Julien Eichinger - Fotolia

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Estrategia IAM: Usabilidad vs. completa seguridad

Con la autenticación de usuarios en la gestión de contenido, usted necesita seguridad. ¿Pero, cuánto es demasiado? Estas son algunas de las mejores prácticas para sellar vulnerabilidades con la estrategia de IAM.

Los gerentes de CMS deben considerar una estrategia de IAM que logre un equilibrio entre la facilidad de uso y la seguridad. Haga el uso demasiado fácil, y puede dejar el contenido vulnerable a ataques externos. Agregue demasiada seguridad, y los usuarios internos no tendrán acceso al contenido que necesitan, o peor aún, improvisarán soluciones que introduzcan nuevas vulnerabilidades.

Los planes de administración del acceso al repositorio de contenido deben estar regidos por un conjunto de indicadores clave de rendimiento relacionados con la facilidad de uso, la facilidad de administración y la postura de seguridad. La facilidad de uso se puede medir con las llamadas al servicio de asistencia al usuario. La facilidad de administración se puede medir con el tiempo requerido para configurar y administrar usuarios de gestión de contenido. La postura de seguridad puede medirse con un análisis de posibles brechas de seguridad.

Los principales desafíos de seguridad para las empresas actuales incluyen el acceso de apoyo a un número creciente de dispositivos y la apertura de acceso a una variedad de servicios en la nube y aplicaciones empresariales heredadas. La gestión de identidades para CMS debe funcionar en conjunto con estos servicios para proporcionar el mejor equilibrio entre la seguridad y facilidad de acceso.

Una buena estrategia de IAM para un CMS debe implementarse en coordinación con los procesos de gestión del ciclo de vida de la identidad en todas las aplicaciones empresariales; de lo contrario, la creación de un silo de administración de identidades para el CMS puede agregar una carga administrativa y crear barreras para los creadores de contenido. Como resultado, los administradores de CMS sobrecargados probablemente tomarán atajos que introducen nuevos problemas.

Comience convenciendo a la gerencia

La adopción de una buena estrategia de gobernanza de identidad debe comenzar con una gestión de alto nivel. Esto puede atraer la inversión adecuada y el apoyo de las partes interesadas en toda la empresa. Esto también puede conducir a la creación de un equipo de planificación encargado de implementar una arquitectura de gestión de identidad que admita múltiples sistemas CMS, así como aplicaciones internas y servicios en la nube.

Un buen punto de partida para vender liderazgo gerencial sobre la inversión en la administración de ID es mostrar los costos de una estrategia de IAM deficiente. El costo más obvio es la cantidad de llamadas al servicio de asistencia relacionadas con el inicio de sesión en el sistema CMS. Esto supone una carga para el equipo de la mesa de ayuda, reduce la productividad de los empleados y puede afectar la experiencia de usuario de los estudiantes y los clientes.

Las encuestas de empresas e instituciones han encontrado que, en algunos casos, el 50% de todas las llamadas al servicio de asistencia técnica están relacionadas con desafíos de acceso. Conceder acceso a los usuarios de gestión de contenido puede ser un desafío cuando inician sesión en varios dispositivos. Algunas técnicas de seguridad, como la autenticación multifactor, pueden agregar nuevos problemas si un usuario no tiene acceso a un teléfono inteligente. Una buena consideración al adoptar herramientas IAM es el soporte para funciones de inteligencia artificial (IA) que automatizan los procesos de recuperación de contraseñas para un usuario legítimo de gestión de contenido, lo que puede disminuir la carga de los empleados para abordar tickets para estas tareas básicas.

Otra buena estrategia es identificar el impacto de las brechas en la industria de la empresa. Las brechas de seguridad de CMS han provocado la pérdida de datos y la pérdida de acceso. Los ejemplos de alto perfil de pérdida de datos incluyen la brecha de Sony, que resultó en la pérdida de guiones y películas.

La pérdida de acceso a los datos también ha llegado a los titulares recientes, sobre todo con la reciente avalancha de ataques de ransomware contra varios hospitales, cuyos sistemas de registros de pacientes fueron encriptados en su contra. Además de los costos directos de estas brechas, las empresas en industrias reguladas pueden estar sujetas a multas y sanciones relacionadas con el cumplimiento de la Ley de Portabilidad y Responsabilidad de Seguros Médicos, la Industria de Tarjetas de Pago y los requisitos de la Ley Sarbanes-Oxley.

Planifique la fatiga del usuario

El aumento de las aplicaciones web para consumidores supone una tremenda carga sobre los usuarios de gestión de contenido para administrar contraseñas múltiples en el trabajo y en el hogar. Esto puede llevar a la reutilización de contraseñas en los servicios, la adopción de frases comunes y políticas deficientes de administración de contraseñas.

