Dado el actual escenario marcado por la transformación digital, el trabajo híbrido y el aumento sostenido de ciberataques, la gestión de identidades y accesos (IAM, por sus siglas en inglés) se ha posicionado como un elemento crítico para la seguridad de las organizaciones.
Así lo resaltan en NOVARED- empresa líder en ciberseguridad con oficinas en Chile, Argentina, Brasil y España- desde donde sostienen que implementar un ecosistema robusto de IAM ya no es una opción, sino una necesidad estratégica para garantizar la continuidad operativa y la protección de la información.
Fernando Arnay, gerente de Ingeniería y Continuidad Operativa de NOVARED [1], explica que la IAM corresponde a un framework o marco integral de seguridad informática que agrupa diversas soluciones orientadas a controlar quién accede a los sistemas de una organización, en qué momento y bajo qué condiciones. Este modelo, agrega, integra distintas herramientas y prácticas que, en conjunto, permiten construir un entorno seguro y gobernado de los accesos digitales.
Principales pilares del IAM
Entre los componentes más relevantes del ecosistema IAM se encuentra la Gestión de Accesos Privilegiados (PAM), que permite supervisar y controlar las cuentas con mayores permisos dentro de una organización. “Estas cuentas tienen la capacidad de administrar sistemas críticos, por lo que su monitoreo resulta fundamental. A través de las soluciones PAM es posible registrar quién accede, desde dónde, qué acciones realiza e incluso grabar sesiones completas, reduciendo significativamente los riesgos de uso indebido o fraude”, manifiesta.
Otro elemento clave que menciona es la Autenticación Multifactor (MFA), ampliamente utilizada en servicios financieros y plataformas digitales. Este mecanismo añade capas adicionales de seguridad, como códigos temporales, biometría o dispositivos físicos, dificultando el acceso no autorizado.
Asimismo, resalta los Sistemas de Gestión de Identidades (Identity Manager) que permiten administrar de forma centralizada el ciclo de vida de los usuarios dentro de una organización. Esto es desde su ingreso -cuando se crean accesos a correo electrónico, redes internas y sistemas corporativos- hasta su salida, momento en el cual se eliminan
automáticamente sus permisos, evitando brechas de seguridad asociadas a cuentas activas de ex empleados.
Riesgos de no implementar IAM
El profesional asevera que la ausencia de controles adecuados en la gestión de identidades expone a las empresas a múltiples riesgos. Uno de los más comunes es la existencia de cuentas activas de ex trabajadores, las cuales pueden ser utilizadas de forma maliciosa.
A esto se suma la débil gestión de contraseñas, dado que el uso prolongado de claves sin actualización o la reutilización en múltiples plataformas aumenta significativamente la superficie de ataque, facilitando el acceso no autorizado ante filtraciones.
Como riesgo de no implementar IAM, usuarios válidos podrían ingresar a sistemas desde dispositivos inseguros y no necesariamente bajo el concepto de “Privilegio Mínimo”, Autenticación multifactor y monitoreo continuo.
Arnay afirma que la pandemia marcó un punto de inflexión en la forma de trabajar, debido a que el paso masivo al teletrabajo obligó a las empresas a habilitar accesos remotos en forma acelerada, en muchos casos sin considerar las mejores prácticas para securitizar tales accesos. “Actualmente, y con modelos híbridos consolidados, una proporción
significativa de los colaboradores continúa accediendo desde fuera de las oficinas, lo que ha incrementado el nivel de exposición. Este cambio de paradigma impulsó la adopción acelerada de tecnologías IAM”.
Asimismo, señala que la irrupción de la inteligencia artificial ha traído consigo importantes beneficios en la automatización y eficiencia de procesos de ciberseguridad. Sin embargo, también representa un nuevo desafío, ya que puede ser utilizada para desarrollar ataques más sofisticados, automatizar malware o ejecutar intentos de intrusión con mayor precisión. “En este contexto, contar con sistemas avanzados de gestión de identidades y accesos se vuelve aún más relevante para detectar comportamientos anómalos y prevenir incidentes”, recalca.
Flexibilidad según las necesidades y tamaño
El experto expresa que las soluciones IAM pueden ser administradas de distintas formas según el perfil de cada organización. “Algunas empresas optan por gestionar internamente estos sistemas, especialmente cuando manejan información altamente sensible. Otras prefieren delegar completamente la operación a proveedores especializados como NOVARED, quienes se encargan de monitorear accesos, detectar anomalías y responder ante incidentes. También existen modelos híbridos, donde el cliente mantiene el control estratégico y externaliza el soporte técnico”, acota.
Adicionalmente, indica que la implementación de soluciones IAM no está limitada a grandes corporaciones. Si bien el nivel de sofisticación varía según el tamaño y presupuesto, existen alternativas para empresas de todos los segmentos. “Mientras el sector financiero presenta altos niveles de madurez, las medianas empresas han alcanzado
niveles intermedios de adopción, y las pequeñas empresas cuentan con controles básicos que pueden ser fortalecidos progresivamente”, puntualiza.
Finalmente, sostiene que, si bien las empresas han avanzado en la adopción de estas tecnologías, a nivel de usuarios finales aún existe una brecha importante en materia de ciberseguridad. “El aumento de fraudes digitales, robo de credenciales, clonación de dispositivos y ataques de phishing evidencia la necesidad de fortalecer la educación y
concientización en esta materia”, asegura.
