Temas técnicos

¿Qué es Identity Governance y Administración?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Con las diversas herramientas de gobierno de identidades que existen en el mercado, no es fácil evaluar lo que ofrecen en comparación con una arquitectura de gobierno y administración de identidades con todas las funciones. Como reacción a una directiva de seguridad, con demasiada frecuencia los equipos adoptan un enfoque limitado para gestionar los derechos de los usuarios o cumplir los requisitos de separación de funciones de su organización.

La IGA va más allá de la visibilidad de los derechos, que a menudo se toma como una instantánea en un momento dado. En su lugar, adopta un enfoque holístico e integrador de su gestión. Cuando se construye sobre una sólida infraestructura de gestión del ciclo de vida de las identidades, IGA reúne los componentes críticos de la infraestructura de gestión de identidades y accesos de una organización para garantizar que sólo las personas adecuadas tengan acceso a la información sensible.

Identity Governance y Administración

¿Qué define una solución completa de Identity Governance y Administración?

Una solución IGA sólida se distingue por ofrecer las siguientes ventajas:

Ofrece una visión completa de las cuentas y los recursos: IGA debe contener información sobre la identidad, los derechos y los riesgos de cada recurso gestionado, así como la identidad y la función de las personas que acceden a él.
Proteger contra las aprobaciones automáticas: para evitar las aprobaciones no verificadas de solicitudes de permisos, una solución IGA eficaz incluye flujos de trabajo diseñados específicamente para informar a los propietarios de la información y del negocio, no a los administradores de TI. Para elevar el nivel de inspección de la solicitud, debe ofrecer toda la información pertinente sobre el solicitante y el recurso diseñado para una lectura rápida con indicadores eficaces de productividad y riesgo.
Atestación sólida: ofrece informes precisos que confirman el cumplimiento continuo en lugar de limitarse a informar sobre instantáneas en el tiempo. Cuando sea necesario, una infraestructura IGA bien diseñada puede proporcionar análisis que confirmen el acceso real de grupos específicos de usuarios. El diseño del informe debe ser rápido de revisar y sencillo de generar e incluir en los informes de certificación. Aunque este nivel de atestación ofrece confianza a los equipos de seguridad, requiere que la gobernanza del acceso tenga una estrecha integración con el ciclo de vida de la identidad y los componentes de gestión del acceso del entorno IGA global.

¿Qué valor específico tiene un entorno IGA completo frente a otras soluciones?

Mientras que el gobierno y la administración de identidades gestionan los derechos y ofrecen una sólida atestación para los auditores de seguridad, tiene el potencial de ser un componente fundacional de la infraestructura de gestión de identidades y accesos de una organización:

La gestión de derechos es el elemento fundamental de la estrategia de mínimos privilegios de cualquier organización. La seguridad de mínimos privilegios ayuda a proteger contra las amenazas internas, así como a limitar los daños cuando las credenciales de alguien han sido comprometidas y explotadas. Cuando se hace correctamente, se puede utilizar para guiar e invocar las acciones del ciclo de vida de la identidad en lugar de trabajar independientemente de él.
Uno de los pasos de la incorporación de recursos a una plataforma de gobernanza es definir su riesgo y sus criterios de riesgo. Las definiciones adecuadas del riesgo de los recursos sensibles proporcionan información precisa a los aprobadores y revisores. También pueden ser utilizadas por el servicio de riesgos para dirigir las acciones de gestión de acceso adaptable. Con demasiada frecuencia, los criterios utilizados para los controles de acceso basados en sesiones para posibles acciones de autenticación y autorización se limitan al contexto del usuario (geolocalización, rango de IP, ID del dispositivo, etc.). Tener en cuenta el riesgo del propio recurso ofrece un enfoque más granular y eficaz del acceso adaptable que puede aumentar la seguridad al tiempo que optimiza la experiencia del usuario. Al limitar el número de veces que un usuario es interrumpido para la autenticación multifactor, se reduce la fricción y se optimiza la experiencia del usuario.

¿Qué está haciendo NetIQ para que su solución IGA sea más inteligente?

