“Vemos consistencia a nivel europeo en los retos que las compañías deben afrontar en el ámbito de gestión de identidad y Gobierno de los accesos. Los CIOs, CISOs y responsables de seguridad en general deben garantizar la función de seguridad en su vertiente de proteger, defender y evitar incidentes a la vez que facilitar, agilizar y habilitar el negocio. Es ahí donde entra en juego el triángulo 'Personas-Procesos-Tecnología' para aportar visibilidad y control de lo que está ocurriendo en la organización; para tener respuestas para el negocio”, señala Ramsés Gallego, Security Strategist & Evangelist de Quest Software.

En su opinión, “con el universo de datos desestructurados que existen y, lamentablemente, información 'huérfana' de responsables, de dueños de la misma, los accesos, permisos y privilegios no se gestionan centralizadamente y eso provoca opacidad y un mayor factor de exposición al riesgo, especialmente porque se desconoce quién accede a qué información, cuándo, cómo y porqué. La empresa de hoy es conocedora que debe ir un paso más allá de la gestión del día-a-día y aportar una capa superior de Gobierno de la información; en un mundo altamente regulado y con auditorías constantes, es preciso hacerse las preguntas correctas en el momento correcto y ser capaz de obtener respuestas relevantes para el negocio y quienes están interesados en el mismo (incluyendo empleados, compañías colaboradores, clientes, AAPP,…)”.

“Creemos que ha llegado el momento de adoptar y adaptar medidas de índole organizativa (políticas, procesos y procedimientos) pero también de carácter técnico (tecnología y herramientas) que automaticen la gestión de la identidad y los accesos a la información. Es responsabilidad corporativa proteger la propiedad intelectual y defender a la organización. Y empezar por el Gobierno de la identidad y acceso es un magnífico camino”, concluye Gallego.

Las mejores prácticas

Soluciones como Quest One Identity Solutions ofrecen un completo conjunto de capacidades para suministrar controles completos en una arquitectura flexible y modular, orientada a resolver una gran variedad de problemas de seguridad y a evitar los riesgos que plantean las malas prácticas en gestión de identidades y accesos. Los CIOs pueden estar más tranquilos si siguen esta guía de buenas prácticas:
• Foco en la educación – Para la mayoría de las actuales amenazas de seguridad, la prevención y la mitigación está ligada a la educación, la diligencia y los procesos –soportados por la tecnología cuando sea necesario- que se suman a las contraseñas fuertes (que se cambian con regularidad).
• Adoptar una postura de seguridad del “mínimo privilegio” – Dar a cada empleado los mínimos privilegios necesarios para acometer las tareas requeridas y garantizar que los derechos de acceso innecesarios sean revocados cuando el empleado cambie de puesto.
• Emplear una política de revisión de accesos – Proporcionar alertas de acceso regulares y automatizadas que notifiquen a dos o más administradores los cambios de acceso, los cambios de empleados u otras cuestiones críticas.
• Lograr la conformidad normativa – Implementar el control de accesos y la separación de áreas y tecnologías, y desarrollar, implementar y reforzar la política de seguridad en el acceso a todo el sistema.