La Gestión de Acceso a los Servicios TI es el proceso por el cual a un usuario se le brindan los permisos necesarios para hacer uso de los servicios documentados en el Catálogo de Servicios de la organización TI. En ocasiones recibe el nombre de Gestión de Derechos o Gestión de identidades.
La Gestión de Acceso a los Servicios TI se relaciona con algunos procesos de la fase de Diseño:
- La Gestión de la Seguridad establece las políticas de seguridad que luego la Gestión de Acceso debe tener en cuenta a la hora de otorgar el acceso a los servicios TI.
- El Catálogo del Servicio aporta la documentación sobre los servicios cuyo acceso solicitan los usuarios.
La Gestión de Acceso a los Servicios TI, también se relaciona con otros procesos de la fase de Operación, como es el caso de la Gestión de Peticiones o el Centro de Servicios, procesos desde los cuales pueden llegar solicitudes de acceso a servicios.
Asimismo, proporciona información de salida para:
- Gestión de Incidencias, que se hará cargo de aquellas peticiones de acceso o actividades relacionadas con los accesos que representen una excepción.
- Gestión Técnica y Gestión de Aplicaciones, que deben monitorizar los accesos y comprobar si son autorizados o no.
Petición de Acceso: El proceso se inicia cuando ocurre el suceso: El departamento de RRHH (altas/bajas de trabajadores). Gestión de Cambios (una RFC autorizada). Gestión de Peticiones. Tareas programadas automáticamente.
Verificación: Consiste en la comparación por varias vías de: Identidad del usuario que solicita el acceso. Identidad y permisos del usuario o grupo que autoriza el acceso. Validez de los motivos alegados.
Monitorización de Identidad: El cambio en los permisos de un individuo suele estar relacionado con un cambio en su estatus dentro de la organización: Cambio de tarea, ascenso. Renuncia o fallecimiento, jubilación o despido. Acción disciplinar (restricciones temporales, por ejemplo).
Registro y monitorización de accesos: La Gestión de Accesos debe asegurar que los permisos otorgados se usan correctamente: Monitorizando los accesos junto con la Gestión Técnica y Gestión de Aplicaciones. Documentando los accesos no autorizados como excepciones y enviandolos a la Gestión de Incidencias. Aportando evidencias sobre actividades sospechosas.
Eliminación y restricción de derechos: En algunos casos, los derechos pueden ser eliminados: Fallecimiento o renuncia, despido, cambio de roles dentro de la organización o traslado del usuario a otra área donde existe un acceso regional distinto.
Monitorización y Seguimiento: Todo el proceso ha de ser monitorizado para garantizar que: Se cumplen las políticas de seguridad. Los usuarios son quien dice ser y sus motivos para solicitar el acceso son legítimos. Los permisos otorgados no están siendo utilizados de forma maliciosa.
Interrelaciones: La Gestión de Accesos se relaciona con otros procesos del ciclo de vida: Recibe, de la fase de Diseño, las políticas de seguridad, la información sobre el servicio, etc. Recibe, de la fase de Operación, informes de actividad en los accesos. Recibe de la Gestión de Peticiones y la Gestión de Cambios, las peticiones de acceso.
El objetivo de la Gestión de Acceso a los Servicios TI es otorgar permisos de acceso a los servicios a aquellos usuarios autorizados e impedírselo a los usuarios no autorizados.
En otras palabras, es la puesta en práctica de las políticas y acciones definidas en la Gestión de la Seguridad y la Gestión de la Disponibilidad.
La Gestión de Acceso a los Servicios TI proporciona una serie de ventajas a la organización TI que justifican su implantación:
- Mayor garantía de confidencialidad de la información, gracias a un acceso controlado a los servicios.
- Mayor efectividad de los empleados, al minimizarse los conflictos y problemas derivados de la asignación de permisos.
- Menor probabilidad de errores en servicios críticos relacionados con la actividad de usuarios no cualificados.
- Capacidad de monitorizar el uso de los servicios y detectar casos de abuso de los mismos.
- Mayor rapidez y eficacia al revocar permisos en caso de ser necesario.
Los principales retos a que se enfrenta habitualmente la Gestión de Acceso a los Servicios TI son:
- Verificar la identidad de los usuarios.
- Verificar la identidad de la persona u organismo que autoriza la asignación de permisos.
- Verificar que el usuario está solicitando el acceso a un determinado servicio.
- Integrar múltiples niveles de permisos para un usuario concreto.
- Determinar con rapidez y fiabilidad el nivel de permisos del usuario en cualquier momento.
- Gestionar cambios en los requisitos de acceso de los usuarios.
- Restringir los permisos de acceso a los usuarios no autorizados.
- Mantener una base de datos actualizada donde figuren todos los usuarios y los derechos de los que gozan.
Las actividades de la Gestión de Acceso a los Servicios TI incluyen:
- Petición de acceso.
- Verificación.
- Monitorización de identidad.
- Registro y monitorización de accesos.
