Me viene a la mente la expresión "entre la espada y la pared" para describir dos retos a los que se enfrenta la oficina del CIO de IBM. En primer lugar, imagine que tiene que prestar servicios de autenticación de identidades y accesos a más de medio millón de empleados de IBM en todo el mundo, con una plataforma altamente personalizada, de inquilino único y en las instalaciones. Al mismo tiempo, tiene que proporcionar servicios de identidad y acceso similares a más de 26 millones de clientes de IBM en todo el mundo con una solución Identity as a Service (IDaaS) de primera generación, independiente y obsoleta.
Puede que esté empezando a entender a qué se enfrentaba la oficina del CIO de IBM: dos plataformas de gestión de identidades y accesos (IAM) distintas que ofrecían tecnologías diferentes y distintos niveles de madurez, fiabilidad y funcionalidad.
La magnitud del reto es difícil de imaginar. El equipo de operaciones de ciberseguridad e identidad asegurada de IBM ha dado soporte a 5000 aplicaciones, más de 600 empresas clientes federadas y su personal, y más de 150 000 grupos de autorización. En un trimestre de 2021, los servicios de autenticación de IBM dieron soporte a 35,7 millones de inicios de sesión.
Y en el entorno competitivo actual, las reglas del juego cambian constantemente. Como señala Daniel Opoku-Frempong, director del equipo de operaciones de ciberseguridad e identidad asegurada, "la organización del CIO de IBM proporciona servicios de identidad esenciales a todo el personal de IBM, a millones de clientes y ahora también a Kyndryl".
La transformación de los servicios de autenticación de IBM requeriría una modernización y consolidación significativas de la infraestructura para garantizar eficazmente la fiabilidad y la seguridad a gran escala.Opoku-Furgong describe el reto: "Tuvimos que orquestar un cambio fundamental en la forma de captar, comprometer, gestionar y administrar la identidad y el acceso de los usuarios a través de nuestros millones de usuarios en todo el mundo. Ya no podíamos justificar el bajo retorno de la inversión y la lentitud en la comercialización que perseguían a todos los flujos de trabajo afectados por las soluciones heredadas".
Escalabilidad mejorada
Escalable a más de 27 millones de identidades internas y externas
Capacidades mejoradas
Proporcionar capacidades de QR o FIDO2 sin contraseña para más de 800 000 autenticaciones desde la migración
Ed Klenotiz, arquitecto de identidad asegurada, y sus colegas se pusieron manos a la obra."Hemos realizado un análisis competitivo de los principales proveedores de servicios de identidad tanto de empresa a empleado como de empresa a empresa", afirma. El uso de una plataforma de autenticación estándar basada en la nube sería un primer paso esencial en la modernización de los servicios de identidad para los empleados de IBM y nuestros clientes a escala.
Y al igual que IBM recomendaría a sus propios clientes, el equipo de operaciones de ciberseguridad e identidad asegurada recopiló todos sus requisitos de identidad y acceso y comparó varias soluciones del mercado.
Tras recopilar los requisitos y revisar todas las opciones, el equipo de operaciones de ciberseguridad e identidad asegurada eligió IBM® Security Verify (SaaS) para sus millones de usuarios internos y externos. ¿Cuál es la principal razón? A la cabeza de la lista, las API han permitido migrar aplicaciones sin problemas. ¿Y en segundo lugar? Podrán personalizar la interfaz de usuario para satisfacer sus necesidades exactas sin agotar sus recursos de desarrollo.
Al adoptar IBM® Security Verify como plataforma estándar de servicios IAM en la nube para todas las identidades B2E y B2B, IBM estaría preparada para implementar capacidades de identidad más modernas con mayor seguridad, escalabilidad y experiencia de usuario.
"Gracias a la nueva solución, hemos podido aumentar las opciones de autenticación para los usuarios internos", explica Opoku-Frempong. "La autenticación de dos factores (2FA) proporciona una protección significativa contra el compromiso de contraseñas, pero a menudo resulta tediosa para los usuarios. Por eso implementamos funciones 2FA adaptativas que se basaban en el análisis de antecedentes para determinar cuándo y dónde solicitar autenticación adicional". El cambio a las capacidades 2FA de IBM® Security Verify ha permitido a los usuarios de IBM beneficiarse de una mayor variedad de opciones de autenticación sin contraseña, como el código QR y FIDO2 para TouchID y Windows Hello. Fue un cambio radical en sí mismo".
