![\"\"](\"https:\/\/entelgy.com\/wp-content\/uploads\/2013\/10\/b2817095b4f1427cbde84d9d794e94cb.jpg\" "\\"\u00bfPor")
\nObjetivos adicionales son el establecimiento de flujos de aprobaci\u00f3n para delegar en los responsables la autorizaci\u00f3n de acceso (en lugar de depender de los administradores de las aplicaciones), y el despliegue de un portal de autoservicio para que los usuarios puedan realizar operaciones sobre sus propias cuentas, tales como el cambio y la recuperaci\u00f3n de la contrase\u00f1a o la solicitud de nuevos permisos.<\/p>\n A su vez, la implantaci\u00f3n de estas funcionalidades se complementa con Jorge Paz<\/strong><\/span>, Consultor de Seguridad de<\/span> InnoTec<\/a><\/strong> (Grupo Entelgy) expone en profundidad la complejidad de estos proyectos, algunas de las dificultades inherentes y como solventarlas, para lograr desplegar con \u00e9xito estas soluciones en nuestros clientes.<\/p>\n \u201cNuestra experiencia a lo largo de muchos a\u00f1os nos ha demostrado que abundan los casos en los que se reduc\u00eda el alcance inicial a un subconjunto de los sistemas propuestos inicialmente, en los que no se acomete la implantaci\u00f3n de los flujos de aprobaci\u00f3n y se delega esta actividad en el CAU o que, directamente, abandonan la implantaci\u00f3n de la soluci\u00f3n.\u201d<\/em><\/span><\/p>\n Lo que la experiencia nos ha mostrado<\/strong><\/span> es que la mayor dificultad<\/strong><\/span> se presenta a nivel organizativo<\/strong><\/span>. Pensando en las \u00e1reas que est\u00e1n implicadas en la Gesti\u00f3n de Identidades, se llega a la conclusi\u00f3n de que todas tienen una responsabilidad en mayor o menor medida. Evidentemente, aquellas \u00e1reas de las que depende la tramitaci\u00f3n de altas y bajas de usuarios, como puede ser Recursos Humanos, tendr\u00e1n una mayor dependencia pero desde el momento en que se delega en los propios usuarios la solicitud y autorizaci\u00f3n de accesos por medio de los flujos de aprobaci\u00f3n, todas las \u00e1reas se ver\u00e1n afectadas y deben, por tanto, participar de forma activa en la definici\u00f3n de estos flujos, as\u00ed como en la estructuraci\u00f3n de los grupos y la asignaci\u00f3n de permisos\u00a0 a los mismos. Esta participaci\u00f3n solamente se lograr\u00e1 si el proyecto tiene un patrocinio (sponsor<\/em>)\u00a0 al m\u00e1s alto nivel, desde la alta direcci\u00f3n de la organizaci\u00f3n. Este patrocinio debe ser activo en las fases iniciales para lograr esta implicaci\u00f3n requerida.<\/p>\n T\u00e9cnicamente<\/strong><\/span>, estos proyectos no son m\u00e1s complejos que cualquier otro que involucre la utilizaci\u00f3n de bases de datos, servidores de aplicaciones y servidores de directorio LDAP, aderezado con desarrollos de conectores, formularios, informes y flujos de aprobaci\u00f3n. Es cierto que se pueden presentar diferentes necesidades sobre todo para los desarrollos de conectores para la integraci\u00f3n de las aplicaciones finales, pero lo habitual en estas organizaciones es que los desarrollos propios sigan una metodolog\u00eda y unos entornos de desarrollo comunes, de forma que una vez resuelta la problem\u00e1tica para un caso, esta soluci\u00f3n sea de aplicaci\u00f3n en el resto de conectores. Para los sistemas comerciales, usualmente est\u00e1n disponibles conectores por parte del proveedor o bien se puedan utilizar aproximaciones est\u00e1ndar basadas en directorios LDAP, bases de datos SQL o mediante WebServices.<\/p>\n Otra amenaza<\/strong><\/span> a la correcta ejecuci\u00f3n del despliegue de estas soluciones es la resistencia al cambio<\/strong><\/span>. A pesar de que tanto los planes estrat\u00e9gicos de negocio como, espec\u00edficamente, los planes directores de seguridad establecen que las Tecnolog\u00edas de Informaci\u00f3n deben actuar como herramientas alineadas con el negocio y que aprovechen las sinergias para conseguir una optimizaci\u00f3n de los recursos, cada \u00e1rea suele desarrollar su actividad de forma aislada y con un alto grado de autonom\u00eda. As\u00ed, el ciclo de vida completo de las aplicaciones que gestionan es opaco al resto de la organizaci\u00f3n, tanto la definici\u00f3n, desarrollo e implantaci\u00f3n como la gesti\u00f3n y administraci\u00f3n se hace sin que las otras \u00e1reas tengan conocimiento de los mismos. Por tanto, una soluci\u00f3n transversal, como es la Gesti\u00f3n de Identidades, es contraria a la estrategia de facto<\/em>.<\/p>\n Aspectos tales como la unificaci\u00f3n de los identificadores, la sincronizaci\u00f3n de contrase\u00f1as, el uso de gestores de acceso comunes o la generaci\u00f3n de informes unificada requieren la participaci\u00f3n de los equipos de mantenimiento de las aplicaciones<\/strong><\/span> y este esfuerzo debe ser asumido por la organizaci\u00f3n. \u00danicamente con el apoyo de la alta direcci\u00f3n<\/strong> <\/span>se puede conseguir que se cumplan los plazos y que puedan completarse los compromisos establecidos por parte del ejecutor del proyecto.