Por Claudio Ordóñez- Director de Ciberseguridad de Accenture Chile
La autorización de acceso debe estar continuamente adaptándose a las necesidades de la empresa, siendo fundamental a la hora de establecer un marco continuo, adaptable y de confianza cero. La autorización lo abarca todo, afectando a la fuerza laboral, los consumidores, clientes, ciudadanos, bots, máquinas, entre otros, por lo que es esencial su buen funcionamiento.
La autorización de acceso ha ido evolucionando a medida que ha ido aumentando la complejidad de los sistemas. En un principio, los marcos eran simples listas de control de acceso (ACL), sin embargo, con el tiempo, las empresas comenzaron a depender mucho más de los ordenadores y sistemas, haciendo que las ACL fueran cada día más complejas.
Posteriormente, la autorización de acceso evolucionó al control basado en roles, para luego pasar a uno basado en atributos, con una arquitectura estandarizada en la que se incluyen puntos de aplicación de políticas; puntos de decisión de políticas; puntos de información de políticas, puntos de administración de políticas y lenguaje de marcado de control de acceso extensible (XACML). Sus principales objetivos son externalizar la autorización, centralizar la gestión de las políticas y estandarizar su aplicación.
Las organizaciones se enfrentan a diferentes retos como la falta de soluciones de los proveedores, la incapacidad de gestionar las políticas y el escalado para el rendimiento. Si bien algunas empresas han implementado soluciones para ciertos ámbitos específicos, la mayoría opta por la creación de soluciones personalizadas, debido a la inflexibilidad de las herramientas y a las preocupaciones de rendimiento.
Como respuesta a los diferentes problemas derivados de la autorización de acceso, está avanzando el desarrollo de soluciones basadas en inteligencia artificial y el aprendizaje automático para generar y gestionar las políticas de forma dinámica.
¿Cómo avanzar? En primer lugar, las organizaciones deben entender sus capacidades, dominios y casos de uso relevantes. La segunda recomendación es trabajar estrechamente con la empresa para poder comprender las capacidades actuales en materia de autorización, sus políticas y cómo éstas impulsan la interacción y comportamientos empresariales. En tercer lugar, se debe considerar integrar la autorización junto a los procesos y herramientas centrales de la gestión de identidades y accesos (IAM).
Como cuarta recomendación, es importante centrarse en las aplicaciones y sistemas que aprovechen el uso de la nube para poder integrarlos junto a las herramientas de autorización. Así también, siempre se debe recordar que la autorización abierta limita el alcance de la asignación de reclamos a ámbitos, derechos y recursos. Finalmente, para mejorar el rendimiento, se debe almacenar en caché en diferentes niveles.
En resumen, la autorización de acceso es una capacidad crítica que debería estar presente en todas las organizaciones en simultáneo a la modernización de sus servicios de TI, seguridad y negocios.
