La gestión de identidades y acceso está cambiando. Los sistemas que la soportan manejan datos muy diversos: cuentas, permisos, roles, políticas de acceso, flujos de trabajo y actividad de los usuarios. Los datos de gestión de identidad y acceso están dispersos en distintos sistemas y aplicaciones. Además si se manejan muchas identidades, roles y perfiles o si estas son muy activas el volumen de datos es importante.
A pesar de ser tan diversos, dispersos y de gran volumen, ha habido grandes avances de interoperabilidad en el intercambio de estos datos, motivados en gran medida por:
- El uso de las redes sociales que permiten utilizar el perfil personal para acceder a otros servicios, el llamado social login, convirtiéndose en verdaderos proveedores de identidades
- El e-commerce y los servicios cloud que han motivado el desarrollo de mecanismos de federación de identidades que permiten a distintas empresas disponer de un único punto de autenticación y autorización
Paralelos a estos avances en la interoperabilidad se producen otros desarrollos tecnológicos que presentan nuevos retos para la gestión de la identidad y el acceso, como los servicios cloud, la movilidad, y en particular el uso de dispositivos personales para uso profesional o BYOD, la Internet de las cosas (IoT) y el Big Data.
Todo parece indicar que nos dirigimos hacia una gestión de identidades y acceso inteligente en la que se monitorizarán datos procedentes de fuentes internas y externas. Se analizarán mediante técnicas analíticas y de aprendizaje automático para obtener conocimiento sobre los comportamientos de los usuarios y el uso de los recursos. De esta forma, más pronto que tarde, serán posibles: el acceso condicional basado en contexto, la seguridad dirigida por datos, realizar acciones en base a patrones de conducta de usuarios y la predicción de amenazas.
Acceso condicional basado en contexto
En entornos de movilidad y computación ubicua (IoT) la definición de roles contextuales permitirá el acceso en base no sólo al sujeto, sino también al objeto y al entorno (horario, IP de acceso, dispositivo,…).
Podremos ajustar las políticas de seguridad al contexto, por ejemplo:
- Condicionando el acceso a determinados activos en base a la localización del usuario (geo-fencing).
- Permitiendo delegar permisos en caso de que se cumplan condiciones.
- Cifrando los mensajes si el usuario utiliza una tableta o un móvil en lugar de estar en la oficina.
- Contrastando la reputación on-line de la IP desde la cual accede el usuario contra listas de fuentes de reputación de IP (black lists).
- Forzando una autenticación condicionada al dispositivo (BYOD) previo registro del fingerprinting (datos de configuración del browser, lenguaje, plug-ins, cookies,…) de los dispositivos autorizados.
- Utilizando las dinámicas de interacción del usuario con los dispositivos (tecleado, gestos, movimientos del ratón, datos biométricos…) como factor añadido de autenticación para identificar a los usuarios legítimos.
Seguridad dirigida por los datos
Analizando el uso de las cuentas de usuario aflorará la información redundante y obsoleta: servicios que no se usan o que ya no existen, cuentas inactivas y roles/grupos en desuso, duplicados o solapados.
La eficiencia y seguridad del sistema se puede mejorar si se aplica la inteligencia para automatizar el ciclo de vida de roles e identidades:
- Corregir datos superfluos.
- Eliminar roles/grupos en desuso.
- Consolidar los roles solapados o duplicado.
- Identificar nuevos roles o evolucionar los existentes para adaptarlos a las necesidades del negocio al negocio.
- Detectar permisos inapropiados o cuestionables, por ejemplo permisos que no se corresponden con el departamento/puesto o permisos sobredimensionados y ejecutar automáticamente reglas que los eliminen.
- Detectar fallos en el proceso de solicitud/aprobación de cuentas, por ejemplo, managers que conceden permisos de más a sus subordinados por desconocimiento.
Por otra parte, el examen de los datos de intentos de login incompletos, fallidos, reset de contraseñas, etc. es indispensable para mejorar la experiencia del usuario en el diseño de interfaces seguros de autenticación tanto desde interfaces web como en dispositivos móviles.
Acciones en base a patrones de conducta de usuarios
Cruzando los datos de los registros del uso de los recursos, en especial de los usuarios con más privilegios de acceso, y los de monitorización de eventos (ataques, accesos indebidos, fuga de información,…) se conseguirá identificar patrones de conducta anómalos. Este conocimiento permitirá:
- Incrementar la granularidad de los controles sobre los accesos de los usuarios.
- Alertar o forzar la detección de los accesos ilegítimos.
- Comprender mejor los roles internos y externos y la criticidad de los activos para sintonizar las políticas de protección y los privilegios de acceso.
Agregando información del perfil de los usuarios con su actividad en redes sociales o con datos de CRM se podrá conocer mejor a los usuarios y sus patrones de conducta para ofrecerles servicios personalizados según sus necesidades e incluso recomendaciones para preservar su privacidad o su reputación.
Predicción de amenazas
La predicción de amenazas está íntimamente relacionada con el establecimiento de patrones de conducta. A nivel de red es posible cruzar la información de flujos de datos de conexiones de red TCP (IP, puertos, sellos de tiempo, duración, tamaño del payload,…) y peticiones HTTP (URL, cabeceras,…) con datos externos (Whois, bases de datos de IP involucradas en intentos de hacking, ataques DOS, spam,…) para determinar si una máquina está siendo atacada en base a un modelado de comportamientos de acceso.
En el caso de acceso web si se utilizan además de las credenciales, información del contexto (ubicación, horario, IP de acceso, tipo de dispositivo…) será posible evaluar el riesgo de que un intento de login sea fraudulento o no autorizado, y abortarlo en caso de que supere cierto nivel de riesgo (por ejemplo si intenta acceder a activos muy sensibles) o terminar la sesión si el usuario tiene comportamientos sospechosos.
Por estas aplicaciones, y por las que están por venir, la «inteligencia» en la gestión de la identidad y el acceso servirá para mejorar la eficiencia, la seguridad y la experiencia de usuario.