En los primeros días de internet, la seguridad se trataba básicamente de crear una primera línea de defensa en el borde de la red. Teníamos una red interna donde se encontraban todos los buenos y una red externa donde asumíamos que estaban todos los malos. Nuestro principal trabajo en este caso era crear esa primera línea de defensa en el borde de la red, colocando un firewall entre los buenos en el interior y los malos en el exterior. Sin embargo, con el tiempo nos hemos dado cuenta de que en algunas ocasiones los malos pueden estar en el interior de la red. Además, con cada vez más trabajadores remotos, tenemos buenos en el exterior. Ahora no es tan simple como «buenos adentro, malos afuera». ¿Qué significa esto? Significa que debemos trasladar nuestra línea de defensa no solo al perímetro y al borde de la red, sino que debe ser más pervasiva. De hecho, debemos llevarla hasta el nivel del usuario final. Y de eso se trata el área de gestión de identidad y acceso.
Si deseas ver más contenido como este en el futuro, por favor, haz clic en el botón de suscripción. La gestión de identidad y acceso, si queremos simplificarlo, se trata de los cuatro «a». ¿Cuáles son estos cuatro «a»? Bueno, el primero es administración. La administración es básicamente crearte una cuenta, actualizarla según sea necesario a lo largo del tiempo y eliminarla cuando ya no se necesite. Esto se conoce como gestión de identidad en general, aunque algunas personas lo llaman gobierno de identidad. En general, se trata de la creación y eliminación de cuentas. La eliminación es especialmente importante desde el punto de vista de la seguridad, ya que si dejamos tus derechos de acceso cuando ya no estás autorizado a usarlos, podemos terminar con una exposición. Así que el primer «a» es administración.
El siguiente «a» es autenticación. La autenticación es básicamente responder a la pregunta de quién eres de una manera confiable. Es decir, intentar establecer que en realidad eres el usuario que afirmas ser. No siempre es fácil de hacer y utilizamos diferentes tecnologías como autenticación multifactor y cosas así, de las cuales podemos hablar más adelante.
Además de esto, el tercer «a» es autorización. La autorización responde a la pregunta de si tienes permiso para hacer lo que estás intentando hacer. Primero debo saber si eres quien afirmas ser y luego intento averiguar si tienes permiso para hacerlo. Esta es el área que colectivamente conocemos como gestión de acceso. Aquí tenemos la identidad, el acceso y luego el cuarto «a», que es auditoría.
La auditoría se trata realmente de asegurarnos de que hicimos correctamente los tres «a» anteriores. Por lo tanto, la gestión de identidad y acceso se resume en los cuatro «a»: administración, autenticación, autorización y auditoría.
Si deseas obtener más información sobre este tema, consulta los enlaces que se encuentran a continuación. Gracias por ver este contenido y recuerda darle «me gusta» al video y suscribirte a nuestro canal para poder seguir brindándote contenido relevante para ti.
Resumen de contenido:
| Tema | Descripción |
|---|---|
| Administración | Crear, actualizar y eliminar cuentas de usuario |
| Autenticación | Verificar la identidad del usuario de manera confiable |
| Autorización | Determinar si el usuario tiene permisos para realizar una acción |
| Auditoría | Verificar que la gestión de identidad y acceso se haya realizado correctamente |
Preguntas frecuentes
1. ¿Es la gestión de identidad y acceso importante solo para grandes empresas?
No, la gestión de identidad y acceso es importante para cualquier organización, independientemente de su tamaño. Todos deben asegurarse de que solo las personas autorizadas tengan acceso a los recursos y datos confidenciales.
2. ¿Qué tecnologías se utilizan en la autenticación multifactor?
Algunas tecnologías utilizadas en la autenticación multifactor son contraseñas de un solo uso, tarjetas de acceso, autenticación biométrica (huellas dactilares, reconocimiento facial) y tokens de seguridad.
3. ¿Qué sucede si alguien deja de trabajar en una organización y su cuenta no se elimina?
Si una cuenta no se elimina después de que alguien deja de trabajar en una organización, existe el riesgo de que esa persona siga teniendo acceso no autorizado a recursos y datos confidenciales. Por lo tanto, es crucial realizar una adecuada deprovisión de cuentas.
Gracias por leer este artículo y esperamos que te haya sido útil. Te invitamos a explorar nuestros artículos relacionados para obtener más información sobre seguridad cibernética.
¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!