12.14. Gestión de accesos.

Visión general.

La Gestión de Acceso a los Servicios TI es el proceso por el cual a un usuario se le brindan los permisos necesarios para hacer uso de los servicios documentados en el Catálogo de Servicios de la organización TI. En ocasiones recibe el nombre de Gestión de Derechos o Gestión de identidades.

La Gestión de Acceso a los Servicios TI se relaciona con algunos procesos de la fase de Diseño:


 

• La Gestión de la Seguridad establece las políticas de seguridad que luego la Gestión de Acceso debe tener en cuenta a la hora de otorgar el acceso a los servicios TI.

• El Catálogo del Servicio aporta la documentación sobre los servicios cuyo acceso solicitan los usuarios.

También se relaciona con otros procesos de la fase de Operación, como es el caso de la Gestión de Peticiones o el Centro de Servicios, procesos desde los cuales pueden llegar solicitudes de acceso a servicios.

 

Asimismo, proporciona información de salida para:


 

• Gestión de Incidencias, que se hará cargo de aquellas peticiones de acceso o actividades relacionadas con los accesos que representen una excepción.

• Gestión Técnica y Gestión de Aplicaciones, que deben monitorizar los accesos y comprobar si son autorizados o no.

Introducción y Objetivos.

El objetivo de la Gestión de Acceso a los Servicios TI es otorgar permisos de acceso a los servicios a aquellos usuarios autorizados e impedírselo a los usuarios no autorizados.

En una palabra, es la puesta en práctica de las políticas y acciones definidas en la Gestión de la Seguridad y la Gestión de la Disponibilidad.

La Gestión de Acceso a los Servicios TI proporciona una serie de ventajas a la organización TI que justifican su implantación:

 

• Mayor garantía de confidencialidad de la información, gracias a un acceso controlado a los servicios.

• Mayor efectividad de los empleados, al minimizarse los conflictos y problemas derivados de la asignación de permisos.

• Menor probabilidad de errores en servicios críticos relacionados con la actividad de usuarios no cualificados.

• Capacidad de monitorizar el uso de los servicios y detectar casos de abuso de los mismos.

• Mayor rapidez y eficacia al revocar permisos en caso de ser necesario, algo que puede ser crítico para la seguridad en determinadas circunstancias.

• La Gestión de Acceso puede, además, ser un requisito indispensable para la adecuación a determinados estándares de calidad e incluso, a la legislación vigente (en el sector sanitario, por ejemplo).

Los principales retos a que se enfrenta habitualmente la Gestión de Acceso a los Servicios TI son:


 

• Verificar la identidad de los usuarios.

• Verificar la identidad de la persona u organismo que autoriza la asignación de permisos.

• Verificar que el usuario está solicitando el acceso a un determinado servicio.

• Integrar múltiples niveles de permisos para un usuario concreto.

• Determinar con rapidez y fiabilidad el nivel de permisos del usuario en cualquier momento.

• Gestionar cambios en los requisitos de acceso de los usuarios.

• Restringir los permisos de acceso a los usuarios no autorizados.

• Mantener una base de datos actualizada donde figuren todos los usuarios y los derechos de los que gozan.

Proceso.

Las actividades de la Gestión de Acceso a los Servicios TI incluyen:

 

• Petición de acceso, que puede llegar por distintas vías como el departamento de RRHH, una solicitud de cambio, una instrucción autorizada…

• Verificación. Se comprueba la identidad del usuario que solicita el acceso, así como de aquellos que lo autorizan. También se examina si los motivos para otorgar el acceso son pertinentes.

• Monitorización de identidad. Los cambios en la asignación de permisos suelen estar asociados a un cambio de estatus dentro de la organización: ascensos, despidos, jubilaciones…

• Registro y monitorización de accesos. La Gestión de Accesos es responsable de asegurar que los permisos que ha otorgado se están usando apropiadamente.

• Eliminación y restricción de derechos. En algunos casos, los derechos pueden ser eliminados por completo: fallecimiento, dimisión, despido, traslados…

Petición de acceso.

La petición de acceso puede llegar a través de numerosas vías:

 

• Una petición estándar generada por el sistema de Recursos Humanos. Por ejemplo, al contratar a una persona, al ascenderla, transferirla o cuando abandonan la empresa.

• Una solicitud de cambio (RFC).

• Una petición de servicio enviada por la Gestión de Peticiones.

• Al ejecutar una tarea automática previamente autorizada.

