Las universidades enfrentan el reto cotidiano de gestionar de forma segura los datos privados de miles de personas. Lo mismo estudiantes y profesores que administradores o proveedores, todos contribuyen con información delicada, como historiales médicos o datos financieros. Regular el acceso a esa información es complejo. Y las soluciones habituales, como las de gestión de identidades y accesos (Identity and Access Management, IAM) no siempre son suficientes. Es ahí donde entran en juego herramientas más potentes, como las de gobierno y administración de identidades (Identity Governance and Administration, IGA).
Al igual que el software de IAM, las soluciones de gobierno y administración de identidades monitorean el acceso y las actividades de los usuarios. Sin embargo, las herramientas de IGA van más allá: son capaces de auditar y automatizar de manera uniforme los requisitos de acceso a todos los recursos de TIC, sin importar su ubicación. Esto es algo que, en general, la las soluciones IAM no pueden hacer automáticamente. Sin embargo, no por ello se deben desechar. Al contrario: sus capacidades se suman e integran a las herramientas de IGA:
Es decir, las herramientas de gobierno y administración de identidades integran las políticas y operaciones de identidad y los requisitos de auditoría y cumplimiento. Eso permite al personal de TIC tener más control sobre las actividades de los usuarios. Por supuesto, lo hacen tanto en las redes y recursos locales como en la nube.
Además, las soluciones de IGA pueden generar informes para consultas específicas, auditorías, comprobaciones de cumplimiento y revisiones de ciberseguridad.
Control granular
Las capacidades de las soluciones IGA son ideales para los entornos universitarios. No sólo se trata de atender a miles de personas. A ello se suma la complejidad de la rotación de usuarios en cada periodo o su cambio de adscripción dentro de la universidad.
También los hay que desempeñan múltiples funciones. Por ejemplo, es frecuente que algunos estudiantes sean a la vez asistentes de cátedra; cada uno de sus roles requerirá accesos y permisos distintos. El software de gobierno y administración de identidades permite gestionarlos con precisión, asegurando que sólo accederá a los recursos indispensables en cada caso. Por supuesto, cada una de sus acciones queda registrada para propósitos de auditoría.
Otra ventaja de las soluciones IGA consiste en que funcionan bien en entornos muy descentralizados, como el de las universidades. La mayoría de las organizaciones tienen diversos edificios y redes, a menudo en campus distintos. Además, hoy en día los usuarios pueden conectarse desde cualquier parte, debido a las clases en línea y a distancia.
Por otra parte, el modelo Bring Your Own Device (BYOD) propicia que se conecte a las redes universitarias una cantidad ingente de dispositivos personales. Se trata de computadoras de escritorio, dispositivos móviles (laptops, tabletas y smartphones), que suelen usar redes WiFi abiertas. A ellos se suman los dispositivos de la Internet de las Cosas (IoT), las unidades USB y los servicios basados en la nube.
Controlar con eficacia las actividades que los usuarios realizan con esos dispositivos sólo es posible con herramientas avanzadas, como las de gobierno y administración de identidades.
Los peligros del correo
Esa abundancia de usuarios y endpoints se conjuga con un ecosistema esencialmente abierto por necesidad. Hoy no es raro que los usuarios utilicen los recursos de TIC bajo una gobernanza laxa, con pocas limitaciones. Eso aumenta significativamente la superficie de ataque de las universidades y los hackers lo aprovechan.
De acuerdo con el informe Education under siege: How cybercriminals target our schools, de Microsoft, tan sólo en Estados Unidos el software de protección de Microsoft 365 bloquea al día más de 15,000 correos electrónicos con contenido malicioso. Muchos de ellos incluyen códigos QR, ahora ubicuos.
Dado que las universidades utilizan códigos QR para compartir información sobre la vida en los campus, es fácil sorprender a los usuarios menos precavidos. Además, puesto que los servidores universitarios suelen permitir la entrada de correos externos, dichos mensajes son ideales para esparcir malware.
Gobierno y administración de identidades: buenas prácticas
Ahora bien, aun cuando las soluciones de gobierno y administración de identidades ayudan a enfrentar el reto de la ciberseguridad universitaria, para implementarlas correctamente conviene tomar en cuenta algunas consideraciones:
●Usar roles para definir los accesos. Con IGA no es necesario crear individualmente las credenciales para cada persona. En vez de ello, se diseñan categorías de clasificación, es decir, roles. Luego, los usuarios reciben identidades de acceso según la categoría que se les asigna. Así, en vez de lidiar con miles de variantes, se tiene un catálogo manejable de las funciones existentes y los privilegios que requieren.
●Actualizar periódicamente el catálogo de usuarios. Dado que los conjuntos de usuarios y sus roles en las universidades cambian sin cesar, es vital mantener actualizados sus privilegios de acceso. Por ende, resulta esencial establecer políticas de gobernanza claras, pues las soluciones IGA no pueden hacerlo todo por sí solas. Deben delinearse prácticas bien definidas de aprovisionamiento y bajas de los usuarios, lo cual requiere la colaboración de otros departamentos, como el recursos humanos o servicios escolares.
Ahora bien, lo más desafiante al implementar una solución de gobierno y administración de identidades es el factor humano. Como en todo lo relativo a la ciberseguridad, persuadir a las personas de las ventajas de una estrategia robusta de IGA implica poner de acuerdo a los departamentos y personal clave, con intereses a menudo encontrados. O bien, simplemente sin tiempo ni recursos para intentarlo. Sin embargo, ante el panorama de ataques en aumento, vale la pena el esfuerzo.
