Actualidad Entelgy

Contacto

Viernes, 11 Octubre 2013 00:00

¿Por qué es tan compleja la finalización de los proyectos de Gestión de Identidades?

Estudio InnoTec - Entelgy sobre Gestión de IdentidadesDe forma general, todo proyecto de Gestión de Identidades tiene como objetivo automatizar los procesos de alta, modificación y baja de usuarios, cuentas y grupos, para agilizar la asignación y la retirada de permisos de acceso a los recursos de la organización.

Objetivos adicionales son el establecimiento de flujos de aprobación para delegar en los responsables la autorización de acceso (en lugar de depender de los administradores de las aplicaciones), y el despliegue de un portal de autoservicio para que los usuarios puedan realizar operaciones sobre sus propias cuentas, tales como el cambio y la recuperación de la contraseña o la solicitud de nuevos permisos.

A su vez, la implantación de estas funcionalidades se complementa con la generación de eventos de seguridad que registrarán todas las operaciones realizadas con el fin de proporcionar los informes de auditoría relevantes.

Jorge Paz_Consultor de InnoTec Entelgy Jorge Paz - Consultor de Seguridad de InnoTec Entelgy[/caption]

Jorge Paz, Consultor de Seguridad de InnoTec (Grupo Entelgy) expone en profundidad la complejidad de estos proyectos, algunas de las dificultades inherentes y como solventarlas, para lograr desplegar con éxito estas soluciones en nuestros clientes.

“Nuestra experiencia a lo largo de muchos años nos ha demostrado que abundan los casos en los que se reducía el alcance inicial a un subconjunto de los sistemas propuestos inicialmente, en los que no se acomete la implantación de los flujos de aprobación y se delega esta actividad en el CAU o que, directamente, abandonan la implantación de la solución.”

Lo que la experiencia nos ha mostrado es que la mayor dificultad se presenta a nivel organizativo. Pensando en las áreas que están implicadas en la Gestión de Identidades, se llega a la conclusión de que todas tienen una responsabilidad en mayor o menor medida. Evidentemente, aquellas áreas de las que depende la tramitación de altas y bajas de usuarios, como puede ser Recursos Humanos, tendrán una mayor dependencia pero desde el momento en que se delega en los propios usuarios la solicitud y autorización de accesos por medio de los flujos de aprobación, todas las áreas se verán afectadas y deben, por tanto, participar de forma activa en la definición de estos flujos, así como en la estructuración de los grupos y la asignación de permisos  a los mismos. Esta participación solamente se logrará si el proyecto tiene un patrocinio (sponsor)  al más alto nivel, desde la alta dirección de la organización. Este patrocinio debe ser activo en las fases iniciales para lograr esta implicación requerida.

Técnicamente, estos proyectos no son más complejos que cualquier otro que involucre la utilización de bases de datos, servidores de aplicaciones y servidores de directorio LDAP, aderezado con desarrollos de conectores, formularios, informes y flujos de aprobación. Es cierto que se pueden presentar diferentes necesidades sobre todo para los desarrollos de conectores para la integración de las aplicaciones finales, pero lo habitual en estas organizaciones es que los desarrollos propios sigan una metodología y unos entornos de desarrollo comunes, de forma que una vez resuelta la problemática para un caso, esta solución sea de aplicación en el resto de conectores. Para los sistemas comerciales, usualmente están disponibles conectores por parte del proveedor o bien se puedan utilizar aproximaciones estándar basadas en directorios LDAP, bases de datos SQL o mediante WebServices.

Otra amenaza a la correcta ejecución del despliegue de estas soluciones es la resistencia al cambio. A pesar de que tanto los planes estratégicos de negocio como, específicamente, los planes directores de seguridad establecen que las Tecnologías de Información deben actuar como herramientas alineadas con el negocio y que aprovechen las sinergias para conseguir una optimización de los recursos, cada área suele desarrollar su actividad de forma aislada y con un alto grado de autonomía. Así, el ciclo de vida completo de las aplicaciones que gestionan es opaco al resto de la organización, tanto la definición, desarrollo e implantación como la gestión y administración se hace sin que las otras áreas tengan conocimiento de los mismos. Por tanto, una solución transversal, como es la Gestión de Identidades, es contraria a la estrategia de facto.

Aspectos tales como la unificación de los identificadores, la sincronización de contraseñas, el uso de gestores de acceso comunes o la generación de informes unificada requieren la participación de los equipos de mantenimiento de las aplicaciones y este esfuerzo debe ser asumido por la organización. Únicamente con el apoyo de la alta dirección se puede conseguir que se cumplan los plazos y que puedan completarse los compromisos establecidos por parte del ejecutor del proyecto.