La reutilización de contraseñas puede ser un problema, ya que el compromiso de las credenciales de un usuario en un servicio puede provocar la brecha de un sistema CMS empresarial. El análisis de los archivos de contraseñas públicas violadas encontró que hasta el 10% de todas las contraseñas son frases comunes, como 12345 o contraseña. Las empresas pueden mitigar este riesgo mediante el uso de soluciones de IAM que prohíben estas contraseñas comunes.

Otra buena estrategia es habilitar el inicio de sesión único en todas las aplicaciones empresariales. Esto puede ser más complejo cuando los servicios abarcan múltiples sistemas empresariales y en la nube. Los gerentes de CMS deben considerar aprovechar los servicios de identidad federada que pueden ayudar a unir Active Directory, el protocolo ligero de acceso a directorios y varios servicios de identidad en la nube.

Puede ser difícil aplicar políticas contra la reutilización de contraseñas, ya que los administradores no tienen visibilidad de las contraseñas que un usuario mantiene para otros servicios. El uso de autenticación multifactor puede ayudar a reducir este riesgo al requerir que los usuarios confirmen los mensajes enviados a un teléfono inteligente u otro dispositivo.

Para información altamente confidencial y usuarios privilegiados, las empresas también deberían considerar requerir a los usuarios cambiar las contraseñas de manera programada. Sin embargo, esto agrega una carga adicional, y es probable que conduzca a más llamadas a la mesa de ayuda.

Planifique la fatiga del administrador

Una buena estrategia de IAM para los sistemas CMS debería minimizar la carga en los administradores con procesos de gestión de identidades. Una buena práctica es asignar privilegios a los roles o clases de usuarios en lugar de a los individuos. Si un usuario requiere nuevos privilegios, se le puede asignar un nuevo rol.

Otra buena estrategia a considerar es adoptar la administración del ciclo de vida en la asignación de privilegios. Si un empleado se va o es despedido, sus privilegios de CMS deben rescindirse automáticamente a través de algún proceso de recursos humanos, en lugar de requerir un trabajo manual por parte del administrador de CMS.

Del mismo modo, los permisos deben establecerse automáticamente para que finalicen en una fecha específica para usuarios con un tiempo de vida útil determinado. Por ejemplo, los trabajadores contratados deben tener sus credenciales automáticamente revocadas al final de sus contratos.

Las empresas también necesitan una política para cambiar automáticamente las contraseñas cuando se informa que las computadoras portátiles, teléfonos inteligentes o tabletas se pierden o son robados.

Espere una brecha

Lo mejor que pueden hacer los administradores de CMS para reducir la carga de los usuarios y administradores de la gestión de contenido es aprovechar las herramientas de IAM que identifican patrones de comportamiento sospechoso. Esto puede incluir múltiples intentos de inicio de sesión, inicios de sesión desde nuevas direcciones IP, nuevos tiempos de uso y pequeños aumentos significativos en lecturas o escrituras en el sistema CMS.

Sin embargo, simplemente enviar una avalancha de alertas de seguridad puede abrumar a los administradores de seguridad que supervisan los sistemas CMS. Una práctica mucho mejor es buscar herramientas y servicios de IAM que admitan cierto nivel de análisis, agregación y escalamiento. Esto permitirá que los equipos de seguridad centren su atención en las amenazas más probables.

También es importante encriptar los archivos de la base de datos de contraseñas en reposo usando tecnologías como el Cifrado de Datos Transparente (TDE). Aunque un sistema CMS protege el acceso a la base de datos de contraseñas a nivel de la aplicación, los datos en sí mismos pueden almacenarse en un servidor como texto sin formato. Si los hackers encuentran una forma de acceder directamente a este archivo fuera de la API de CMS, pueden recuperar todo el archivo de contraseña de CMS. TDE hace que sea más difícil para los piratas informáticos obtener los datos de las contraseñas mediante el cifrado del propio archivo de contraseñas, mientras que el CMS puede solo limitar el acceso al mismo.

Implementar una buena arquitectura para la gestión de identidades para un CMS es un verdadero acto de equilibrio. Es probable que una mayor seguridad genere más problemas de acceso para el usuario y una productividad reducida. Un enfoque pragmático consiste en cuantificar los costos reales y potenciales. Esto puede ayudar a un administrador a formular una estrategia para evaluar las herramientas de IAM que funcionan con el CMS para obtener el mayor beneficio neto con la menor inversión.

Este artículo se actualizó por última vez en abril 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close