<\/p>\n Evidentemente, tener el apoyo de la direcci\u00f3n no garantiza el \u00e9xito del proyecto. Es necesario que se haya efectuado una estimaci\u00f3n realista del alcance<\/strong><\/span>. Este es otro de los factores m\u00e1s decisivos a la hora de cumplir con el proyecto. Hay que tener muy claro el nivel de madurez presente en relaci\u00f3n a la Gesti\u00f3n de Identidades antes de planificar el despliegue de los sistemas de soporte de la misma. No ser\u00e1 igual el esfuerzo en una organizaci\u00f3n que haya implantado formalmente protocolos de alta, baja y modificaci\u00f3n de cuentas, en los cuales se registran todas estas operaciones y en la que se puede realizar un seguimiento de los mismos que otra en la que cada administrador de una aplicaci\u00f3n da de alta las cuentas al recibir un correo electr\u00f3nico y en la que no existe ning\u00fan control de bajas o de autorizaciones. De igual manera, la presencia de aplicaciones heredadas con repositorios no estandarizados y con cuentas no identificables tambi\u00e9n va a a\u00f1adir complejidad a la implantaci\u00f3n del SGId frente a repositorios homog\u00e9neos con atributos comunes (como un NIF o un identificador corporativo \u00fanico) y con tecnolog\u00edas est\u00e1ndar (Directorio Activo, LDAP).<\/p>\n Por este motivo, previamente a la presentaci\u00f3n de un plan de proyecto de implantaci\u00f3n del SGId es necesario ejecutar una consultor\u00eda de la organizaci\u00f3n<\/strong><\/span> en profundidad para, de esta manera, tener una visi\u00f3n clara del estado del arte<\/em> de la Gesti\u00f3n de Identidades y poder establecer un alcance realista as\u00ed como un dimensionamiento del proyecto que permita cumplir con este alcance.<\/p>\n Para cumplir con estos dos puntos, gesti\u00f3n de cambios y gesti\u00f3n de riesgos, hay que mantener una comunicaci\u00f3n fluida con la organizaci\u00f3n a todos los niveles<\/strong><\/span>. Generalmente, existir\u00e1 un contacto t\u00e9cnico que permitir\u00e1 resolver las incidencias m\u00e1s comunes del proyecto pero es necesario que se disponga de contactos de alto nivel accesibles por parte del ejecutor del proyecto para aquellos problemas que no se puedan solucionar mediante el contacto t\u00e9cnico. Las reuniones de seguimiento tanto peri\u00f3dicas como bajo demanda deben ayudar tanto a presentar una puesta en com\u00fan del estado del proyecto como a solucionar los problemas encontrados \u00e1gil y eficazmente.<\/p>\n Para terminar este estudio, Jorge Paz concluye: \u201cSi se consiguen cumplir con estas tres premisas, apoyo de la direcci\u00f3n<\/strong>, alcance<\/strong> y dimensionamiento correctos<\/strong> y seguimiento eficiente<\/strong> podemos tener una garant\u00eda de resoluci\u00f3n satisfactoria\u201d.<\/em><\/span><\/p>\n<\/div>\n <\/p>\n Objetivos adicionales son el establecimiento de flujos de aprobaci\u00f3n para delegar en los responsables la autorizaci\u00f3n de acceso (en lugar de depender de los administradores de las aplicaciones), y el despliegue de un portal de autoservicio para que los usuarios puedan realizar operaciones sobre sus propias cuentas, tales como el cambio y la recuperaci\u00f3n de la contrase\u00f1a o la solicitud de nuevos permisos.<\/p>\n A su vez, la implantaci\u00f3n de estas funcionalidades se complementa con ![\"Estudio](\"\/media\/k2\/items\/src\/Entelgy\/2013\/10\/Estudio-de-Innotec-Entelgy-sobre-Gesti\u00f3n-de-indentidades.jpg\" "\\"Estudio")
<\/a>De forma general, todo proyecto de Gesti\u00f3n de Identidades<\/strong><\/span> tiene como objetivo automatizar los procesos de alta<\/span>, modificaci\u00f3n y baja de usuarios<\/span>, cuentas y grupos<\/span>, para agilizar la asignaci\u00f3n y la retirada de permisos de acceso a los recursos de la organizaci\u00f3n<\/span><\/strong>.<\/p>\nla generaci\u00f3n de eventos de seguridad <\/strong><\/span>que registrar\u00e1n todas las operaciones realizadas con el fin de proporcionar los informes de auditor\u00eda<\/strong><\/span> relevantes.<\/p>\n<\/a> Jorge Paz – Consultor de Seguridad de InnoTec Entelgy[\/caption]<\/p>\n\n
<\/a>De forma general, todo proyecto de Gesti\u00f3n de Identidades<\/strong><\/span> tiene como objetivo automatizar los procesos de alta<\/span>, modificaci\u00f3n y baja de usuarios<\/span>, cuentas y grupos<\/span>, para agilizar la asignaci\u00f3n y la retirada de permisos de acceso a los recursos de la organizaci\u00f3n<\/span><\/strong>.<\/p>\nla generaci\u00f3n de eventos de seguridad <\/strong><\/span>que registrar\u00e1n todas las operaciones realizadas con el fin de proporcionar los informes de auditor\u00eda<\/strong><\/span> relevantes.<\/p>\n<\/a> Jorge Paz – Consultor de Seguridad de InnoTec Entelgy[\/caption]<\/p>\n