Sofía, la contadora recién llegada a la empresa, se unió al equipo hace una semana. A pesar de su entusiasmo, se ha enfrentado a desafíos en sus primeros días de trabajo. Mientras recibió de inmediato su computadora, su cuenta de correo electrónico y puede utilizar al chat interno, todavía no tiene acceso al sistema de gestión contable. Esta situación la ha llevado a retrasos en sus tareas, obligándola a trabajar sin conexión y de manera manual.
Una de las razones detrás de esta situación es que sus credenciales de acceso aún no están disponibles, y su predecesor aún no ha sido dado de baja en el sistema.
Este escenario es común en muchas empresas, donde lo que debería ser un proceso ágil y rápido se convierte en una demora de semanas. Además, este problema podría repetirse si Sofía asume un nuevo puesto, ya que la actualización de su rol y privilegios podría llevar mucho tiempo, impidiéndole ingresar a los sistemas necesarios para realizar su nuevo trabajo.
Hacia la resolución de los problemas de acceso
Para abordar estos desafíos, se utiliza IAM (Identity and Access Management), que se enfoca en la gestión de identidades y el acceso en el contexto de la seguridad de la información y la tecnología de la información (TI).
IAM se basa en un conjunto de políticas, procesos y tecnologías que se emplean para gestionar y asegurar las identidades de las personas y sistemas que interactúan con los recursos de una organización. Su objetivo principal es garantizar que los usuarios y sistemas accedan adecuadamente a las aplicaciones y datos necesarios, al tiempo que se protege a la organización contra amenazas de seguridad.
La implementación de IAM plantea desafíos que requieren la colaboración entre Recursos Humanos (RR. HH.) y Tecnología de la Información (TI). Uno de estos implica un cambio organizativo necesario para integrar diversas unidades de negocio, definir procesos y realizar modificaciones en la operación diaria. Esto incluye una coordinación entre RR. HH., marketing, relaciones con proveedores, gestión de clientes, bases de datos y otros departamentos con los que los empleados interactúan.
La complejidad aumenta debido al gran número de usuarios, sistemas y procesos que se ven afectados por este nuevo enfoque de gestión de identidades.
La implementación de IAM es un proceso que puede durar de 18 a 36 meses. Durante este período, se revisan minuciosamente todos los procesos de negocio, roles y permisos de identidades para organizarlos en un marco de gobierno. Sin embargo, debido a la constante transformación digital de las empresas, lo que se define al inicio puede no coincidir con la realidad de la organización al finalizar la implementación, lo que requiere iteración.
Enfoque por Fases
Para acelerar la implementación de IAM, es esencial modularizar los alcances desde el principio. Esto implica reconocer que la gestión del cambio y de las identidades no se puede llevar a cabo en una sola fase. Por tanto, debe comenzarse con un área de negocio piloto, lo que reduce la cantidad de usuarios y sus identidades para iniciar el proceso y gestionar sus credenciales, accesos y privilegios en sistemas específicos.
Esto agiliza la implementación de la tecnología subyacente para poder automatizar la gestión de identidades, y que posteriormente se replicará a medida que se sumen nuevas áreas a este modelo de gobierno.
La colaboración entre TI y RR. HH. es crucial en este proceso, con TI encargándose de los cambios en las cuentas y acceso a sistemas fundamentales y RR. HH. creando identidades, definiendo permisos y gestionando altas y bajas de colaboradores. RR. HH. también debe estar en comunicación constante con otras áreas para orquestar el ciclo de vida de las identidades.
Se trata de una labor consultiva a fondo para determinar el otorgamiento y revocación de permisos de acuerdo con la identidad y rol de manera automática a partir del modelo de gobierno implementado.
La implementación de IAM conlleva beneficios, como la automatización de altas, bajas y cambios de usuarios, la creación de un repositorio central de perfiles, roles y permisos, definición de políticas de control de acceso y cumplimiento de políticas relacionadas con contraseñas, autenticación y autorización. Además, permite eliminar cuentas «huérfanas» en sistemas legados, reduciendo el riesgo de intrusión y robo de información sensible.
Más allá de la tecnología
Ahora bien, son más bien pocas las organizaciones que logran materializar un proyecto de IAM. ¿Por qué no lo han logrado? Una razón importante es que focalizan muchos de sus esfuerzos a la implementación de tecnología.
Si bien esta será vital para automatizar los procesos subyacentes y vincular la totalidad de los sistemas, no es la panacea. El factor de éxito clave es el modelo de gobierno de identidades donde se determinan los perfiles y roles, y los cambios que tienen, así como a los responsables de otorgar las autorizaciones pertinentes.
Por tanto, se trata de un proyecto con carácter institucional que requiere una gestión del cambio muy cercana, con el patrocinio de TI, recursos humanos y el resto de las áreas de negocio.
Con la creciente adopción de la nube, la necesidad de un gobierno de identidades se vuelve aún más relevante. Las organizaciones deben ser conscientes de la importancia de proteger la seguridad perimetral y controlar el acceso a los recursos de sistemas y aplicaciones en la nube.
En resumen, la implementación exitosa de IAM requiere una gestión eficaz del cambio y no es simplemente una iniciativa tecnológica. La colaboración entre TI, RR. HH. y las áreas de negocio es esencial para garantizar que los colaboradores comprendan los riesgos asociados al acceso a la información.
En última instancia, RR. HH. desempeña un papel fundamental en la gestión de identidades en un modelo federado, respaldado por un tercero neutral para garantizar la imparcialidad en las decisiones sobre la automatización de procesos.