Tecnología

¿Qué es el síndrome del post-it?

El despliegue de aplicaciones en la nube y de 'Software como servicio’ conlleva una serie de desafíos de gestión de identidades y accesos

Las empresas que mueven sus servicios a la nube supone generar un alto número de cuentas y de contraseñas, lo que les obliga a manejar el problema de la gestión de identidades y accesos (IAM, por sus siglas en inglés), un desafío que las empresas deben plantearse para evitar el conocido como síndrome de las notas en post-it.

El despliegue de aplicaciones en la nube y de Software como servicio (SaaS, en inglés) conlleva una serie de desafíos de gestión de identidades y accesos, lo que significa que los equipos de TI deben ser capaces de proporcionar orientación y ser capaces de garantizar la seguridad de activos y valor a las inversiones. En este sentido, Fujitsu ha identificado como uno de esos desafíos la fatiga de contraseñas. Como señala, además de tener que recordar muchas, cada ‘software’ tiene diferentes requisitos y ciclos, lo que complica restablecer las claves. Para evitarlo, a menudo se usan contraseñas obvias y reutilizadas o se anotan en notas de post-it o documentos, poniendo en peligro la seguridad de las aplicaciones.

Los servicios IAM proporcionan un inicio de sesión único (SSO) basado en la nube y pueden usarse junto una solución IAM. Otro desafío es la gestión y el aprovisionamiento de las cuentas. Cuando un nuevo empleado empieza en una empresa, el departamento de informática suele proporcionarle acceso a la red corporativa y otras aplicaciones. Pero cuando se produce un despido de un empleado, las empresas quedan en una posición de vulnerabilidad y los datos pueden estar en manos de empleados descontentos. Según la multinacional japonesa, un buen servicio IAM basado en la nube no sólo debería permitir al equipo de TI añadir automáticamente nuevas aplicaciones, sino también debería proporcionar un aprovisionamiento de usuario automatizado y cancelar el acceso a los exempleados.

Quién tiene acceso a qué

Otro aspecto importante es entender quién tiene acceso a las aplicaciones y a los datos de los servicios en la nube, dónde lo hacen y qué hacen con ellos. Por ello, un servicio de IAM debería permitir establecer los derechos de acceso y proporcionar informes de cumplimiento centralizados, según Fujitsu. Entre los desafíos para las empresas destaca también el de gestionar el acceso a través de una multitud de navegadores y dispositivos, incluidos los móviles, a los que debe garantizarse el acceso sin comprometer la seguridad.

Centralización e integración

Una de las razones del aumento de las aplicaciones en la nube es que los modelos de suscripción mensual han sustituido a la compra de licencias de ‘software’. Esto puede hacer que no se tenga una visión centralizada del uso y de si se está pagando por lo que realmente se usa, como alerta Fujitsu. La centralización se refleja también en que la mayoría de las empresas dispone un directorio corporativo que extienden a la nube al adoptar sus servicios.

En este sentido, desde Fujitsu entienden que las soluciones IAM deberían proporcionar una integración centralizada y lista para usar, sin necesidad de utilizar dispositivos locales o modificar el cortafuegos, de forma automática y sin cambios de configuración de red o de seguridad. Otro aspecto central es el de mantener al día la integración de varias aplicaciones. Dado que estas se construyen en la actualidad con arquitecturas optimizadas para Internet, es posible que los proveedores desarrollen su servicio y sus interfaces asociadas.

Esto también significa que cada nuevo proveedor puede requerir un nuevo enfoque, lo que complica la gestión de estas estructuras, según Fujitsu, que apunta que una buena solución de IAM debe mantenerse al día con estos cambios y garantizar la integración de la aplicación y que cada vez que se agrega una nueva aplicación se consiga en cuestión de minutos. Sin embargo, las empresas están adoptando cada día más soluciones SaaS que no están centralizadas. Por ello, un buen servicio IAM en ‘cloud’ debería proporcionar a la TI una administración central, la elaboración de informes y la gestión de usuarios y accesos a través de las aplicaciones en la nube, junto a un modelo de seguridad, como concluye la compañía de servicios japonesa.