario.

Los elementos de la gestión de identidades y accesos afectan a empresas de todos los tamaños. Nunca es demasiado pronto para empezar a pensar en cómo una organización debe gestionar y mantener a sus empleados o miembros.

En este documento, exploramos los seis elementos principales de la gestión de identidades y accesos, y cómo puede aplicarlos a su organización.

Con una contraseña larga, compleja, aleatoria y única por cuenta, los usuarios se sitúan en una posición sólida para mantenerse protegidos. Un paso aún más importante es añadir el inicio de sesión en dos pasos, o autenticación de dos factores, tanto al inicio de sesión de tu gestor de contraseñas como a otros sitios web y servicios.

Con su gestor de contraseñas, el inicio de sesión en dos pasos puede configurarse con aplicaciones autenticadoras, claves de seguridad, correo electrónico o SMS. Tenga en cuenta que hoy en día los SMS se consideran uno de los métodos más susceptibles de pirateo debido a la prevalencia del SIM jacking como estrategia de intrusión.

Sea cual sea el camino que elijan los usuarios, asegúrese de que todos comprenden las ramificaciones del inicio de sesión en dos pasos, conservan una copia de los códigos de recuperación del inicio de sesión en dos pasos del sitio web si se ofrecen, y disponen de un método para realizar copias de seguridad de las claves de autenticación ofrecidas durante el proceso de registro del inicio de sesión en dos pasos.

Algunos gestores de contraseñas ofrecen autenticadores integrados. Esto supone una enorme comodidad para los usuarios, especialmente en entornos compartidos. Ahora los usuarios pueden compartir un inicio de sesión, incluida la secuencia de inicio de sesión en dos pasos, y no tienen que preocuparse de llamarse o enviarse mensajes de texto para averiguar el código secreto.

Por supuesto, algunos podrían preguntarse por qué incluir un paso de autenticación integrado en el gestor de contraseñas, y si eso anula el valor de la autenticación. En última instancia, los usuarios tienen opciones, y los empresarios pueden educar sobre las prácticas preferidas. Estas son las razones para adoptar un enfoque integrado

1. Su gestor de contraseñas Vault debería disponer por sí mismo de un inicio de sesión en dos pasos mediante otro método. (Importante: no debe utilizar el autenticador integrado de su gestor de contraseñas para proteger su cuenta de gestor de contraseñas). Por lo tanto, su bóveda y sus cuentas están actualmente protegidas con un alto nivel de seguridad y, de hecho, con inicio de sesión en dos pasos.

2. Tener activado el inicio de sesión en dos pasos para sitios web y aplicaciones proporciona más seguridad que no tenerlo activado. Una agrupación más estrecha del inicio de sesión en dos pasos facilita su uso más frecuente, lo que promueve mejores prácticas de seguridad.

3. Si necesitas compartir un elemento, puedes hacerlo con el inicio de sesión en dos pasos activado, lo que, de nuevo, promueve una mayor seguridad. Se trata de un movimiento de colaboración y poder de acceso en dos pasos.

4. No necesitas recordar qué aplicación de autenticación utilizaste, ya que permanece integrada.

5. Siempre puedes elegir, de forma individual, qué inicio de sesión autenticar internamente dentro del autenticador de tu gestor de contraseñas, o externamente utilizando una aplicación de autenticación independiente.

A medida que el mundo avanza hacia la ausencia de contraseñas, asegúrese de que su gestor de contraseñas y su estrategia general de gestión de identidades y accesos incluyan opciones sin contraseña. Por ejemplo

• Asegúrese de que puede iniciar sesión en dispositivos con datos biométricos, así como activar las funciones de autorrelleno para credenciales con datos biométricos.

• Para el inicio de sesión único, del que también hablaremos más adelante, explore las opciones que ofrecen experiencias sin contraseña

• Considere el uso de claves de seguridad en toda su organización

• A la hora de implantar claves de seguridad, tenga en cuenta las opciones redundantes, así como los procedimientos de copia de seguridad y recuperación en caso de que las claves se pierdan o estén conectadas a cuentas de usuario críticas para la empresa.

• Por ejemplo, podría tener sentido que un empleado indicara la ubicación de cualquier clave de seguridad de reserva en su almacén de gestión de contraseñas, sólo disponible en caso de toma de posesión de la cuenta y acceso de emergencia.

Con el auge de las aplicaciones de software como servicio (SaaS), muchas empresas aprovecharon el inicio de sesión único para permitir el acceso unificado a las cuentas de los sitios web. Por supuesto, el inicio de sesión único requiere que el sitio web o el servicio disponga de esa función. Aunque muchos sitios web dirigidos a empresas ofrecen el inicio de sesión único, sigue habiendo un mundo de sitios web y servicios que no lo hacen. Un gestor de contraseñas llena ese vacío y mucho más.

Algunos gestores de contraseñas también pueden integrarse con el inicio de sesión único, lo que permite a las empresas aprovisionar automáticamente a los usuarios en una organización.

Por supuesto, una aplicación cifrada de extremo a extremo, como un gestor de contraseñas, es un poco diferente del típico servicio SaaS. Dado que el modelo de seguridad de un gestor de contraseñas con cifrado de conocimiento cero garantiza que el proveedor no puede ver nada de lo que hay en tu bóveda, el contexto del inicio de sesión único toma un cariz diferente.

La premisa fundamental de un gestor de contraseñas es que el usuario final posee la clave para cifrar y descifrar sus datos. El gestor de contraseñas no conoce la clave y no puede proporcionársela al usuario en caso de que la pierda. Del mismo modo, un gestor de contraseñas no puede simplemente dar a ciegas la clave de descifrado de un usuario final a otro servicio de terceros (como un proveedor de identidad) y confiar en que ese otro proveedor mantenga la clave a salvo.

Reconociendo esto, un modelo seguro para integrarse con los proveedores de identidad existentes permite la autenticación a través del proveedor de identidad, pero conserva el cifrado y descifrado con una contraseña maestra retenida por el usuario, específica para el gestor de contraseñas. Esto garantiza que ningún tercero tenga acceso a descifrar la bóveda del usuario final. También significa que la contraseña maestra de cifrado y descifrado debe ser única para el gestor de contraseñas.

Este enfoque también garantiza que los usuarios puedan beneficiarse de todas las aplicaciones cliente que ofrece el gestor de contraseñas a través de navegadores, sistemas operativos móviles, sistemas operativos de escritorio, acceso web e interfaces de línea de comandos.