Artículo completo_Por qué implantar un IdM_Ignacio Gilart

Anuncio
WhiteBearSolutions genuinely open (WBSgo)
Por qué implantar un sistema de gestión de identidad open source:
WBSVision
Por : Ignacio Gilart Iglesias, CEO de WhiteBearSolutions
Un gran número de organizaciones, independientemente de su tamaño o sector, requieren de
algún tipo de solución para gestionar las identidades. A pesar de ello, la gran mayoría no
dispone ni de procedimientos, ni de sistemas que les ayuden a esta importante labor. Siendo
los sistemas de gestión de identidad herramientas que existen desde hace muchos años, y
habiendo un gran número de ellas en el mercado, nos podemos preguntar por qué se produce
la falta de presencia de algo tan necesario.
Antes de analizar las posibles barreras que impiden la proliferación masiva de este tipo de
soluciones, vamos a tratar de resumir en qué consisten, qué problemática resuelven y qué
beneficios aportan.
Podríamos definir “un Sistema de Gestión de Identidad o Identity Management System (IdM
en adelante) como un sistema integrado de procesos, políticas y tecnologías que permiten a
las organizaciones facilitar y controlar el acceso de los usuarios a sus recursos y aplicaciones,
permitiendo a la vez proteger su información confidencial, tanto personal como profesional,
de usuarios no autorizados“
Las soluciones IdM suelen aglutinar un conjunto de herramientas a modo de suite, de manera
que se proporcione todo lo necesario para establecer lo que se suele denominar como
“política corporativa de gobierno de identidad”. En el siguiente gráfico podemos ver resumido
este conjunto de elementos que suelen estar presente en suites IdM.
WhiteBearSolutions genuinely open (WBSgo)
¿Qué problemáticas resuelve un IdM?
Con todas estas piezas podemos resolver gran número de problemáticas relacionadas con las
identidades existentes en una organización, que pasamos a resumir:

Pérdida de seguridad: Quizá esta sea en definitiva una de las mayores problemáticas
derivadas de la falta de control en los procesos de gestión de identidad. La pérdida de
seguridad afecta directamente a la actividad de una organización pudiendo poner en
riesgo la supervivencia de la misma. Esto no es ni mucho menos anecdótico;
conocemos a través de diversos estudios realizados que el 81% de los fallos de
seguridad proviene de empleados descontentos, que sólo el 62% de los usuarios se
elimina de los sistemas al abandonar el trabajador una organización y que las cuentas
“huérfanas” incrementan los riesgos de seguridad 23 veces.

Incumplimiento de normativas: La dirección de las organizaciones tienen la
responsabilidad de cumplir las reglas de controles internos, así como garantizar el
cumplimiento de las obligaciones de nuevas regulaciones (LOPD, ISO 27000, SarbanesOxley, Basel II, EU Privay, etc.) Pues bien, por sorprendente que pueda parecer,
aproximadamente solo el 50% de las empresas cumplen los controles de auditoría
sobre las normas actuales según se deriva de múltiples estudios realizados por
auditoras independientes.

Incremento de los costes: El coste de gestión de la administración de usuarios no está
controlado, lo que provoca en ocasiones la dedicación de más recursos a esta labor de
lo que estaba previsto. Sirva como ejemplo el coste de licencias que una organización
paga asociadas a usuarios que ya no pertenecen a la misma y que sin embargo siguen
estados de alta en algunos entornos (lo que se conoce como cuentas huérfanas), o los
posibles costes asociados a un incumplimiento normativo.

Reducción de la productividad: Según diversos estudios e informes realizados por
consultoras independientes, entre el 15-25% de las actividades de creación de usuarios
deben repetirse por errores, el 27% de las compañías tardan más de 5 días en
proporcionar o eliminar derechos de acceso a los usuarios, y entre el 40- 60% de las
llamadas al service desk están relacionadas con las claves de acceso.