Aunque lo más importante es establecer una base sólida de IGA, como se ha descrito anteriormente, NetIQ está continuamente ampli ando los límites para que la automatización de la gobernanza sea más completa y eficaz a la hora de ayudar a los propietarios de la información a proteger sus datos. Entre las direcciones de desarrollo a corto plazo del gobierno y la administración de identidades dentro de las infraestructuras de gestión de identidades y accesos se incluyen:

Más allá de proporcionar la mejor información posible en un formato que los aprobadores y revisores puedan comprender rápidamente, la nueva generación de IGA aúna las mejores prácticas de mínimos privilegios y las políticas organizativas para automatizar el análisis de derechos. La elevación automatizada de las puntuaciones de riesgo de su información sensible, así como de los usuarios que acceden a ella, pone de relieve los puntos preocupantes para su revisión y posibles acciones de seguridad.
El escenario de automatización basado en inteligencia descrito en el punto anterior se complementa mejor con análisis de comportamiento del uso real. Este tipo de análisis puede centrarse en identidades y recursos específicos para reevaluar el riesgo que suponen para la organización.
Aunque tradicionalmente la IGA no ha incluido la gobernanza del acceso root a los sistemas, es necesario un enfoque más formal para asegurar el acceso a los datos y ejecutables alojados en el servidor. En la medida en que los administradores de sistemas pueden potencialmente eludir varios mecanismos de seguridad, la importancia de asegurar los privilegios de root es obvia. Más allá de la capacidad de delegar y gobernar diferentes niveles de administración, estos superusuarios tienen tanto acceso concedido que la supervisión avanzada de sus acciones relacionadas con el sistema ofrece información forense potencialmente valiosa.

Un entorno IGA bien construido no es fácil de implantar. Conseguir el apoyo de los ejecutivos y los distintos propietarios de la empresa puede ser un proceso largo y desigual. Conseguir que los propietarios de la información incorporen adecuadamente sus recursos requiere una inversión, al igual que mantenerse en contacto con ellos en caso de que se produzcan cambios en su entorno que requieran actualizaciones. Pero el valor de este tipo de inversión en seguridad reporta enormes dividendos. Permite a las organizaciones ser más ágiles en sus operaciones empresariales digitales al tiempo que mantienen bajo su riesgo.

¿Por qué invertir en Identity Governance y Administración?

Una vez comprendida la naturaleza integral de la IGA, la pregunta natural es si este nivel de inversión es necesario para su entorno. Aunque cada organización puede tener requisitos únicos, a continuación se exponen algunas consideraciones comunes que pueden orientar la profundidad y amplitud de la gestión:

Aunque casi todas las organizaciones necesitan proteger su información financiera y de recursos humanos, también pueden tener o no otros tipos de datos sensibles que merezcan ser controlados:

Información del cliente: este tipo de información varía mucho. Las organizaciones pueden estar sujetas a diversas normativas estatales o federales incluso si están recopilando información de cookies o identidades sociales para personalizar el contenido. También existen otros mandatos mundiales, como el Reglamento General de Protección de Datos (GDPR). Los requisitos del GDPR merecen un nivel de protección IGA porque una vez que se conserva un perfil personal o información financiera, es probable que exista la necesidad de seguridad de mínimo privilegio. También es necesaria la coordinación entre los minoristas y sus proveedores de servicios (PSP) y socios del sector. A menos que estas operaciones sean pequeñas, es difícil imaginarlas cumpliendo los mandatos de privacidad sin una solución madura de gobernanza de la identidad.
Propiedad intelectual: ya sea en forma de información sobre patentes, competencias técnicas o empresariales básicas u otros secretos comerciales, su violación puede suponer un grave riesgo para la organización. Tanto si las organizaciones automatizan sus procesos de concesión de derechos como si no, es probable que se necesite una revisión cuidadosa de los secretos valorados antes de desarrollar una estrategia de gobernanza.
Información del paciente: la transformación digital del sector sanitario ha obligado a los proveedores a automatizar la gestión de sus derechos y la certificación de su información regulada. El paso a los historiales médicos electrónicos (EHR) y otra información sanitaria protegida (ePHI) ha dado lugar a protecciones gubernamentales de la privacidad estrictas, concretas y punitivas. Se trata de un sector plagado de las infracciones de mayor coste en comparación con cualquier otro. Más allá de las pérdidas monetarias, las violaciones de los historiales médicos son perjudiciales para la confianza de los pacientes porque incluyen su información más sensible. La información, tanto sanitaria como financiera, puede utilizarse para cometer fraudes.
Servicios financieros: como otro sector muy regulado, los servicios financieros están sujetos a una serie de normativas diseñadas para evitar la colusión maliciosa y la violación de la privacidad. La privacidad es necesaria para protegerse contra el fraude u otros tipos de robo. Es una afirmación segura que toda institución financiera necesita un gobierno automatizado y se beneficiaría enormemente de una solución que implicara directamente a los propietarios de los datos.

