Luego de haber levantado la información necesaria sobre nuestros procesos de manejo de personal (Pueden repasarlos aquí) se supone que ya tenemos una base sólida donde apoyar las tecnologías que nos van a permitir mejorar los procesos de ingreso de personal, de administración de identidades y de seguridad de la información y, si debe ser costo efectiva, de otra manera sólo estaremos decorando la oficina de la manera más costosa posible.
Ahora exploraremos un poco el proceso de Administración de Identidades como tal, esto es: Aprovisionamiento, SSO, Desaprovisionamiento, Flujos de trabajo y de aprobación y delegación de funciones. No está limitado a estos componentes pero los creo suficiente para el objetivo de esta serie de artículos.
Aprovisionamiento: Es la acción de crear u otorgar una identidad o permisología a un objeto (usuario, sistema o máquina). Para aprovisionar la tecnología escogida, se apoya en el directorio LDAP que funciona como fuente única autorizada de información. Este directorio tiene funciones raiz, tal como las Select de SQL, mediante las cuales puede responder preguntas simples como: ¿Existe x usuario? ¿El usuario x tiene identidad para el sistema ? y ¿El objeto x existe? y ordenes como: crear objeto x(atributos), modificar sistema y(atributos) etc. La tecnología selecionada también se apoya en un directorio para consultar las políticas de seguridad que deben ser ejercidas.- SSO: Single Sign On por sus siglas en inglés. Primero me enfocaré en decir lo que NO es: SSO no es un recordador de claves, SSO no es un administrador de contraseñas SSO ni mucho menos una aplicación digitadora de contraseñas. Una infraestrcutura tiene SSO cuando mediante el uso de una sola clave patrón se puede acceder a múltiples sistemas. Por ejemplo: si yo entro a mi computador corporativo e ingreso mi usuario y mi clave de sistema operativo y luego de esto intento entrar a SAP y al darle doble clic en el ícono SAP se abre en mi pantalla inicial sin solicitar clave, entonces estoy en un ambiente SSO. SAP detecta qué usuario está usando la máquina y chequea en el directorio, si ese usuario tiene acceso a SAP, de ser así, a qué nivel y de acuerdo con las políticas almacenadas en el directorio despliega la pantalla y sus opciones. Lo importante de esto, es que no debería ser limitado a una máquina, donde sea que haga log in debería poder acceder a los mismos sistemas sin ninguna diferencia, esto porque las políticas de seguridad y permisología no estan almacenadas en una computadora, sino en un directorio LDAP y todos los sistemas chequean contra él.
- Desaprovisionamiento: Si esa palabra existiera en español significaría todo lo contrario a Aprovisionamiento, y se dice simple, sin embargo hay una clave en el proceso de desaprovisionamiento en IDM, éste debe ser transparente y con transparente me refiero a que cuando un empleado deje la empresa, por cualquier razón, otro empleado autorizado (RRHH, Seguridad o su mismo jefe) ingresa en el sistema y cambia el estado de dicho empleado de Activo a Inactivo y por arte de magia ya no funciona ninguno de sus recursos, ni su cuenta de SO, ni su cuenta de SAP es hasta posible que el sistema envie un correo automático al proveedor de comunicación celular cancelando la línea corporativa de ese ex-empleado y créanme, sobre todo las líneas corporativas sin desactivar! éstas son un gasto grande en cualquier empresa, mientras más grande más propensa a olvidar este tipo de cosas.
- 4. Flujos de trabajo y de aprobación: Si estamos hablando de una empresa pequeña o mediana, con el proceso de levantamiento de información posiblemente podríamos estar seguros de que sabemos qué acceso darle a quién y a qué nivel, y que todo esto pueda ser centralizado en la tecnologia de IDM seleccionada, pero a medida que la empresa se hace más grande, su ecosistema se hace más complejo, quedando poco espacio para generalidades y siendo deseable que exista un punto de control "humano" en varias etapas del proceso. De eso se trata un flujo de trabajo, existen sistemas y niveles de acceso estándares y otros que son por solicitud, ambos pasan por un proceso de aprobaciones por parte de los responsables funcionales de cada área. Otro ejemplo de un flujo de trabajo lo podemos encontrar en los famosos "reseteos" de claves, está comprobado que los reseteos consumen el 75% de cualquier equipo de Help desk o soporte, lo que nos dice que si hacemos algo con este sorprendente hecho podriamos ahorrarnos un poco de dinero. ¿Qué tal que los usuarios puedan resetear sus claves en una página de autoservicio sin molestar a los analistas de soporte? ¿Parece futurista verdad?
- Delegación: Nunca ha existido una palabra tan importante, para definirla imagínese qué pasaría si la autorización de aprobación para accesos al sistema de inventario la tiene el gerente de operaciones y aunado a esto el gerente de operaciones está de vacaciones. ¿Quién aprueba las solicitudes pendientes? quedaríamos igual que al principio, antes de nuestro trabajo en la Fase I, léalo aquí y entienda la razón por la cual no queremos volver ahí, la razón por la cual el gerente de operaciones debe poder delegar sus funciones aprobatorias en otra persona.
Todos y cada uno de los componentes antes mencionados se apoyan en un directorio LDAP formado como Fuente Única de Autorizada de Información. Lo importante es que estos componentes son un extracto, un ejemplo de lo que se puede llegar a hacer si se hace un buen trabajo levantando la información de los procesos de la empresa y estableciendo un repositorio único para esta información.
Si en alguna de las situaciones antes explicadas no se le ocurrió un número aproximado del dinero que puede ahorrar tomando el camino de IDM, pregúnteme, puedo generar algun post con un ejemplo con números y cuentas reales. Como siempre los comentarios son bienvenidos, puede buscarme en twitter @ITJanitorVE