Las reglas para establecer las peticiones de acceso normalmente están documentadas en el Catálogo de Servicios.

Verificación.

La Gestión de Acceso debe verificar cada petición desde dos perspectivas:

 

• El usuario que solicita el acceso, ¿es realmente quien dice ser?

• ¿Tiene un motivo válido para usar el servicio?

El primer punto se comprueba, habitualmente, comprobando el nombre y la clave del usuario. En la mayor parte de organizaciones, estos datos bastan para acreditar al usuario, aunque depende de las políticas de seguridad y de lo sensible que sea la información registrada en el sistema del servicio (p.ej. datos biométricos).

El segundo punto requiere una comprobación paralela e independiente de la que aporta el usuario. En caso de que se trate de un nuevo empleado, por ejemplo, será necesaria una notificación por escrito procedente del departamento de Recursos Humanos.

Monitorización de identidad.

A medida que los usuarios trabajan en la organización, sus roles van cambiando y, con ellos, sus necesidades de acceso a servicios. Algunos ejemplos de cambios incluyen:

 

• Cambio de tarea. En este caso, es muy posible el usuario necesite acceso a nuevos servicios, o incluso a otros completamente diferentes.

• Ascensos. Lo más probable es que el usuario requiera niveles de permisos superiores en los mismos servicios a los que ya tenía acceso.

• Dimisión o fallecimiento. Es preciso eliminar por completo el acceso para evitar que la cuenta de usuario se convierta en un agujero de seguridad.

• Jubilación. En muchas organizaciones, los empleados ya retirados todavía conservan el privilegio de acceder a ciertos servicios, como por ejemplo descuentos en sus compras en determinadas plataformas de e-commerce.

• Acción disciplinar. En algunos casos, es posible que la organización necesite restringir el acceso durante un tiempo para evitar que el usuario acceda a determinados servicios. Esta circunstancia debería estar prevista en el sistema de asignación de permisos, evitando así tener que eliminar los derechos y luego crearlos de nuevo.

• Despido. Cuando un empleado es despedido, o cuando se emprenden acciones legales contra un cliente, el acceso debe ser revocado inmediatamente. Además, la Gestión de Accesos, en conjunto con la Gestión de Seguridad, debe tomar medidas para prevenir, detectar y evitar ataques contra la organización procedentes de ese usuario.

La Gestión de Accesos debe comprender en profundidad el ciclo de vida de cada tipo de usuario y documentarlo. Esto puede servir para automatizar el proceso y ahorrar tiempo.

Registro y monitorización de accesos.

Además de responder a las peticiones, la Gestión de Acceso es responsable de asegurar que los permisos que ha otorgado se están usando apropiadamente. Por este motivo es necesario que la monitorización y control de los accesos esté incluida entre las actividades de las funciones de la Gestión Técnica y Gestión de Aplicaciones y en todos los otros procesos de operación de servicio.

 

En caso de detectarse abusos, habrá que documentar la situación como una excepción y enviarla a la Gestión de Incidencias para que proceda a su resolución.

 

La Gestión de la Seguridad de la Información juega un papel fundamental a la hora de detectar accesos no autorizados y en compararlos con los permisos que se habían asignado desde la Gestión de Accesos.

 

Si se sospecha que un usuario está vulnerando las normas de acceso, haciendo un uso inapropiado de los recursos o utilizando datos de forma fraudulenta, corresponderá la Gestión de Accesos proporcionar evidencias de los datos, tiempos e incluso contenido al que el usuario tiene acceso en determinados servicios.

Eliminación y restricción de derechos.

Naturalmente, la Gestión de Acceso no sólo se encarga de otorgar permisos, sino también de revocarlos o limitarlos.

 

Las circunstancias que suelen motivar la eliminación de derechos:

 

• Fallecimiento.

• Dimisión.

• Despido.

• Cambio de roles dentro de la organización, por lo que ya no se necesita acceder al servicio.

• Traslado del usuario a otra área donde existe un acceso regional distinto.

Control del proceso.

La eficacia del proceso de Gestión de Acceso a los Servicios TI puede controlarse mediante los siguientes indicadores:

 

• Número de peticiones de acceso.

• Instancias de acceso garantizado, por servicio, usuario, departamento, etc.

• Instancias de acceso garantizado por derechos de acceso de departamento o individuo.

• Número de incidentes que requirieron la revocación de los permisos de acceso.

• Número de incidentes causados por una configuración incorrecta de los accesos.