IDM Fase I: El directorio. La Base de Una Estrategia de IDM

Luego de explicar muy generalmente lo que puede hacer IDM por su empresa, quisiera comenzar ahora un conjunto de artículos que expliquen la necesidad de aprovechar el potencial de IDM en cualquier organización. De los elementos a explicar, el principal y base de una estrategia de IDM es el directorio, o, los servicios de directorio hablando en idioma SOA actual.

Incluso antes de pensar en un servicio de directorio y explicar en qué consiste para resolver la historia del primer post, (Puede leerlo aquí), me permito aclarar que debe conocerse el estado actual de su organización. Preguntas como:

• ¿Cuál es el proceso de nuevos ingresos y de egresos?
• ¿Cuál es la fuente confiable 100% donde puedo saber quién es empleado o no?
• ¿Cuál es el proceso cuando un empleado es ascendido o se cambia de departamento?
• ¿Sabemos qué accesos, a cuáles sistemas, y a qué nivel corresponden a cada cargo de nuestra organización?
• ¿Tenemos reglas de acceso basadas en temporada, horario, o nivel de empleado?

En fin, tener información documentada de los procesos relacionados con el recurso humano y más importante aún, que esta infomación no sea levantada por personal técnico sino por personal funcional que esté familiarizado con dichas tareas.

Dicho esto, hablemos de la estrategia de directorios. Un directorio, en lo que a IDM se refiere, es una fuente única de información de objetos (personas, sistemas, equipos, etc) que interactúan en la infraestructura tecnológica de una organización para efectos de control de acceso, autenticación y autorización; si no está en nuestro directorio, no existe en nuestra organización, por ende, no accede a nuestros recursos. Para implementar esta fase de una estrategia de IDM se usa un directorio LDAP Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios). Un directorio LDAP es un protocolo estándar, por ende, cualquier producto adquirido y que cumpla con este estándar se comunica con el mismo idioma y de la misma manera, adicionalmente pueden tener funciones de valor agregado integradas por cada fabricante pero siempre cumpliendo con el protocolo LDAP.

En el directorio se registra la información de manera jerárquica, incluso se registran políticas de seguridad. La idea es que este directorio sirva no sólo como repositorio de información matriz como empleados y servidores, sino también como punto de consulta de los sistemas de control de acceso, SSO y seguridad; de manera que un cambio en las políticas de seguridad de la empresa -cosa bastante común- no implique un cambio en los sistemas que aplican estas políticas.

El estado ideal de un directorio es que no sea manipulado por el personal de TI más allá de la configuración inicial y alguna modificación de fondo. Los sistemas que apoyan los procesos de identidad son los que modifican las propiedades de los objetos registrados. RRHH usará esta información para sus labores con los empleados, IT la usará para sus labores de acceso y cada empleado tendrá su identidad registrada y la permisología que tenga en este directorio. Se centraliza la información en vez de tener varias fuentes de información desactualizadas y a veces con información antagónica.

Esta fase de la estrategia de IDM es muy importante. Mientras más detallado sea el trabajo de levantamiento de información, configuración del directorio y el diseño de los procesos para mantenerlo actualizado, más rápido serán las fases de implementación de los demás componentes de la estrategia de IDM (SSO, Control de acceso, Aprovisionamiento y aplicaciones analíticas).

Los comentarios son bienvenidos y para un contacto más directo puede hacerlo a través de Twitter

Seguridad y Productividad con IDM.

Carlos es un nuevo director de línea de negocio de Empresa C.A. una organizacion de servicio a compañias petroleras. Esta encargado de las ventas, el departamento que alimenta financieramente a la organización y que últimamente ha tenido un bajo desempeño, de ahí la nueva contratacion.

Carlos llega a la oficina un dia lunes 1ro de Julio para su primer dia de trabajo, ese dia es de charlas y de conocer a toda la planta de directores y empleados. Le explican que para desenvolverse en su trabajo debe manejar SAP para estar al tanto de los inventarios de producto, Lotus Notes que es la plataforma de correo electronico,  Cisco VPN que le permite conectarse a los recursos de Empresa C.A. fuera de la intranet, Citrix VPN un cliente para conexiones de emergencia, es decir, cuando no tiene la maquina de la empresa citrix puede establecer una conexion segura VPN desde cualquier maquina, y asi usar los recursos de la empresa  y algunos otros recursos  de inteligencia competitiva.

