Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura Fundamental
Contenido
Palabras clave:
Identificación, autenticación, autorización, trazabilidad, mecanismos de identificación.
1. Procesos de la Gestión de Identidad
Como veíamos en la primera lectura fundamental sobre Conceptos básicos en gestión de identidad,
contamos con cuatro procesos que nos permiten gestionar o administrar el ciclo de vida de la
identidad. Estos procesos corresponden a la identificación, autenticación, autorización y trazabilidad.
Luego viene el proceso de autenticación, donde validamos la identidad. Es decir, que la identidad es
quien dice ser. Para esto nos valemos de un conjunto de mecanismos y técnicas que permiten validar
esa identidad tales como el uso de contraseñas, certificados digitales y biometría entre otros. Esto lo
revisaremos en la unidad 3.
Una vez hemos validado la identidad, es decir, confirmado que el usuario es quien dice ser a partir de
revisar ese conjunto de atributos/características y factores de autenticación que presente, realizamos
la validación de los permisos de acceso que tiene el usuario sobre los recursos que está tratando de
acceder. Para esto partimos de realizar la asignación de permisos y privilegios sobre los recursos e
información. Tanto la asignación de permisos como su control se implementan bajo un modelo de
control de acceso. Veremos como parte de la unidad 2 los modelos de control de acceso utilizados
actualmente, así como los conceptos relacionado para su implementación. Aquí hablamos de roles,
permisos, privilegios, acciones sobre los recursos y aspectos a considerar como la segregación de
funciones (SoD Segregation of Duties por sus siglas en inglés) entre otros.
Finalmente, en esta línea de procesos y que da un valor relevante a la gestión de identidad tenemos
el proceso de trazabilidad. A partir de la trazabilidad contamos con la posibilidad de realizar el
seguimiento sobre las acciones que realizan las identidades, con el fin de conocer quién hizo qué,
cuándo y sobre qué recursos.
Actualmente las organizaciones cuentan con mecanismos, herramientas y soluciones que les
permiten gestionar sus usuarios y sus accesos, sin embargo, en varias ocasiones se quedan cortas en
lograr visualizar cuales son las acciones realizadas por estos con el fin de contar con información que
permita establecer acciones preventivas, detectivas y correctivas de cara a incrementar las medidas
de seguridad sobre el acceso a los recursos. Aquí es donde el proceso de trazabilidad juega un papel
primordial en todo el proceso de gestión de identidad.
POLITÉCNICO GRANCOLOMBIANO 2
Autorización Trazabilidad
Autenticación
Identificación Asignar y validar Saber que
Validar que
Asignar los los permisos de identidad
el ususario es
atributos. acuerdo a los accedió a que
quien dice ser.
privilegios. recurso.
Vamos a tratar un caso práctico de cara a situar estos procesos en el contexto de negocio de una empresa.
Como paso siguiente, el área de recursos humanos remite a las áreas correspondientes las solicitudes
para asignar y adecuar el puesto de trabajo, asignar el equipo de cómputo con los accesos a recursos
y aplicaciones requeridos, asignar el carné de identificación y la tarjeta de proximidad dentro de la
POLITÉCNICO GRANCOLOMBIANO 3
organización, así como los permisos de acceso físico para que pueda desplazarse por las diferentes
áreas al interior. Para ello en las solicitudes se indican datos mínimos que permiten a las otras áreas
darse una idea de quién es el trabajador y que accesos deben conceder. Por ejemplo, si el nuevo
colaborador es un administrador de infraestructura tecnológica tendrá acceso al centro de cómputo
ubicado en un área restringida dentro de las instalaciones donde solo podrá acceder aquel que cuenta
con permisos en su tarjeta de proximidad y su huella biométrica habilitada. Está información (el
nombre del colaborador, su número de identificación o el código de identificación asignado al interior,
el cargo, y la solicitud de permisos de acceso al centro de cómputo) debe ser recibida por el área de
seguridad física quien estará encargada de habilitar el ingreso al centro de cómputo.
Una vez realizado este proceso, cuando nuestro administrador de infraestructura tecnológica
ingrese a su equipo de cómputo por primera vez, las credenciales de acceso que ingresa (usuario
y contraseña) serán validadas en el sistema (pensemos inicialmente en el ingreso a la red interna
a través de un servicio de directorio¹), donde el sistema confrontará esas credenciales con las
almacenadas en su base de datos para revisar que corresponden a credenciales válidas y autorizar el
ingreso a la red, de lo contrario denegará en acceso. Esto corresponde al proceso de autenticación.