Pérdida de calidad de los datos: La información de usuarios es inconsistente entre los
diferentes sistemas, es decir, que un usuario dispone de privilegios acordes a su
puesto o perfil en un sistema en un determinado momento, y sin embargo mantiene
privilegios erróneos en otros sistemas derivados de un puesto o perfil que quizá tuvo
en otro momento y que no fueron modificados al cambiar sus circunstancias (de un
60% a un 80% de los perfiles de acceso no son correctos según estudios realizados por
IDC). Esta mala calidad de datos tiene impacto sobre el servicio.
WhiteBearSolutions genuinely open (WBSgo)
¿Qué otros beneficios aporta un IdM a una organización?
Como podemos intuir del conjunto de problemáticas expuestas, los sistemas IdM aportan un
gran número de soluciones a estos problemas, así como múltiples beneficios, que resumimos a
continuación:

Ahorro de costes indirectos de administración y help-desk ya que permiten la
implementación de automatismos y ahorro de costes directos relacionados con el
over-provisioning de licencias.

Mejora de la productividad al obtener menores tiempos de provisión y desprovisión
de usuarios con la automatización de la mayoría de procesos hasta ahora manuales.

Suministro de mejores servicios de cara a los usuarios (herramientas de autoservicio
para que los usuarios puedan modificar información personal, para que puedan
modificar o recuperar su contraseña, para que tengan conocimiento de los sistemas a
los que tienen acceso, etc.)

Aumento de la seguridad corporativa evitando vulnerabilidades derivadas de accesos
indebidos por parte de usuarios con cuentas huérfanas o bien de accesos indebidos a
sistemas por parte de usuarios que ya no deberían poder hacerlo por haber cambiado
su posición, puesto... Cabe destacar asimismo que con la proliferación de
herramientas en la nube, mecanismos de automatización de la provisión, y sobre todo
de autenticación federada nos proporcionan altos grados de seguridad y confianza a la
hora de decantarnos por el uso de este tipo de herramientas. Todo esto redunda en un
aumento de la confianza de usuarios, clientes y proveedores de las organizaciones.

Cumplimiento legislativo avalado por informes y cuadros de mando, sobre todo en lo
relativo a control de acceso (autenticación y nivel de autorización), auditoría de los
procesos de alta, baja y modificación de usuarios de los sistemas, establecimiento de
políticas corporativas de seguridad (contraseñas, aprobaciones de procesos). Todo
esto evita costes directos derivados de multas e incluso costes indirectos derivados de
la pérdida de imagen asociada.
¿Por qué los sistemas IdM aun no están extendidos entre las organizaciones?
Una vez expuesto todo lo anterior nos preguntaremos por qué si los sistemas IdM son tan
necesarios y nos aportan tantos beneficios, no están prácticamente extendidos.
Después de muchos años trabajando con este tipo de sistemas mi conclusión es que han
existido un gran número de barreras de acceso a estas soluciones tanto de tipo interno
(inherente a las organizaciones), como de tipo externo (asociadas a los fabricantes de las
soluciones y a las propias soluciones). Considero que la principal barrera a la hora de implantar
una solución de gestión de identidad es la organizativa, es decir, que una gran mayoría de
organizaciones no tiene normalizadas las políticas de identidad respecto a los usuarios, los
accesos, los departamentos, los flujos relacionados con la provisión y desprovisión, las
WhiteBearSolutions genuinely open (WBSgo)
aprobaciones relacionadas, etc. Esto es un trabajo que requiere un cierto esfuerzo y sobre
todo metodología. Muchas son las compañías especializadas en este tipo de servicios de
consultoría que pueden ayudar a una organización en esta ardua tarea.
Entonces ¿por qué no se hace?
Aquí es donde surgen las barreras relacionadas con la tecnología y con los fabricantes de la
misma. Las soluciones IdM tradicionalmente han sido siempre muy costosas en términos de
TCO (Coste Total de la Propiedad):

Respecto a la adquisición de licencias y su posterior mantenimiento,

Respecto a su despliegue debido al gran número de componentes incluidos, en
ocasiones inconexos por tratarse muchos de ellos de adquisiciones a terceras
compañías, y por supuesto a la adquisición de terceros componentes no incluidos
(sistemas operativos, BBDD, servidores web...)

