Uno de los elementos críticos en
todas las organizaciones de TI es la gestión de usuarios,
tanto por lo que afecta a su faceta operativa y eficiencia
de costes, como en la parte de control de riesgos y cumplimiento
de políticas y normativas. A grandes rasgos, la gestión
de usuarios otorga a los distintos empleados el acceso a
las aplicaciones y recursos que precisan para desarrollar
su trabajo. Para simplificar y automatizar este proceso
pronto se desarrolló el concepto de agrupación
de usuarios por roles, y de gestionar los accesos (a recursos)
basándose en las funciones (RBAC) que desempeñan
los usuarios. Desde esta perspectiva, la Gestión
de Roles es un componente fundamental de los proyectos de
Gestión de Identidades. Sobre el papel todo esto
suena muy bien, pero en la práctica se dan una amplia
serie de circunstancias que complican la aplicación
de modelos de gestión basados en roles.
La realidad
Todas las organizaciones tienen un grado
de complejidad que hace muy difícil reflejar todos
los usuarios bajo roles puros, por ello, y siguiendo la
típica ley de Pareto, la mayor parte de los derechos
de usuarios se pueden reflejar en un número suficientemente
pequeño y operativo de roles (o grupos). El problema
es que a partir de ahí, el resto se tiene que cubrir
con asignaciones ad-hoc, que van creciendo en número
y complejidad con el tiempo. Además, todas las organizaciones
suelen otorgar estos nuevos accesos ad-hoc de forma eficiente
cuando se necesitan, pero casi todas fallan en eliminar
esos accesos cuando ya no son necesarios. Esto apunta a
la otra cara del problema, la validación y auditoria
de que los derechos otorgados a usuarios se está
haciendo de forma correcta en cuanto a nivel de riesgo o
cumplimiento de políticas (empleados con accesos
sobre aplicaciones y recursos heredados de cargos anteriores
pero ya no necesarios, ni convenientes, o separación
de responsabilidades). Así pues, la gestión
de roles es un problema… ¿o una solución?
La solución
La verdad es que la gestión de roles
no sólo es una solución sino también
una necesidad. No podemos entenderla como algo que se hace
una vez y se mantiene para siempre, sino que es una función
viva que requiere atención y monitorización
continua; para ello se requieren herramientas que faciliten
esta labor, encargadas de la consolidación y correlación
de la información de accesos, y de la ejecución
de informes y simulaciones de escenarios. Ya existen de
forma implícita roles o grupos en nuestros Sistemas
de Información, que resultan alterados cada vez que
se solicitan nuevos accesos, o la modificación de
los existentes. Pero lo importante es que el conocimiento,
identificación y correlación de estos roles
(implícitos o explícitos) nos aportan valiosa
información para la gestión de identidades,
análisis de riesgos y cumplimiento de normativas
y auditorias
Utilidad de la Gestión de Roles
en la Gestión de Usuarios
En una organización típica
del rango de mil usuarios, y con una combinación
de servicios de productividad interna (correos, ficheros,
impresoras) y aplicaciones, pronto se llega a las decenas
de miles de accesos que hay que gestionar, con una tasa
probable de centenares cambiando todos los días.
No cabe duda de que en estas circunstancias las herramientas
de gestión de usuarios son de gran ayuda para administradores
de sistemas y responsables de seguridad. Pero tanto si se
dispone de esta herramienta como si no, o se esté
en el proceso de implantación u optimización
de procesos de gestión de usuarios, resulta muy útil
disponer de una visión común de los distintos
repositorios de usuarios, de las relaciones que hay entre
los múltiples derechos de un mismo usuario, y la
información del conjunto de derechos que son compartidos
por grupos más o menos numerosos de usuarios, o por
el contrario, todos aquellos derechos definidos pero huérfanos
de asignación.
La Solución de Gestión de
roles permite, por lo tanto, disponer de esa visión
conjunta, y la identificación de los roles técnicos
ya existentes en los sistemas. Esto puede facilitar, de
gran manera, la identificación de roles funcionales
o anomalías en las asignaciones, pero también
facilitar la operativa de la gestión de usuarios,
dado que siempre es más fácil asignar a un
nuevo empleado los privilegios ya existentes para un compañero
de departamento, que ir asignándolos poco a poco
a medida que los vaya pidiendo. Por otra parte, si ya se
dispone de herramientas de gestión de usuarios (provisioning),
la Gestión de roles es un complemento muy importante
para perfilar usuarios, modelizar los roles disponibles
y conservar su limpieza y eficacia. Además, como
se detalla en apartados posteriores, facilitan y completan
las labores de análisis de riesgos y auditoria.
