La gestión de identidades y accesos (Identity and Access Management, IAM) en las universidades es un proceso complejo. Las soluciones centralizadas a menudo son costosas y requieren una implementación extensa. Por ello, suelen usarse soluciones ad hoc, interconectando herramientas propias y de terceros. Resultado: se realizan las tareas, pero no siempre con eficiencia y seguridad.
Normalmente el departamento de TIC es responsable de la gestión de identidades y accesos porque maneja las herramientas para ello. Sin embargo, ello no asegura que se sigan las mejores prácticas. Entre otras cosas, porque en el área de TIC controla los recursos tecnológicos, pero las identidades deben validarlas otros departamentos, como recursos humanos y servicios escolares. Para lograr buenos resultados, hay que prestar atención a algunos puntos.
●Definir el conjunto de usuarios: Conviene utilizar los sistemas de recursos humanos y servicios escolares tanto como sea posible. Son fuentes confiables de datos para el sistema de gestión de identidades y accesos. Al usarlos, se evitan trabajos repetitivos, errores, inconsistencias y otros problemas a medida que crece el sistema IAM.
●Definir identidades: Conviene implementar un sistema único que proporcione una gestión integral de las identidades y retire aquellas que queden huérfanas o se vuelvan innecesarias. Dicho sistema puede integrar, de entrada, un servicio de directorio principal, uno de mensajería y un ERP. En conjunto, agrupan los recursos más utilizados con los que los usuarios interactúan a diario. Posteriormente se pueden integrar otros, según sea necesario.
Dado que se mantienen las cuentas de usuario para cada servicio, el sistema integrado asigna identidades a tales cuentas en un mapeo; éste puede ser administrado por una interfaz basada en la web. A través de ella se pueden manejar las excepciones, es decir, aquellas identidades imposibles de asignar automáticamente.
Claridad en el flujo de trabajo
●Darle el control a los responsables de las identidades: El departamento de TIC puede coordinar el inventario de identidades y permisos, pero la información es responsabilidad de los propietarios y custodios de los datos. Una vez más, una interfaz basada en web es ideal para esto. Lo ideal es permitir que los propietarios de datos administren el acceso a ellos y proporcionen informes y control centralizados sobre los permisos.
●Establecer con claridad el flujo de trabajo: Un flujo de trabajo de solicitud y aprobación proporciona una manera eficiente de administrar los permisos y documentar sus cambios. A través de una interfaz web, los usuarios pueden solicitar acceso a los recursos que necesitan y sus custodios pueden responder a las solicitudes. Esto permite tratar adecuadamente diferentes tipos de datos y tareas, dependiendo de su confidencialidad. Ello agiliza la gestión de identidades y accesos y releva al departamento de TIC de la toma de decisiones.
●Automatizar el aprovisionamiento: Las tareas de aprovisionamiento suelen ser manuales y consumir mucho tiempo. Automatizarlas ayuda a reducir los errores y su impacto en los gastos generales. Ahora bien, dichas tareas suelen involucrar conexiones a diversos servicios, como el correo electrónico y el acceso a recursos como bibliotecas o laboratorios. Definir cuáles servicios serán prioritarios permite automatizarlos primero. Por supuesto, resulta conveniente documentar el flujo de datos entre esos servicios y el sistema de gestión de identidades y accesos.
Roles en la gestión de identidades y accesos
●Permisos a roles, no individuos: En un sistema de gestión de identidades y accesos bien diseñado, los permisos no se asignan a individuos, sino a roles, como el de estudiante de una carrea en particular, profesor de asignatura, de tiempo completo, etcétera. Hacer que esos roles se correspondan con personas específicas es una manera efectiva de establecer una gestión de identidades y accesos robusta a largo plazo. Se deberá determinar con claridad quienes serán responsables de administrar los roles. Así se consigue que sólo sean creados, modificados y desactivados por personas autorizadas que sigan el flujo de trabajo adecuado.
●Mantener al corriente las certificaciones de los roles: Es probable que se asignen permisos a los roles según sea necesario al crearlos y nunca se vuelvan a revisar. Esto implica riesgos de seguridad. Para evitar esos riesgos, hay que recertificar periódicamente los permisos y la asignación de roles a individuos específicos. Se debe revisar qué roles tienen acceso a qué y determinar si aún lo necesitan. La recertificación permite asegurar, por ejemplo, que aquellos alumnos, profesores o empleados que ya no forman parte de la universidad dejen efectivamente de tener acceso a los recursos institucionales.