DestacadosDestacados

Analytics CloudAnalytics Cloud

Base de datos analíticaBase de datos analítica

Análisis de datos no estructuradosAnálisis de datos no estructurados

Inteligencia de negocio e informesInteligencia de negocio e informes

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Búsqueda empresarialBúsqueda empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integración de la cadena de suministroIntegración de la cadena de suministro

Servicios de integración B2BServicios de integración B2B

Colaboración en el ecosistemaColaboración en el ecosistema

Business Network Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Integraciones empresarialesIntegraciones empresariales

Captura y procesamiento inteligente de documentosCaptura y procesamiento inteligente de documentos

Information ArchivingInformation Archiving

Automatización de procesosAutomatización de procesos

Gobernanza de la informaciónGobernanza de la información

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Identity and Access ManagementIdentity and Access Management

Protección de datosProtección de datos

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Inteligencia sobre amenazasInteligencia sobre amenazas

Detección de amenazas y respuestaDetección de amenazas y respuesta

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentación técnicaDeveloper Cloud documentación técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Pruebas funcionalesPruebas funcionales

Ingeniería de rendimientoIngeniería de rendimiento

DevOps Aviator

Experience CloudExperience Cloud

Experiencias web y de marcaExperiencias web y de marca

MensajeríaMensajería

Recorrido del cliente y datosRecorrido del cliente y datos

Media ManagementMedia Management

Análisis de Contact CenterAnálisis de Contact Center

Experience Aviator

IT Operations CloudIT Operations Cloud

Gestión de serviciosGestión de servicios

FinOpsFinOps

AIOps y observabilidadAIOps y observabilidad

AutomatizaciónAutomatización

Gestión de redesGestión de redes

IT Operations Aviator

PortfolioPortfolio

Protección de datos y copia de seguridad de terminalesProtección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvilGestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipoTrabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datosArchivado, eDiscovery y seguridad de los datos

La información reimaginadaLa información reimaginada

Inteligencia artificialInteligencia artificial

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Estrategia y asesoramientoEstrategia y asesoramiento

Servicios de consultoríaServicios de consultoría

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en OpenTextEncuentre un socio en OpenText

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

BlogsBlogs

EventosEventos

Destacados

Analytics Cloud

Base de datos analítica

Análisis de datos no estructurados

Inteligencia de negocio e informes

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Búsqueda empresarial

Business Network Cloud

Integración de la cadena de suministro

Servicios de integración B2B

Colaboración en el ecosistema

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Integraciones empresariales

Captura y procesamiento inteligente de documentos

Information Archiving

Automatización de procesos

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Identity and Access Management

Protección de datos

Investigaciones y análisis forenses digitales

Inteligencia sobre amenazas

Detección de amenazas y respuesta

Developer Cloud

Information Management Services

Developer Cloud documentación técnica

DevOps Cloud

Plataforma DevOps

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Pruebas funcionales

Ingeniería de rendimiento

Experience Cloud

Experiencias web y de marca

Mensajería

Recorrido del cliente y datos

Media Management

Análisis de Contact Center

IT Operations Cloud

Gestión de servicios

FinOps

AIOps y observabilidad

Automatización

Gestión de redes

Portfolio

Protección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datos

La información reimaginada

Inteligencia artificial

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Estrategia y asesoramiento

Servicios de consultoría

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en OpenText

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Blogs

Eventos

Comunidades

Historias de clientes

OpenText Navigator