Evidentemente, tener el apoyo de la dirección no garantiza el éxito del proyecto. Es necesario que se haya efectuado una estimación realista del alcance. Este es otro de los factores más decisivos a la hora de cumplir con el proyecto. Hay que tener muy claro el nivel de madurez presente en relación a la Gestión de Identidades antes de planificar el despliegue de los sistemas de soporte de la misma. No será igual el esfuerzo en una organización que haya implantado formalmente protocolos de alta, baja y modificación de cuentas, en los cuales se registran todas estas operaciones y en la que se puede realizar un seguimiento de los mismos que otra en la que cada administrador de una aplicación da de alta las cuentas al recibir un correo electrónico y en la que no existe ningún control de bajas o de autorizaciones. De igual manera, la presencia de aplicaciones heredadas con repositorios no estandarizados y con cuentas no identificables también va a añadir complejidad a la implantación del SGId frente a repositorios homogéneos con atributos comunes (como un NIF o un identificador corporativo único) y con tecnologías estándar (Directorio Activo, LDAP).

Por este motivo, previamente a la presentación de un plan de proyecto de implantación del SGId es necesario ejecutar una consultoría de la organización en profundidad para, de esta manera, tener una visión clara del estado del arte de la Gestión de Identidades y poder establecer un alcance realista así como un dimensionamiento del proyecto que permita cumplir con este alcance.

  • Durante la ejecución de todo proyecto complejo y con una duración temporal tan larga es inevitable que se produzcan cambios en la organización que afectarán al desarrollo del mismo. Estos cambios deberán ser comunicados con la suficiente antelación para que se pueda reaccionar y disminuir el impacto negativo al mínimo o aprovechar las posibles ventajas que proporcionen al máximo.
  • También hay que detectar las amenazas y los riesgos de forma precoz y comunicarlos a la organización así como las posibles soluciones existentes, de manera que las desviaciones asociadas a los mismos puedan ser minimizadas.

Para cumplir con estos dos puntos, gestión de cambios y gestión de riesgos, hay que mantener una comunicación fluida con la organización a todos los niveles. Generalmente, existirá un contacto técnico que permitirá resolver las incidencias más comunes del proyecto pero es necesario que se disponga de contactos de alto nivel accesibles por parte del ejecutor del proyecto para aquellos problemas que no se puedan solucionar mediante el contacto técnico. Las reuniones de seguimiento tanto periódicas como bajo demanda deben ayudar tanto a presentar una puesta en común del estado del proyecto como a solucionar los problemas encontrados ágil y eficazmente.

Para terminar este estudio, Jorge Paz concluye: “Si se consiguen cumplir con estas tres premisas, apoyo de la dirección, alcance y dimensionamiento correctos y seguimiento eficiente podemos tener una garantía de resolución satisfactoria”.

Estudio InnoTec - Entelgy sobre Gestión de IdentidadesDe forma general, todo proyecto de Gestión de Identidades tiene como objetivo automatizar los procesos de alta, modificación y baja de usuarios, cuentas y grupos, para agilizar la asignación y la retirada de permisos de acceso a los recursos de la organización.

Objetivos adicionales son el establecimiento de flujos de aprobación para delegar en los responsables la autorización de acceso (en lugar de depender de los administradores de las aplicaciones), y el despliegue de un portal de autoservicio para que los usuarios puedan realizar operaciones sobre sus propias cuentas, tales como el cambio y la recuperación de la contraseña o la solicitud de nuevos permisos.

A su vez, la implantación de estas funcionalidades se complementa con la generación de eventos de seguridad que registrarán todas las operaciones realizadas con el fin de proporcionar los informes de auditoría relevantes.

Jorge Paz_Consultor de InnoTec Entelgy Jorge Paz - Consultor de Seguridad de InnoTec Entelgy[/caption]

Jorge Paz, Consultor de Seguridad de InnoTec (Grupo Entelgy) expone en profundidad la complejidad de estos proyectos, algunas de las dificultades inherentes y como solventarlas, para lograr desplegar con éxito estas soluciones en nuestros clientes.

“Nuestra experiencia a lo largo de muchos años nos ha demostrado que abundan los casos en los que se reducía el alcance inicial a un subconjunto de los sistemas propuestos inicialmente, en los que no se acomete la implantación de los flujos de aprobación y se delega esta actividad en el CAU o que, directamente, abandonan la implantación de la solución.”

Lo que la experiencia nos ha mostrado es que la mayor dificultad se presenta a nivel organizativo. Pensando en las áreas que están implicadas en la Gestión de Identidades, se llega a la conclusión de que todas tienen una responsabilidad en mayor o menor medida. Evidentemente, aquellas áreas de las que depende la tramitación de altas y bajas de usuarios, como puede ser Recursos Humanos, tendrán una mayor dependencia pero desde el momento en que se delega en los propios usuarios la solicitud y autorización de accesos por medio de los flujos de aprobación, todas las áreas se verán afectadas y deben, por tanto, participar de forma activa en la definición de estos flujos, así como en la estructuración de los grupos y la asignación de permisos  a los mismos. Esta participación solamente se logrará si el proyecto tiene un patrocinio (sponsor)  al más alto nivel, desde la alta dirección de la organización. Este patrocinio debe ser activo en las fases iniciales para lograr esta implicación requerida.

