La gestión de las identidades y los accesos a los entornos y niveles de información de la organización constituyen uno de los ejes más significativos a tener en cuenta para optimizar los procesos de trabajo y garantizar, en la mayor medida posible, la seguridad de la información y la minimización de riesgos de seguridad, así como el cumplimiento de la normativa aplicable en términos de seguridad de la información y los datos. 

Aunque es un factor que, desde hace ya tiempo, muchas empresas tienen en cuenta, con la entrada en vigor del GDPR (General Data Protection Regulation), a partir de mayo de 2018, la gestión de identidades se convierte en una pieza clave para configurar medidas de seguridad preventivas, integrales y transversales a todos los niveles de empleados y de información de la organización.  

Conforme al GDPR, las organizaciones deben generar y mantener un registro (logs) de accesos de todos los usuarios de la organización, para garantizar la trazabilidad de las acciones relativas a la información y los datos, y poder evidenciar qué usuario ha accedido a la información, cómo y cuándo, y si los permisos de acceso, la definición de roles y las funciones atribuidas a ellos han sido gestionadas y controladas de la manera adecuada. 

Por tanto, es vital para la seguridad de la información y para el óptimo funcionamiento de la organización la definición de funciones y roles entre los usuarios, restringiendo y configurando los accesos a la información en función de dichos roles, garantizando a los interesados la confidencialidad de sus datos, y minimizando posibles robos de información, fugas o incidencias que puedan causar algún perjuicio económico y/o reputacional para la organización. 

Gestionar las identidades y accesos, entonces, se convierte en una medida clave para la seguridad y para el alcance de los requerimientos normativos, así como de estándares de calidad conforme a la normativa ISO 27001 y a proyectos de Compliance que generen valor añadido y de confianza a la organización. 

En OptimumTIC siempre hemos apostado y promovemos la prevención y la optimización como estrategia principal de negocio y de trabajo, y enfocándonos en la gestión de las identidades como uno de los principios básicos, nos apoyamos en herramientas como el software Active Directory, de Manage Engine, para configurar e implantar medidas preventivas que engloben el ámbito legal, técnico y documental. 

1) Proporciona una forma de gestionar y controlar gran parte del ciclo de vida de la información y los datos, así como la gestión de todos los usuarios de la organización, mediante una serie de funcionalidades; por un lado, permite la gestión de usuarios y/o grupos y la creación y asignación de roles y funciones, de forma individual o masiva, controlado así el acceso a la información y generando registros útiles para cumplir con la normativa aplicable y con requisitos de auditoría. 

 

2) Cuenta con programas webs para funcionalidades concretas, como ADSelfService Plus, que permite la gestión y el restablecimiento de contraseñas por el propio usuario final, así como la actualización de las mismas, garantizando el cumplimiento normativo GDPR relativo a la gestión de contraseñas y, a la vez, optimizando los recursos a invertir por parte de la organización en dicho proceso. 

3) Permite optimizar tareas repetitivas en la organización relativas a la gestión de cuentas y de usuarios, y al servicio Service Desk, contribuyendo así al aumento de la eficiencia de dichos procesos y/o procedimientos, a la vez que se mantiene el control de todas estas acciones automatizadas mediante la personalización de los marcos de aprobación configurados, y la generación de informes del mismo Active Directory, y de todo el entorno colaborativo de trabajo Office 365 y Exchange. 

 

4) Ofrece la posibilidad de realizar auditorías en tiempo real del propio software de Active Directory, descubriendo amenazas internas y generando informes y alertas, monitorizando la actividad de los usuarios con la posibilidad de alertas de inicio de sesión, realizando un seguimiento de las Políticas de Seguridad de la organización y configurando informes exportables de los eventos auditados.