El coordinador de infraestructura de IT le hace entrega de la laptop asignada y le informa que en poco tiempo se le estaran activando las diferentes cuentas. Tambien le informa que aun no esta su correo electronico pero que estara llegando en el transcurso de la semana.

Es jueves 4 de Julio y Carlos a penas esta recibiendo el entrenamiento de lotus Notes, pues venia de trabajar con outlook y no esta acostumbrado a la nueva herramienta, aun no puede revisar ni hacer pedidos en SAP pues el consultor SAP de Empresa C.A. esta enfermo y llevara tiempo pedir que den el acceso desde otra subsidiaria fuera del pais. El coordinador de Infraestructura le da las credenciales del antiguo director de ventas para que pueda acceder a la vpn y a SAP temporalmente.

Lunes 15 de Julio Hoy llegaron las credenciales de VPN de Carlos, asi que ya puede dejar de usar las del antiguo director de ventas al menos para la VPN pues aun debe seguir accediendo a SAP con credenciales de otra persona que de paso ya no labora en la empresa.

Miercoles 31 de julio. Hoy fue activada la cuenta de SAP de Carlos, asi que ahora puede proceder a revisar inventarios y hacer pedidos con sus credenciales, sin embargo, debe tambien evaluar el rendimiento de la fuerza de ventas y no se le habia dado acceso al sistema de recursos humanos para este fin, otra solicitud fue hecha.

Si ud es dueño o director de una empresa con diversidad de sistemas en los cuales se apoya para su actividad de negocio este caso le parecera bastante conocido. Cuanto se le esta pagando a Carlos? 15k 20k? entonces tecnicamente pago ese mes 20k por una persona que aun no habia empezado a hacer su trabajo.

La mètrica se llama "hire to work" y mide el tiempo en el que un nuevo empleado tarda en tener todos los recursos necesarios para hacer su trabajo, en este caso es mas de 30 dias, FATAL!

Consideremos ciertos aspectos antes de entrar a exponer alguna soluciòn:

  - Si el director anterior estaba molesto, no pudo el entrar a los recursos de la empresa a modificar a su antojo lo que quisiera? despues de todo su acceso estaba aún activo.

  - Si habia alguna oportunidad de venta importante para ser cerrada esa primera semana de julio, Carlos lo hubiera podido hacer? sin correo? sin SAP?

  - Que estaba haciendo Carlos mientras esperaba que le entregaran acceso a todos los recursos necesarios para trabajar?

IDM (Administración de Identidades o Identity Management en ingles) ataca estos problemas de seguridad y productividad estableciendo procesos estandarizados y luego poniendo en sitio las tecnologías para apoyar estos procesos. En pocas palabras, contrate a un nuevo director de ventas y tenga para el todos los recursos necesarios en las 48 horas siguientes a su primer dia de trabajo, cancele INMEDIATAMENTE las cuentas y accesos del personal que deja la compañia sin perder los datos de las gestiones de estos, sepa en TODO  momento  quien tiene acceso a que, a que nivel y que hace con ese acceso.

IDM es una teoria con muchos productos en el mercado, todo gran fabricante de software tiene una oferta y ademas tambien hay ofertas de software libre para armar una estrategia de IDM. Principalmente tiene tres componentes Control de Acceso, Servicio de Directorio y Manejo de Roles. El desarrollo y rentabilidad de esta teoria le han ganado ahora un cuarto componente que es el Analítico, en donde se analiza proactivamente las mejoras a los procesos de identidad y seguridad de una empresa. Ademas es rentable esta tecnologia, tiene un ROI especifico y los beneficios son notables al mediano sino corto plazo.

IDM es un universo de oportunidades para mejorar procesos, entre ellos los de seguridad y manejo de personal, por ser una teoria tiene amplia oferta y lo mas importante esta basada en estándares lo que hace que las diferentes ofertas sean interoperables entre si y permite a una empresa seleccionar lo mejor de cada una y armar una solución a la medida.

En proximos artículos estaremos explorando mas en detalle los componentes y formas de implementación de software de IDM.