¹ Un servicio de directorio puede referirse como una aplicación, conjunto de aplicaciones o plataforma que sirve para gestionar y almacenar los datos
contenidos en un directorio. Sobre este concepto profundizaremos en la unidad tres
POLITÉCNICO GRANCOLOMBIANO 4
De forma similar sucede con el ingreso a cada recurso lógico y aplicación, el usuario ingresará sus
credenciales y los recursos y aplicativos validarán que las credenciales ingresadas corresponden
con credenciales guardadas previamente en sus bases de datos o repositorios. Aquí aprovecho para
introducir un concepto que veremos más adelante en la unidad 3 cuando hablemos de mecanismos
y técnicas de autenticación que es single sign-on o SSO cuyo objetivo es habilitar al usuario para
acceder a diferentes recursos y aplicativos utilizando una única instancia de identificación, en
otros términos, una única autenticación. El concepto de SSO se encuentra asociado a la Gestión
de Identidad dado que es común buscar implementarlos en conjunto. Si nuestra organización
ejemplo contará con un esquema de autenticación SSO, permitiría que nuestro Administrador de
infraestructura tecnológica se conectará a los diferentes recursos a partir de un único proceso de
autenticación. No es tan simple como parece y es importante no confundir el concepto de SSO con
Gestión de Identidad dado que no son lo mismo, sino que trabajan en conjunto. Esto lo veremos de
forma posterior.
POLITÉCNICO GRANCOLOMBIANO 5
de tiempo con el fin de evitar que usuarios no autorizados ingresarán a los recursos valiéndose de
credenciales ajenas (lo que llamaríamos suplantación de identidad). Parte de realizar las actividades de
autorización incluye gestionar la inactivación de permisos cuando sea requerido. Aquí vemos como el
ciclo de vida de la identidad presentado en el escenario anterior está relacionado con los procesos de
gestión de identidad.
Finalmente, como mencionamos en un principio uno de los valores agregados que nos da la gestión
de identidad es la posibilidad de realizar seguimiento sobre las acciones de las identidades. Hay
organizaciones donde los usuarios realizan diferentes acciones sobre los recursos e información sin
que se lleve una traza sobre esas acciones. Hablamos de modificación, lectura, escritura y ejecución
sobre información, datos, aplicaciones con lo cual no es posible establecer quién hizo qué. En
nuestro ejemplo, si el administrador de infraestructura tecnológica realiza varias acciones sin que
contemos con el seguimiento sobre las mismas, entonces es posible que sean ejecutadas acciones no
autorizadas sin que tengamos conocimiento de ello (por ejemplo, un cambio de configuración en un
servidor). Así, la gestión de identidad con el proceso de trazabilidad nos permite realizar seguimiento
de estas acciones con el fin de identificar posibles brechas en seguridad y controlar el acceso a los
diferentes recursos basándonos en reglas predefinidas.
En todo momento, cada proceso de la Gestión de Identidad busca establecer medidas de control
en la gestión de usuarios y sus accesos sobre los recursos. Posterior en los siguientes escenarios
profundizaremos en cada uno de los procesos y revisaremos aquellos temas y conceptos asociados
como los mencionados en esta contextualización. Lo importante en este punto de nuestra ruta de
aprendizaje, es comprender la razón de implementar estos procesos, como hoy en el día a día de
una organización los podemos analizar y que debemos considerar de cara a realizar una adecuada
implementación de controles de seguridad.
POLITÉCNICO GRANCOLOMBIANO 6
implementar este tipo de solución. Esto porque todo en la vida no es ganancia y también hay
implicaciones negativas que debemos conocer, que pueden afectar una implementación exitosa y que
pueden depender del tipo de organización.
Cómo mejorar...
Aunque la gestión de identidad tiene unos procesos estándar, considera las
mismas etapas del ciclo de vida y maneja unos conceptos y herramientas
generales de cara a gestionar y controlar accesos, no debemos considerar
que la misma implementación estándar aplica en cualquier organización.
Es importante entender la organización, identificar cuáles son sus
procesos, su cultura y estructura y adaptar la solución de gestión de
identidad a los requerimientos específicos de la organización.
Todas estas cuestiones deben ser analizadas de cara a lograr identificar cuáles son las ventajas de
implementar la solución y cuáles pueden ser los problemas a los que nos enfrentemos que dificulten o
eviten una implementación exitosa.
»» Disminución de los riegos relacionados con robo de identidad y amenazas que afecten de forma
directa o indirecta la información asociada a datos de usuarios (apoya la protección de los datos).
POLITÉCNICO GRANCOLOMBIANO 7
»» Partiendo de la buena práctica del menor privilegio, el manejo de roles para el control de acceso
determina que permisos tienen los usuarios para el acceso a la información. Estos permisos son
asignados de acuerdo con el rol que desempeña el usuario y a lo que requiere conocer y manipular.
POLITÉCNICO GRANCOLOMBIANO 8
Como desventajas o problemas asociados a la implementación además de los ya indicados podemos
resaltar los siguientes:
»» Una solución de gestión de identidad actualmente puede resultar costosa para una organización.