Utilidad de la Gestión de Roles
en Análisis de Riesgos
La Gestión de la Seguridad está
íntimamente relacionada con la valoración
y gestión de riesgo. En el enfoque cualitativo de
la gestión de riesgos, se determinan las amenazas,
vulnerabilidades y controles necesarios para cubrir las
mismas. Intrínsecamente todo esto parte de la identificación
de los activos de la organización, que incluyen las
aplicaciones y fuentes de información sensible. Normalmente
se establece la existencia o no de políticas (siguiendo
la ISO 17799) de control de acceso, pero esto no resulta
suficiente dado que las políticas no siempre se implantan
y mantienen de la forma adecuada. Por ello es necesario
contrastar (auditar) qué usuarios tienen acceso y
con qué características, por ejemplo mediante
una valoración ACIDA (Autenticación, Confidencialidad,
Integridad, Disponibilidad y Auditoria) a esos activos más
sensibles. La forma de obtener estos datos es indagar en
los distintos sistemas de Información que alojan
esos activos, y correlar los privilegios y derechos de accesos
de los empleados con los grupos y funciones a que pertenecen.
Éste vuelve a ser el ámbito de las herramientas
de Gestión de Roles, que agilizan y garantizan la
completitud de esta información, que de otro modo
requiere un cuidadoso y prolongado trabajo manual.
Utilidad de la Gestión de Roles
en Auditoría y Cumplimiento
Cada vez es mayor el esfuerzo necesario
para justificar la adaptación y cumplimiento de las
normativas existentes a las que están obligadas nuestras
organizaciones. Y en todas ellas, al igual que en el caso
de Análisis de Riesgos, los usuarios juegan un papel
determinante. En general, existe un conjunto de medidas
o buenas prácticas que requieren estas normativas
(o las propias políticas internas de Seguridad o
buen Gobierno):
-
Permitir acceso
sólo a lo que resulta necesario. Las compañías
deben asignar derechos de acceso a los empleados sólo
a aquellos recursos que necesitan para desempeñar
sus funciones
-
Acceso autorizado
a información sensible. Las compañías
deben garantizar que sólo los usuarios autorizados
tienen acceso a información sensible (que precisamente
es la sujeta a normativa)
-
Separación
de responsabilidades. Las compañías
deben asegurar qué prácticas de buen gobierno
se aplican en las asignaciones de recursos, por ejemplo
los que deciden un pedido no deberías ser los que
ejecuten los pagos.
-
Todo esto se tiene
que verificar y justificar mediante auditorias
periódicas.
Para todo ello se tiene que contrastar
la información de privilegios disponibles en múltiples
repositorios: bases de datos de recursos humanos, los propios
sistemas operativos, meta directorios y herramientas de
gestión de usuarios. En el caso de disponer de herramientas
de provisioning, los informes suministrados por la herramienta
claro que son de ayuda, pero pueden no ser suficientes para
las labores de auditoria y cumplimiento dado que no siempre
cubren todos los sistemas, o cambios introducidos por fuera
de la herramienta, pero fundamentalmente porque estos informes
están pensados de forma unilateral (es decir parte
de los usuarios) y no para combinar y correlacionar información
de múltiples fuentes, que es lo que aporta las soluciones
de Gestión de roles (que están más
pensadas para analizar desde los privilegios hacia los usuarios).
Esto es especialmente importante cuando se trata de determinar
la separación de responsabilidades, o la identificación
de empleados que funcionan como colectores de privilegios,
o la determinación de quién tiene acceso a
información sensible.
Conclusiones
Los roles son algo intrínseco a
la gestión de usuarios e identidades en los sistemas
de información, pero resulta una tarea delicada,
que requiere bastante esfuerzo y que, además, hay
que mantener viva. Por ello, cada vez son más interesantes
las herramientas dedicadas a la Ingeniería y Gestión
de Roles. Estas herramientas son un buen complemento de
soluciones de gestión de usuarios, pero además
pueden funcionar de forma independiente para mejorar estos
procesos en organizaciones que no disponen de sistemas de
provisioning, como herramienta para completar y mejorar
análisis de riesgos, y sobre todo auditorias y gestión
de cumplimiento de políticas y normativas.
No hay que olvidar que detrás
de la gestión de roles hay componentes organizativos
y de negocio de las compañías, pero este tipo
de herramientas automatizan todo el trabajo de extracción
y correlación de la información de accesos,
y permite la simulación de nuevos escenarios organizativos
y de procesos, con lo que se constituyen en uno de los apoyos
esenciales para el trabajo operativo, táctico y estratégico
de los responsables de seguridad y de sistemas de información.