Técnicamente, estos proyectos no son más complejos que cualquier otro que involucre la utilización de bases de datos, servidores de aplicaciones y servidores de directorio LDAP, aderezado con desarrollos de conectores, formularios, informes y flujos de aprobación. Es cierto que se pueden presentar diferentes necesidades sobre todo para los desarrollos de conectores para la integración de las aplicaciones finales, pero lo habitual en estas organizaciones es que los desarrollos propios sigan una metodología y unos entornos de desarrollo comunes, de forma que una vez resuelta la problemática para un caso, esta solución sea de aplicación en el resto de conectores. Para los sistemas comerciales, usualmente están disponibles conectores por parte del proveedor o bien se puedan utilizar aproximaciones estándar basadas en directorios LDAP, bases de datos SQL o mediante WebServices.

Otra amenaza a la correcta ejecución del despliegue de estas soluciones es la resistencia al cambio. A pesar de que tanto los planes estratégicos de negocio como, específicamente, los planes directores de seguridad establecen que las Tecnologías de Información deben actuar como herramientas alineadas con el negocio y que aprovechen las sinergias para conseguir una optimización de los recursos, cada área suele desarrollar su actividad de forma aislada y con un alto grado de autonomía. Así, el ciclo de vida completo de las aplicaciones que gestionan es opaco al resto de la organización, tanto la definición, desarrollo e implantación como la gestión y administración se hace sin que las otras áreas tengan conocimiento de los mismos. Por tanto, una solución transversal, como es la Gestión de Identidades, es contraria a la estrategia de facto.

Aspectos tales como la unificación de los identificadores, la sincronización de contraseñas, el uso de gestores de acceso comunes o la generación de informes unificada requieren la participación de los equipos de mantenimiento de las aplicaciones y este esfuerzo debe ser asumido por la organización. Únicamente con el apoyo de la alta dirección se puede conseguir que se cumplan los plazos y que puedan completarse los compromisos establecidos por parte del ejecutor del proyecto.

Evidentemente, tener el apoyo de la dirección no garantiza el éxito del proyecto. Es necesario que se haya efectuado una estimación realista del alcance. Este es otro de los factores más decisivos a la hora de cumplir con el proyecto. Hay que tener muy claro el nivel de madurez presente en relación a la Gestión de Identidades antes de planificar el despliegue de los sistemas de soporte de la misma. No será igual el esfuerzo en una organización que haya implantado formalmente protocolos de alta, baja y modificación de cuentas, en los cuales se registran todas estas operaciones y en la que se puede realizar un seguimiento de los mismos que otra en la que cada administrador de una aplicación da de alta las cuentas al recibir un correo electrónico y en la que no existe ningún control de bajas o de autorizaciones. De igual manera, la presencia de aplicaciones heredadas con repositorios no estandarizados y con cuentas no identificables también va a añadir complejidad a la implantación del SGId frente a repositorios homogéneos con atributos comunes (como un NIF o un identificador corporativo único) y con tecnologías estándar (Directorio Activo, LDAP).

Por este motivo, previamente a la presentación de un plan de proyecto de implantación del SGId es necesario ejecutar una consultoría de la organización en profundidad para, de esta manera, tener una visión clara del estado del arte de la Gestión de Identidades y poder establecer un alcance realista así como un dimensionamiento del proyecto que permita cumplir con este alcance.

  • Durante la ejecución de todo proyecto complejo y con una duración temporal tan larga es inevitable que se produzcan cambios en la organización que afectarán al desarrollo del mismo. Estos cambios deberán ser comunicados con la suficiente antelación para que se pueda reaccionar y disminuir el impacto negativo al mínimo o aprovechar las posibles ventajas que proporcionen al máximo.
  • También hay que detectar las amenazas y los riesgos de forma precoz y comunicarlos a la organización así como las posibles soluciones existentes, de manera que las desviaciones asociadas a los mismos puedan ser minimizadas.

Para cumplir con estos dos puntos, gestión de cambios y gestión de riesgos, hay que mantener una comunicación fluida con la organización a todos los niveles. Generalmente, existirá un contacto técnico que permitirá resolver las incidencias más comunes del proyecto pero es necesario que se disponga de contactos de alto nivel accesibles por parte del ejecutor del proyecto para aquellos problemas que no se puedan solucionar mediante el contacto técnico. Las reuniones de seguimiento tanto periódicas como bajo demanda deben ayudar tanto a presentar una puesta en común del estado del proyecto como a solucionar los problemas encontrados ágil y eficazmente.

Para terminar este estudio, Jorge Paz concluye: “Si se consiguen cumplir con estas tres premisas, apoyo de la dirección, alcance y dimensionamiento correctos y seguimiento eficiente podemos tener una garantía de resolución satisfactoria”.

S5 Box