Respecto a su administración y actualización, debido a lo expuesto en el punto anterior

Respecto a su evolución debido al uso en muchas ocasiones de herramientas
propietarias no basadas en estándares que dificultan disponer de recursos humanos
abundantes en el mercado para explotar y evolucionar las mismas.
En muchas ocasiones incluso decidiéndose una organización a implantar una solución IdM, los
elevados tiempos de despliegue y la merma de recursos económicos destinados a los
importantísimos servicios de consultoría (propiciado en gran medida por los elevados costes
de adquisición), hacen que la mayoría de proyectos fracasen o no alcancen un porcentaje
aceptable de despliegue. Incluso aquellos que ven la luz, en muchas ocasiones se hacen
inviables en futuras evoluciones. Incluso, en el día a día de administración, los clientes
descubren con sorpresa que, a pesar de haber desembolsado ingentes cantidades de dinero, el
soporte proporcionado por los fabricantes es insuficiente e ineficaz.
Open Source, la alternativa.
Por todo ello, las soluciones basadas en open source y en la entrega integral de componentes
son una muy buena alternativa a las soluciones tradicionales. WBSVision es un buen ejemplo
de ello.
WBSVision es una solución open source completa de gestión de identidad en una plataforma
appliance.
WBSVision supone una nueva generación en los sistemas de gestión y federación de
identidades, incluyendo servicios de directorio y metadirectorio, servicios de autenticación y
seguridad, servicios de red y servicios de interoperabilidad. Permite a través de sus múltiples
módulos, provisionar y controlar el acceso de usuarios, a recursos, repositorios y aplicaciones,
en base a perfiles, roles y reglas de negocio.
WhiteBearSolutions genuinely open (WBSgo)
Nos basamos en varios pilares fundamentales: el formato appliance de nuestras soluciones, en
el uso mayoritario de open source y en el uso de estándares que garantizan la
interoperabilidad, y sobre todo en la orientación al servicio.
o Formato Appliance:
Un appliance es un dispositivo de tipo servidor que provee una aplicación informática para
proporcionar una determinada funcionalidad. Está diseñado para que el usuario final no tenga
que entender los detalles del sistema operativo, de los comandos asociados o de los diversos
componentes software sobre los que funciona dicha aplicación. Dichos dispositivos tienen su
hardware y/o software preconfigurado por el fabricante. El usuario gestiona y administra la
funcionalidad suministrada, a través de una sencilla interfaz de usuario. Normalmente este
tipo de dispositivos están diseñados para gestionarse en remoto (vía web) después de la
configuración inicial.
WhiteBearSolutions genuinely open (WBSgo)
En el caso de un appliance físico se proporciona tanto la plataforma hardware como todo el
software necesario instalado en la misma.
En el caso de un appliance virtual se proporciona toda la plataforma software lista para ser
desplegada en un entorno de virtualización (Vmware vSphere, Citrix Xen, Microsoft HiperV,
Redhat KVM, Virtual Box...) por estar normalmente empaquetada en un archivo de despliegue
compatible con este tipo de entornos.
En resumen un appliance proporciona las siguientes ventajas:





Tiene incluidos todos los componentes necesarios para funcionar.
Se abstrae gran parte de la complejidad que entrañaría integrar todos los
componentes que incluye.
Se despliega fácilmente.
Se actualiza fácilmente.
Se gestiona fácilmente.
o Uso de open source y estándares:
El uso de código abierto y estándares nos permite la incorporación de nuevas funcionalidades
en tiempos muy razonables desde la decisión de su incorporación al producto (mejora del
Time-to-Market). Asimismo, nos permite entender mejor dichos componentes, mejorarlos y
corregir posibles errores que pueda tener. Los estándares nos permiten asimismo garantizar la
interoperabilidad con el ecosistema a integrarse, y por supuesto a localizar de una manera más
fácil recursos humanos capaces de administrar y evolucionar nuestras soluciones desplegadas
en los clientes.
Finalmente nos permite trasladar un modelo de negocio a los clientes de pago por servicios y
no de mero pago por licencias de uso, lo que además de reducir de forma drástica los costes
de adquisición, permiten poner el foco de los recursos económicos en lo que creemos que
realmente contribuirá al éxito del despliegue de la plataforma IdM y su posterior
supervivencia.
o Orientación al servicio:
La filosofía de productos como WBSVision es clara: los clientes deben pagar por los servicios
que reciben de nosotros y nuestros partners, y no por meras licencias de uso. El enorme
ahorro de costes en la no adquisición de licencias de uso, y en el despliegue de los sistemas
que componen la plataforma, permiten dirigir los esfuerzos presupuestarios hacia los servicios
de consultoría y despliegue óptimos y adecuados, que permitan garantizar el éxito de un
proyecto de despliegue de una solución IdM. Asimismo, una vez desplegado el proyecto, el
nivel servicio (que es el core de negocio de compañías como la nuestra) permite entregar un
servicio de soporte de nivel integrador directamente desde un fabricante.
Termino con algunos ejemplos de funcionamiento o casos de uso de soluciones open source
como WBSVision:
WhiteBearSolutions genuinely open (WBSgo)









Unificación de credenciales de usuario entre Active Directory / Recursos Humanos /
CRM / ERP...
Unificación de credenciales locales de una organización con Google Apps / Sales Force
/ Cloud...
Sincronización de passwords entre distintas aplicaciones en base a una política
unificada de seguridad.
Servicios de autoservicio para usuarios (cambio password, cambio datos, solicitud de
acceso a recursos...)
Federación de identidades de Google Apps / SalesForce / Cloud... con las credenciales
internas sin necesidad de que la información de las mismas salga de nuestra
organización.
Web Single Sign On.
Autenticación a través de RESTful.
Plataforma de autenticación Radius/802.1x para securización de redes basadas en
cable o portales cautivos en entornos wifi.
Generación de certificados digitales X.509 para su posterior uso en autenticación como
parte de una política de seguridad corporativa.
Sobre WhiteBearSolutions
WhiteBearSolutions genuinely open (WBSgo) es una empresa de tecnología española establecida en
2003 responsable de las soluciones WBSAirback (almacenamiento y backup) y WBSVision (gestión de
servicios de directorio e identidad), que permiten reducir el Coste Total de la Propiedad (TCO) mediante
el uso de tecnologías open source y de su modelo de negocio basado en el formato appliance, y gracias
al concepto de pago de suscripciones de soporte. Todos los productos que comercializa están
compuestos por aplicaciones y componentes desarrollados por la compañía y por terceros, todos ellos
integrados y basados en su totalidad en estándares abiertos, en su mayoría en código abierto. A través
del concepto de “appliance” se provee un dispositivo de tipo servidor con una solución informática
embebida, diseñado para que el usuario pueda gestionar en remoto y vía web la funcionalidad a través
de una sencilla interfaz web, estando todos los componentes necesarios incluidos de forma integrada
desde el primer momento.
Sitio web: www.whitebearsolutions.com
Sobre WBSVision
(OpenSource IdM Suite) Una suite completa de gestión de identidad en una plataforma appliance.
WBSVision supone una nueva generación en los sistemas de gestión y federación de identidades,
incluyendo servicios de directorio y metadirectorio, servicios de autenticación y seguridad, servicios de
red y servicios de interoperabilidad. Permite a través de sus múltiples módulos, provisionar y controlar
el acceso de usuarios, a recursos, repositorios y aplicaciones, en base a perfiles, roles y reglas de
negocio.
Descargar