Gobernanza de acceso

Definición

La gobernanza de acceso, también conocida como Gobernanza de la Identidad o Gobernanza y Administración de la Identidad (IGA), se refiere a las políticas, herramientas y servicios utilizados para combatir permisos innecesarios y hacer cumplir el acceso adecuado a recursos digitales e información confidencial. Garantizar que los usuarios solo tengan derechos de acceso que sean absolutamente necesarios para su función (un concepto también conocido como el principio de privilegios mínimos o POLP) reduce el riesgo de ciberataques que explotan privilegios excesivos y ayuda a las organizaciones a cumplir con estándares de cumplimiento cada vez más estrictos para la privacidad y la protección de datos.

El término Gobernanza o Gestión de acceso se usa a menudo indistintamente con Gobernanza o Gestión de Identidades. Si bien hay una superposición significativa entre los dos conceptos, creemos que hay varias diferencias clave que diferencian la administración de acceso de la administración de identidades.

Componentes

Las diferentes soluciones de gobernanza de acceso siguen enfoques ligeramente diferentes y ofrecen varias características adicionales. Sin embargo, estos son los componentes clave que definen la Gobernanza del Acceso:

• Control de acceso basado en roles: Modelar los derechos de acceso basados en roles de negocio es una parte vital para implementar con éxito el principio de mínimo privilegio. En este marco, los derechos de acceso necesarios para los empleados se agrupan en funciones, por ejemplo, funciones para diferentes departamentos, sucursales o puestos. En lugar de asignar permisos directamente a las cuentas de usuario, los usuarios se asignan a estos roles, lo que les da acceso a todo lo que necesitan. Esto evita que se copien permisos innecesarios a través de la dependencia de usuarios de referencia y garantiza que los permisos se revoquen cuando un usuario se mueve a otro rol o abandona la organización.
• Flujos de trabajo de aprobación: El propósito de un flujo de trabajo de aprobación es permitir que los jefes de departamento otorguen acceso a los datos y recursos que administran sin la necesidad de involucrar al personal de TI. Los sistemas de gobernanza de acceso que admiten flujos de trabajo de aprobación deben saber quién es el responsable de la toma de decisiones (también conocido como el propietario de los datos) de un recurso determinado. La asignación de propietarios de datos y flujos de trabajo personalizados permite a una empresa optimizar su proceso de aprobación.
• Revisiones de acceso de usuario: Las revisiones periódicas de acceso de usuario evitan que se acumulen permisos innecesarios con el tiempo. Si bien los empleados son rápidos en señalar los permisos que les faltan, los permisos no utilizados y obsoletos tienden a pasar desapercibidos. El desplazamiento de privilegios resultante plantea un riesgo de seguridad significativo. Las soluciones de gobernanza de acceso ayudan a evitar esta acumulación mediante el envío de recordatorios automáticos a los propietarios de datos, que deben confirmar que los permisos que han asignado siguen en uso. Los privilegios que ya no son necesarios se eliminan durante este proceso.