Describe el ciclo de vida de la identidad desde el aprovisionamiento hasta la desactivación. ¿Dónde fallan la mayoría de las organizaciones?
Respuesta breve
La gestión del ciclo de vida de la identidad rige una cuenta desde su creación hasta su retirada: aprovisionamiento en la incorporación (alta), ajuste de permisos al cambiar de rol (cambio) y desactivación oportuna en la salida (baja), con revisiones de acceso periódicas a lo largo del proceso. Los fallos más comunes son la acumulación de privilegios en los cambios y las cuentas huérfanas por desactivaciones omitidas.
La gestión del ciclo de vida de la identidad pertenece al dominio de IAM y es donde la gobernanza se encuentra con las operaciones diarias. Los entrevistadores la preguntan porque los procesos de ciclo de vida defectuosos están detrás de una enorme proporción de brechas reales.
Las etapas del ciclo de vida
- Alta (aprovisionamiento) — cuando se contrata o se incorpora a alguien, recibe cuentas y permisos según su rol, idealmente mediante aprovisionamiento basado en roles para obtener exactamente lo que el puesto necesita y nada más.
- Cambio (modificación) — en una promoción, traslado o cambio de proyecto, el acceso debe ajustarse: añadir nuevos derechos y retirar los antiguos. El fallo clásico aquí es dejar el acceso antiguo en su lugar.
- Baja (desactivación) — en una desvinculación o fin de contrato, se revoca todo el acceso con prontitud, idealmente de forma automática e inmediata en salidas hostiles.
A lo largo del proceso, las revisiones de acceso / recertificaciones periódicas confirman que las personas siguen necesitando lo que tienen y que ninguna cuenta se ha desviado de la política.
Dónde fallan las organizaciones
Dos fallos dominan:
- Acumulación de privilegios — los empleados que cambian de rol acumulan permisos a través de los roles durante años, violando de forma silenciosa el mínimo privilegio y formando una cuenta peligrosamente sobredotada. La recertificación periódica es el antídoto.
- Cuentas huérfanas — bajas (o cuentas de servicio) cuyo acceso nunca se desactivó. Son objetivos principales para atacantes y exempleados y un hallazgo de auditoría frecuente.
La automatización como solución
Los procesos manuales de ciclo de vida se rompen a escala. Vincular el aprovisionamiento al sistema de RR. HH. como fuente autorizada, usar SCIM para automatizar alta/cambio/baja y centralizar mediante SSO reduce la ventana de riesgo y hace que las revisiones sean exigibles en lugar de aspiracionales.
Qué buscan los entrevistadores
El flujo completo alta-cambio-baja con el punto explícito de que en un cambio se debe perder el acceso obsoleto, el reconocimiento de las revisiones de acceso como un control recurrente, y nombrar la acumulación de privilegios y las cuentas huérfanas como los fallos principales, vinculando idealmente la remediación con la automatización y el mínimo privilegio.
Posibles preguntas de seguimiento
- ¿Cómo reduce una desactivación oportuna el riesgo de personas internas y exempleados?
- ¿Qué es la acumulación de privilegios y cómo la corrigen las campañas de recertificación?
- ¿Cómo pueden el SSO y el aprovisionamiento automatizado (SCIM) reforzar el ciclo de vida?