spinner

Este último año en la disciplina de ciberseguridad de BBVA Next Technologies, hemos hablado mucho de IAM (Identity & Access Management) y hemos seguido desarrollando los productos que ya están aportando valor en la transformación digital de BBVA y que han llegado para solucionar el Access Management siguiendo el estándar XACML. Estos productos, junto con los nuevos repositorios de identidad, son los ejes sobre los que va a recaer la responsabilidad de gestionar de forma óptima y segura los accesos de los empleados a todas las aplicaciones desplegadas en la Cloud híbrida de BBVA*. Es ahí, en el IAM de los empleados y también de los colaboradores, donde pone el foco este artículo.

¿Qué hay de la gestión de la identidad?

En el área de Servicios de BBVA Next Technologies disponemos de un grupo especialista en gestión de identidad y se está trabajando para dar respuestas a la pregunta anterior.

Antes de resolver esta cuestión, creemos conveniente matizar nuestra perspectiva de gestión de identidad, ya que debe ser enmarcada dentro del conjunto de atribuciones del concepto IAM pero a la vez, diferenciada del papel que desempeñan los productos del Stack de Ciberseguridad. Si somos puristas y acudimos a cualquier definición de este sector la gestión de identidad siempre incluye al menos estos 3 ejes sobre los que pivotan estas soluciones para las empresas:

  • Provisioning: asignación de identidades a los usuarios en los sistemas TI.
  • Account Management: gestión del ciclo de vida de estos usuarios en los sistemas TI.
  • Governance: capacidad para asignar grupos y roles y ajustar los permisos según sea necesario garantizando el accountability de los propietarios de la información.
bbva-next-technologies-IAM

Identity & Access Management | Elaboración propia

 

Estos 3 conceptos están en la operativa diaria de un servicio como el que ofrece nuestro grupo y como se puede inferir de las 3 definiciones, sobre todo de la última, no es una solución que únicamente recae en el área de Tecnología, también deben intervenir y ser clave para el éxito, las áreas de Procesos y Riesgos, para que una identidad adquiera un permiso para acceder a un determinado recurso y para que lo pueda o deba revocar.

El servicio de identidad de BBVA Next Technologies viene trabajando durante los 2 últimos años bajo una estrecha colaboración con la disciplina de Security Architecture de BBVA definiendo la estrategia a seguir para resolver la encrucijada a la que se enfrentan la mayoría de compañías con madurez consolidada en la gestión de la identidad:

  • Los nuevos entornos cloud híbridos, sin una frontera física definida para perimetrar el acceso a las aplicaciones.
  • El acceso omnicanal a dichas herramientas.
  • La distribución geográfica de cualquier solución global.

Entonces ¿Cómo hemos llevado a cabo la gestión de la identidad?

  • Hemos realizado una estrategia que acompaña y garantiza la seguridad de los accesos y el gobierno de los mismos a la nueva plataforma Cloud híbrida Global para desarrolladores de BBVA pero, sin olvidarnos de la coexistencia del Legacy. Hemos definido los caminos para una transición tranquila a los nuevos procesos. Como bases de la estrategía queremos introducir algunos de los highlights: autoservicio y empoderamiento del usuario, auditoría centralizada, ley del mínimo privilegio, automatización, definición de las reglas del juego, divide y vencerás.
  • Elección de la tecnología que era necesaria para abordar el desafío.
  • Despliegue de la tecnología seleccionada como un servicio global de la plataforma y la hemos productivizado con lo que ello significa: operación, monitorización, auditoría, reliability, etc.
  • Integración de la fuente autoritativa de datos de empleados y colaboradores de RRHH.

¿Qué estamos haciendo?

  • Integrar los nuevos repositorios donde se almacena cierta información de los empleados y colaboradores para ser explotada por las aplicaciones.
  • Trabajar en casos de uso como el de los accesos a todas las herramientas de la cloud privada de BBVA para abordar la provisión, ciclo de vida y gobierno de los accesos de los usuarios.
  • Definir el modelo de solución, junto con la disciplina de Data para ofrecer una solución global de gobierno de acceso al dato.
  • Trabajar con la disciplina Platform de BBVA Next Technologies para garantizar la gestión de Identidad en la nueva plataforma.

¿Qué nos queda por hacer?

  • Enriquecer la información que tenemos de la identidad incluyendo nuevas fuentes autoritativas como la de credenciales, dispositivos y proyectos.
  • Globalizar la solución para ser capaces de integrar cualquier región y cualquier nueva iniciativa con el Scope total de empleados y colaboradores de BBVA.
  • Acompañar a todos los actores involucrados en la definición de los nuevos procesos basados en la cultura Agile y el Project Driven y facilitar la tecnología para que los flujos de gobierno  (petición/autorización) de acceso sean eficientes y dispuestos como autoservicio para el usuario.
  • Trabajar en la explotación de los KPI, definiendo entre otras cosas: métricas, dashboards, cuadros de mando y reportes que nos consoliden como un referente no sólo en BBVA sino para el sector en particular y en cualquier compañía con los retos similares.

Esperamos que la pregunta haya quedado respondida aunque sin duda quedan muchos conceptos en los que profundizar. Quizá en futuras entradas de este blog.

Para terminar, nos gustaría justificar el título del artículo: «El IAM de empleados en la transformación de BBVA”. Los proyectos de Gestión de Identidad de hoy en día deben ser promovidos por las áreas de negocio que, entre sus prioridades, a parte de dar servicios rentables a los clientes, deben estar: la necesidad de mitigar el riesgo, el cumplimiento de los requerimientos normativos, la capacidad de gestionar autónomamente los accesos a los recursos y como consecuencia  la obtención de información referente al «quién, dónde, cómo, por qué y a qué». Y es que, hoy en día la seguridad también debe ser un valor diferencial para el cliente.

El éxito de una gestión de identidad madura estriba en ser lo más transparente posible a todos estos procesos, quitando complejidad y manualidad a todos ellos. Por medio de la eficacia y eficiencia facilitada a los empleados y colaboradores en la gestión de su día a día en cuanto a los permisos de acceso a recursos se refiere, se ofrece una potente palanca a la organización para dotarla de la capacidad exponencial de generar servicios a los clientes en el menor tiempo posible pero con todas las garantías de seguridad.

Por estos motivos y otros muchos, la inversión de las empresas en este tipo de proyectos se estima que crecerá un 12% anual los próximos 5 años (ver informe). Y es que como una vez dijo Richard Brandson: “Si cuidas a tus empleados, ellos cuidarán de los clientes”.

Imagen: Unsplash/@rawpixel

*BBVA sigue las directrices y recomendaciones del BCE en relación con la eficiencia, la consistencia de los datos y las políticas de seguridad.

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de BBVA Next Technologies.

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?