- Eliminación y restricción de derechos.
Petición de acceso: La petición de acceso puede llegar a través de numerosas vías:
- Una petición estándar generada por el sistema de Recursos Humanos. Por ejemplo, al contratar a una persona, al ascenderla, transferirla o cuando abandonan la empresa.
- Una solicitud de cambio (RFC).
- Una petición de servicio enviada por la Gestión de Peticiones.
- Al ejecutar una tarea automática previamente autorizada.
Las reglas para establecer las peticiones de acceso normalmente están documentadas en el Catálogo de Servicios.
La Gestión de Acceso debe verificar cada petición desde dos perspectivas:
- El usuario que solicita el acceso, ¿es realmente quien dice ser?
- ¿Tiene un motivo válido para usar el servicio?
El primer punto se comprueba, habitualmente, comprobando el nombre y la clave del usuario. En la mayor parte de organizaciones, estos datos bastan para acreditar al usuario, aunque depende de las políticas de seguridad y de lo sensible que sea la información registrada en el sistema del servicio (p.ej. datos biométricos).
El segundo punto requiere una comprobación paralela e independiente de la que aporta el usuario. En caso de que se trate de un nuevo empleado, por ejemplo, será necesaria una notificación por escrito procedente del departamento de Recursos Humanos.
Monitorización de identidad: A medida que los usuarios trabajan en la organización, sus roles van cambiando y, con ellos, sus necesidades de acceso a servicios. Algunos ejemplos de cambios incluyen:
- Cambio de tarea. En este caso, es muy posible el usuario necesite acceso a nuevos servicios, o incluso a otros completamente diferentes.
- Ascensos. Lo más probable es que el usuario requiera niveles de permisos superiores en los mismos servicios a los que ya tenía acceso.
- Renuncia o fallecimiento. Es preciso eliminar por completo el acceso para evitar que la cuenta de usuario se convierta en un agujero de seguridad.
- Acción disciplinar. En algunos casos, es posible que la organización necesite restringir el acceso durante un tiempo para evitar que el usuario acceda a determinados servicios. Esta circunstancia debería estar prevista en el sistema de asignación de permisos, evitando así tener que eliminar los derechos y luego crearlos de nuevo.
- Despido. Cuando un empleado es despedido, o cuando se emprenden acciones legales contra un cliente, el acceso debe ser revocado inmediatamente. Además, la Gestión de Accesos, en conjunto con la Gestión de Seguridad, debe tomar medidas para prevenir, detectar y evitar ataques contra la organización procedentes de ese usuario.
Registro y monitorización de accesos: Además de responder a las peticiones, la Gestión de Acceso es responsable de asegurar que los permisos que ha otorgado se están usando apropiadamente. Por este motivo es necesario que la monitorización y control de los accesos esté incluida entre las actividades de las funciones de la Gestión Técnica y Gestión de Aplicaciones y en todos los otros procesos de operación de servicio.
En caso de detectarse abusos, habrá que documentar la situación como una excepción y enviarla a la Gestión de Incidencias para que proceda a su resolución.
La Gestión de la Seguridad de la Información juega un papel fundamental a la hora de detectar accesos no autorizados y en compararlos con los permisos que se habían asignado desde la Gestión de Accesos.
Eliminación y restricción de derechos: Naturalmente, la Gestión de Acceso no sólo se encarga de otorgar permisos, sino también de revocarlos o limitarlos.
Las circunstancias que suelen motivar la eliminación de derechos son:
- Fallecimiento.
- Renuncia.
- Despido.
- Cambio de roles dentro de la organización, por lo que ya no se necesita acceder al servicio.
- Traslado del usuario a otra área donde existe un acceso regional distinto.
Gestión de la Seguridad: Proporciona a la Gestión de Accesos las políticas de seguridad que deben tenerse en cuenta a la hora de otorgar el acceso a los servicios TI.
Catálogo del Servicio: Aporta documentación detallada sobre los servicios cuyo acceso solicitan los usuarios.
Gestión de Incidencias: Si la Gestión de Accesos detecta actividades irregulares en usuarios no autorizados, se lo notifica a la Gestión de Incidencias para que tome cartas en el asunto.
Gestión Técnica: Al igual que la Gestión de Aplicaciones, presta apoyo a la hora de monitorizar los accesos.
Gestión de Aplicaciones: Al igual que la Gestión Técnica, presta apoyo a la hora de monitorizar los accesos.
Gestión de Peticiones: A menudo las peticiones de acceso llegan desde este proceso de la fase de operación.
La eficacia del proceso de Gestión de Acceso a los Servicios TI puede controlarse mediante los siguientes indicadores:
- Número de peticiones de acceso.
- Instancias de acceso garantizado, por servicio, usuario, departamento, etc.
- Instancias de acceso garantizado por derechos de acceso de departamento o individuo.
- Número de incidentes que requirieron la revocación de los permisos de acceso.
- Número de incidentes causados por una configuración incorrecta de los accesos.