“Algunos empleados cambiarían su contraseña por una chocolatina”

Mike Small, director en EMEA de Security Management Strategy en Computer Associates.

Publicado el 05 Ene 2007

Redacción Computing

¿Podría repasar las ventajas de los sistemas y procesos más utilizados que administran identidad y accesos?

Los procesos de gestión de identidades son complejos e intervienen en ellos distintos participantes. Los procesos manuales son lentos, costosos y pueden ser incoherentes.

En este contexto, la tecnología puede reducir los costes, mejorar el servicio y garantizar que las políticas se aplican de forma organizada y coherente.

La dificultad a que se enfrenta la mayoría de organizaciones es conocer qué procesos manuales mejorar y dónde aplicar la tecnología de forma efectiva en cuatro áreas: simplificar la autenticación (sign on), lo que redunda en un importante ahorro en los costes derivados del menor número de llamadas que llegan al centro de atención al usuario.

El aprovisionamiento automatizado, gracias al cual se reducen los costes de administración y se mejora en el cumplimiento de políticas; en tercer lugar, la gestión basada en roles de manera que los derechos de acceso estén relacionadas con el trabajo que hace cada usuario; y la gestión de identidades federadas, que permite a las organizaciones trabajar juntas más eficientemente confiando las identidades establecidas por cada una de ellas.

¿Cuáles son los problemas de seguridad que amenazan más frecuentemente a las empresas: hackers, robos, usurpación de identidad, fraude, destrucción de datos…?

Se ha hablado mucho de la amenaza que representan los hackers externos y, aunque es un problema real, los usuarios internos son responsables de la mayoría de incidentes relacionados con la seguridad.

Malas intenciones, errores o simplemente un uso incorrecto de los sistemas por parte de los empleados son también una razón importante de pérdida de los servicios vitales.

Con respecto al mal uso, un estudio realizado en 2004 acerca de los empleados de la oficina de Liverpool Street Station reveló que el 71 por ciento estaba dispuesto a cambiar su contraseña por una chocolatina.

Asimismo, el estudio reveló que la mayoría de empleados se llevaría consigo información confidencial si cambiara de trabajo y se abstendría de preservar la confidencialidad de los salarios si toparan con dicha información.

Un error no puede ser considerado un hecho malicioso…

No, pero ciertos errores pueden deberse a un hecho o a una cadena de actos por negligencia o dejadez.

Un error de un administrador de UNIX produjo un fallo en los ordenadores de una compañía de servicios canadiense que requirió 24 horas para establecer la operación de los servicios TI críticos para el negocio de la compañía.

Un administrador de sistemas, cansado, se desplazó durante la noche para solucionar un problema menor de la red en los sistemas UNIX de la compañía y escribió un mandato incorrecto.

Al intentar borrar el fichero, el administrador incluyó inadvertidamente la opción r en el mandato rm y suprimió toda la instalación Oracle subyacente a sus sistema de negocio SAP.

¿Qué aspectos fundamentales ha de tener en cuenta una organización para sacar provecho de los nuevos procedimientos de seguridad con su infraestructura tecnológica existente?

Los dos aspectos más importantes tienen que ver con la reducción de costes y la mejora del servicio. Le pondré un ejemplo: un banco estadounidense utilizó los productos de CA para ofrecer la identificación única (sing on) a 300 aplicaciones.

Esto redujo las llamadas al centro de atención a usuarios de un 30 a un ocho por ciento, y ahorró más de un millón de dólares. También incrementó la satisfacción de los empleados en hasta un 81 por ciento.

A modo de segundo ejemplo de éxito podría mencionar a una de las mayores empresas del mundo, y cliente de una importante compañía de servicios de salud (que atiende a 28 millones de personas), quién solicitó una autenticación única entre sus portales corporativos y el portal de proveedores de servicios médicos, con el objetivo de facilitar a sus empleados el acceso a los servicios de salud proporcionados.

¿Cuál es el significado para CA de unificar y simplificar procesos y tecnologías relacionados con identidad y acceso?

La clave de unificar y simplificar los procesos de gestión de identidades y acceso consiste en aplicar un planteamiento regido por el negocio.

Los procesos de gestión de identidades y accesos necesitan estar más alineados con las necesidades de la empresa, lo que significa pasar la responsabilidad de los grupos de TI a los grupos de negocio.

En concreto, consiste en adoptar un planteamiento de arquitectura orientada a servicios (SOA), el cual ha de soportar un conjunto de servicios de gestión de identidades y accesos que podrá ser utilizado por plataformas y aplicaciones.

La gestión de la seguridad en TI es un área clave para CA y somos líderes del mercado en el ámbito de identidades y accesos.

Esta área ha representado uno de los principales focos estratégicos del negocio de la compañía desde 1983. A partir del 1999, CA ha llevado a cabo distintas adquisiciones orientadas a reforzar nuestra cartera de productos de seguridad en TI para el mercado distribuido.

Entre 1995 y 2001, estuve personalmente involucrado en la línea de productos de seguridad IAm de CA y ese desarrollo continúa.

En la actualidad, hay más de 500 personas en todo el mundo trabajando en el grupo de desarrollo de productos de gestión de seguridad de CA. En aspectos de cuota de mercado, y de acuerdo con IDC, en 2005 CA tenía el 13,7 por ciento del mercado de gestión de identidades y acceso de Europa Occidental en términos de ingresos.

¿Cómo ve al mercado español?

Es un mercado pequeño comparado con el tamaño del país. Según IDC, el merado español para la gestión de identidades y accesos fue sólo el 80 por ciento del valor del mercado sueco durante 2005.

La región de los países nórdicos ha sido más rápida a la hora de adoptar las tecnologías de identidades que la región de Iberia.

En cuanto al crecimiento previsto tanto para la región de EMEA como para el mercado español, las predicciones de IDC hablan de crecimientos que rozan el 12 por ciento hasta el año 2010, mientras que en el resto de Europa Occidental crecerá entorno al 10 por ciento.

¿Cuál es el siguiente paso en sistemas de seguridad?

Recomendaría a las organizaciones que lleven a cabo una valoración de la madurez del proceso de gestión de identidades y accesos.

Esto debe tener en cuenta lo bien que se gestiona la seguridad TI y responder a preguntas como: ¿qué están haciendo sus competidores y cómo está usted situado en relación con ellos?, ¿cuál es la mejor práctica de la industria y cómo van en relación con estas prácticas?, Se puede decir que han hecho suficiente?, y ¿cómo identifican lo que debe hacerse para alcanzar un nivel de gestión adecuado y el control de los procesos?

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Temas

Canales

Artículos relacionados

  • NOTICIAS

    Inetum anuncia su nuevo plan estratégico

    05 Oct 2023

    por Redacción Computing

    Compartir

  • NOTICIAS

    Fallece Juan Soto, presidente histórico de Hewlett-Packard

    11 Abr 2024

    por Rufino Contreras

    Compartir

  • OPINIÓN

    La gobernanza de datos en los sistemas de IA de alto riesgo

    19 Ene 2024

    por Juan Ramón Robles

    Compartir

  • casos de éxito

    El Ayuntamiento de Calviá blinda con Trend Micro su infraestructura de email

    25 Mar 2024

    por Redacción Computing

    Compartir

Siguiente

Inetum anuncia su nuevo plan estratégico

Artículo 1 de 5