Las soluciones ofrecidas en el mercado de cara a software, hardware y consultoría implican una
inversión fuerte lo cual en organizaciones con recursos económicos limitados puede resultar
imposible puesto que no es costo beneficioso.
»» En el inicio se mencionó el aspecto de los sistemas legados. Este es uno de los puntos cruciales
desde la visión técnica que puede tener la gestión de identidad, al igual que los problemas de
integración y el manejo de interfaces entre aplicaciones. Como lo indicamos en los procesos
de la Gestión de Identidad, puede implementarse una solución de IDM en conjunto con una
solución de SSO e incluso es usual que las organizaciones quieran realizar esto en conjunto. Sin
embargo, cuando contamos con sistemas legados, cuyas interfaces con los sistemas actuales
son complejas, tenemos un sistema AS/400 con una base de datos DB2, por otro lado, bases
de datos Oracle, y en otra instancia bases de datos SQL server que cuentan con diferentes
estructuras, puede llegar a ser complejo hablar de interfaces e interconexiones que permitan
establecer procesos de autenticación, así como el manejo de identidades únicas.
POLITÉCNICO GRANCOLOMBIANO 9
Las anteriores desventajas y problemas son ejemplos de lo que podemos encontrarnos en una organización,
que por una parte pueden apalancar nuestro proyecto en una implementación como ser puntos
bloqueantes en el mismo. Por ello es importante analizar esos factores como parte del caso de negocio de
cara a establecer la viabilidad técnica, económica y funcional de la implementación en la organización.
¿Sabía qué...?
La implementación de gestión de identidad, así como otras soluciones de
seguridad de la información las podemos ver y enfocar bajo el marco de
gestión de proyectos.
Partimos de establecer un caso de negocio que de origen a un proyecto y
a partir de la definición de etapas realizar la implementación de la solución.
La identificación se considera relevante cuando consideramos que los elemento utilizados para asignar
la identidad pueden ser, por ejemplo, datos personales sujetos a conceptos como la protección de
la privacidad. Cuando mencionamos de forma previa que como información y datos tomados de
los usuarios para identificarlo dentro de la organización podemos tener su nombre, su número de
identificación, información referente a la salud (factor RH, tipo de sangre, información médica),
información financiera como el número de cuenta para consignación de nómina, información familiar,
referencias personales, familiares y laborales, antecedentes disciplinarios, referencias académicas y
laborales, entre otros, es necesario considerar que alguno de estos datos puede ser sensible respecto
a otro y por ello tener implicaciones adicionales frente a su protección.
POLITÉCNICO GRANCOLOMBIANO 10
Escoger adecuadamente los elementos (características y atributos) que permitan identificar a la
identidad resulta importante dado que no es lo mismo proteger un ID de identificación personal
(por ejemplo, un número de cédula de ciudadanía que puede considerar información pública) versus
proteger los datos biométricos de un usuario (que está catalogado en la legislación colombiana como
un dato sensible de máxima protección).
Algunos de los aspectos importantes que pueden ser considerados a la hora de elegir los elementos de
identificación son los siguientes:
»» Que sea un elemento universal de cara a que todas las identidades lo posean. Por ejemplo, un
rasgo biométrico como la huella dactilar o el número de identificación.
»» Que sea un elemento particular de cara a que para cada identidad ese elemento sea único. Cada
persona cuenta con una huella dactilar única, así como con un número de identificación único.
»» En algunos casos que sea un elemento permanente en el tiempo, de cara a no tener que
modificar nuestros parámetros de identificación o que esto se de con la mínima frecuencia. Por
ejemplo, una persona puede conservar su huella dactilar hasta la muerte a excepción que sufra
un accidente que afecte su condición física como sería el caso de una quemadura.
Partiendo de las anteriores reglas básicas, podemos establecer el conjunto de elementos que nos
permitan identificar a una identidad.
POLITÉCNICO GRANCOLOMBIANO 11
Referencias bibliográficas
Montoya, J. A.; Restrepo, Z. (2012). Gestión de Identidades y control de acceso desde una perspectiva
organizacional. Medellín, Colombia: Revista de ingenierías USBMED. Recuperado de http://revistas.
usb.edu.co/index.php/IngUSBmed/article/view/261/175
PCI Security Standards Council (2016). Payment Card Industry (PCI) Data Security Standard.
Recuperado de https://www.pcisecuritystandards.org/
Gobierno de Estados Unidos (2002). The Sarbanes-Oxley Act of 2002. Recuperado de http://www.
soxlaw.com/
U.S. Department of Health & Human Services (1996). Health Insurance Portability and Accountability
Act. Recuperado de https://www.hhs.gov/hipaa/index.html
POLITÉCNICO GRANCOLOMBIANO 12
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 13