¿Quién es quién en la red?

Una nueva forma de entender la seguridad está consiguiendo abrirse camino en las organizaciones. Se trata de la gestión de identidades digitales, que, además de proteger los accesos a los recursos corporativos, permite la introducción de nuevas formas de comunicación entre empresas, clientes, socios y empleados, al tiempo que mejora la experiencia de los usuarios.

La gestión de identidades se perfila cada vez con mayor nitidez como una forma innovadora, sencilla y eficaz de abordar la seguridad en los accesos a las redes de las empresas. Y ello porque, en este modelo, la confianza se obtiene a raíz de la optimización de la gestión de la seguridad basada en el rol que cada usuario representa dentro de la organización de cara a cada uno de sus sistemas, aplicaciones e informaciones. Se trata de una aproximación positiva, proactiva y global a la seguridad que abre las puertas a una nueva manera, mucho más inteligente, de proporcionar al usuario los recursos necesarios para su trabajo, y de fomentar la interrelación entre sistemas, departamentos e incluso organizaciones. En ella tienen cabida empleados, socios, clientes o cualquier otro tipo de perfil que la empresa desee definir y, adicionalmente, mediante posibilidades como Single Sign-On (SSO), acceso personalizado o arquitectura orientada a servicios (SOA), mejora la experiencia del usuario.
Conscientes del potencial de estas nuevas propuestas, de las que Novell y Soluciones Globales Internet (SGI) han sido siempre uno de los más comprometidos defensores, el Club de Usuarios de Tecnologías de la Información y Comunicaciones (CUTIC), de IDG, y Comunicaciones World, organizaron el pasado mes de mayo en colaboración con estas compañías una conferencia sobre “Gestión de Identidades”. En la jornada, cuyo principal objetivo era acercar a los directores de sistemas TI las diversas aplicaciones de estas tecnologías, sus posibilidades y la experiencia de algunos usuarios reales, participaron también la consultora IDC, y, aportando la perspectiva práctica, representantes de la Consejería de Educación del Gobierno del Principado de Asturias, INDAS y abertis, organizaciones que ya están beneficiándose de las ventajas de una correcta implementación de la gestión de identidades digitales.

Un enfoque global
La apertura de la conferencia corrió a cargo de Julián Rubio, director general de Novell Spain, quien llamó la atención sobre la importancia de la seguridad en cualquier empresa, pero, eso sí, de una seguridad adecuadamente gestionada. Se trata de un elemento que afecta a la corporación en su conjunto y que exige, por tanto, un enfoque corporativo, pero que tradicionalmente ha venido diluyéndose en los diversos departamentos de informática encargados de implementarla. “Al final acaba abordándose con un enfoque parcial, en muchos casos incluso departamental. Los requerimientos se resuelven mediante la introducción de múltiples y heterogéneas soluciones parciales, lo que con el tiempo genera una percepción de la seguridad por parte de las empresas como algo difícil de mantener, tremendamente complejo y muy costoso”.
Ante esta situación, “la propuesta de Novell es basar la seguridad del acceso en la gestión de identidades. Así, por un lado, se reducen los elementos a gestionar, y, por otro, se acomete la seguridad de acceso en un entorno uniforme, no intrusivo, aplicable en entornos de nivel empresarial sin afectar a la infraestructura ya existente dentro de la organización”.
Tras la apertura de la jornada, Jaime García Cantero, director de Análisis de Mercado de IDC, invitó a los asistentes a dejar de entender la seguridad solamente como reacción, defensa y protección, porque en tal caso, nunca dejará de constituir un gasto a minimizar en la medida de lo posible. Coincidiendo con Rubio, García Cantero subrayó la importancia del concepto de la gestión de una seguridad que debe de exigirse como algo ya incluido en cualquier solución, tal como demandan hoy las empresas. “El tipo de cosas que los clientes piden hoy son recursos de gestión, herramientas, personal y sistemas de monitorización. No se trata ya de protegerse, sino de gestionar esa protección”. La principal conclusión de la intervención del analista de IDC: la seguridad es una necesidad, pero es mucho más que tecnología; debe asentarse sobre una estrategia global y la gestión de identidades constituye una base especialmente adecuada para su desarrollo.

Fuente de nuevas posibilidades
Con una solución de este tipo, muchas otras se hacen posibles: portales de usuarios orientados a la identidad, autoadministración del usuario, páginas blancas corporativas, flujos de datos automatizados, potencia TI, servicios Web orientados a identidad, auditoría, acceso a recursos basado en roles, autenticación fuerte, firma única (Single Sign-On -SSO) o gestión de contraseñas. Abre además las puertas a una idea de e-business en continua escalabilidad a través de comunidades siempre en crecimiento, haciendo al mismo tiempo posible el despliegue de aplicaciones distribuidas capaces de interoperar mediante servicios Web seguros. Estas fueron las ideas destacadas por Roberto Moral y Javier López, ingenieros de sistemas de Novell Spain.
En su intervención, Moral y López ofrecieron una panorámica general de la oferta de Novell para la gestión de identidades, haciendo especial hincapié en las soluciones Novell eDirectory, Nsure Identity Manager y SecureLogin. Aunque la oferta está compuesta de diversos componentes, éstos deben, según Roberto Moral, entenderse “más como fases de implementación de un proyecto global que como productos independientes”.La oferta de la compañía se articula en torno a las suites de soluciones exteNd y Nsure, que pretenden respectivamente extender la capacidad de proteger a todos los servicios de una empresa y asegurar a quién se le están proporcionando. Todo ello basándose en la identidad, entendida como “la forma en que un individuo o entidad se representa dentro de un sistema TI heterogéneo”.
Pero, si se tuviera que destacar alguna funcionalidad de la gestión de identidades, sería sin duda la de aportar un punto capaz de relacionar todos los sistemas, todos los repositorios o directorios existentes dentro de la organización; esto es, la sincronización de identidades. Algo, sin lo cual todo lo demás sería imposible y que se plasma en el concepto de metadirectorio.

Principales ventajas
A continuación, Roberto López Navarro, jefe de la división de Identidad Digital de SGI, aportó algunos datos extraídos de un estudio elaborado por Novell con las universidades de Stanford y Hong Kong. Según dicho informe, un 48% de las empresas incluidas en el Índice 2000 tardan más de dos días en dar acceso a un nuevo empleado a todos los sistemas que necesita para la correcta realización de sus tareas, y, de ellas, un 10% tarda más de dos semanas. La razón fundamental es la complejidad del escenario que, entre otras consecuencias negativas, trae consigo la dispersión de las responsabilidades de los administradores, lo que exige la intervención de múltiples personas para la ejecución de la tarea más rutinaria.
Muestra de esta dispersión es el hecho de que, según el mismo estudio, un 86% de los empleados de las organizaciones analizadas manejaba dos o más contrase