Pero esa no era la única presión. Históricamente, el equipo del CIO de IBM ha invertido en el desarrollo de su directorio corporativo para cumplir la normativa sobre tráfico internacional de armas (ITAR), un régimen regulador estadounidense diseñado para restringir y controlar la exportación de tecnologías de defensa y relacionadas con el ejército. Era imposible eliminar y sustituir la antigua solución IAM en todo el mundo de una sola vez. Los ingenieros de IBM® Security Verify habían previsto este requisito. Security Verify Bridge combinado con Bridge for Directory Sync permitió al equipo del CIO de IBM aplicar su inversión existente y los procesos asociados. Además, les permitió desarrollar un plan de migración cuidadosamente escalonado, con un impacto mínimo.
Opoku-Frempong prosigue: "Otras características de la migración han facilitado la transición. La biblioteca de API mejorada de IBM® Security Verif permitió la migración de aplicaciones de autoservicio por parte de los propietarios de nuestras aplicaciones, lo que redujo el impacto en otras cargas de trabajo. Además, la capa de control reforzada en torno al acceso privilegiado a las API nos proporciona un mayor control sobre la seguridad del entorno, reduciendo aún más los vectores de ataque. Se trata de una ventaja innegable para nosotros".
Opoku-Frempong y su equipo tenían mucho que celebrar. Con la adopción de IBM® Security Verify, la empresa ha podido mejorar la experiencia de los usuarios y reforzar al mismo tiempo la seguridad de esos mismos usuarios y de la red, los datos y las aplicaciones de la empresa a gran escala. Lee Ann Rodgers, responsable del programa IBMid, explica: "Las capacidades de IBM® Security Verify nos han permitido ofrecer a nuestros clientes una funcionalidad extensible para mejorar la seguridad con métodos MFA flexibles, una gestión de contraseñas mejorada, gestión del ciclo de vida del ID de usuario y de la atención personal, gestión de aplicaciones, notificación flexible de cambios a los usuarios y un servicio de notificación de eventos".
Es más, hoy existe una visión de futuro, una promesa de mayor valor. A medida que continúa el enfoque de IBM sobre la autenticación de identidades y accesos, los empleados y clientes de IBM pueden esperar más ventajas:
- Transformar la experiencia del usuario sin contraseña
- Protección mejorada para usuarios con privilegios en entornos multinube
- Autenticación multifactor (MFA) flexible, gestión de contraseñas mejorada y gestión del ciclo de vida de los identificadores de usuario
- Integración con dispositivos y soluciones de gestión de dispositivos móviles para dar soporte a la estrategia zero trust de IBM
- Arquitectura de microservicios IBM® Security Verify para mejorar la tolerancia a fallos y la escalabilidad de la solución
- Planes multisitio para mejorar la fiabilidad
- Atención constante a la experiencia del usuario y de la marca, con un compromiso reforzado con la seguridad y la confidencialidad
Gary Schmader, gerente sénior de identidad asegurada, lo resume así: "Estamos aprovechando nuestra propia solución comercial para dar respuesta a una necesidad de misión crítica a gran escala. Con IBM® Security Verify, cualquier persona que interactúe con IBM puede disfrutar ahora de un acceso fluido, seguro y vanguardista a los recursos de información... y eso no es más que el principio.
IBM es el líder mundial en nube híbrida e IA, y atiende a clientes en más de 170 países. Más de 3500 clientes utilizan nuestra plataforma de nube híbrida para acelerar sus viajes de transformación digital y, en total, más de 30 000 de ellos han recurrido a IBM para desbloquear el valor de sus datos; esta lista de clientes incluye nueve de cada diez de los bancos más grandes del mundo. Con esta base, seguimos aprovechando Red Hat® OpenShift® como la plataforma líder para satisfacer las necesidades empresariales de nuestros clientes: una plataforma de nube híbrida que es abierta, flexible y segura. Guiada por los principios de confianza, transparencia y apoyo a una sociedad más inclusiva, IBM también se compromete a ser un administrador responsable de la tecnología y una fuerza del bien en el mundo.
Notas a pie de página
© Copyright IBM Corporation 2022 IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos, enero de 2022.
IBM, el logotipo de IBM, ibm.com e IBM Security son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones del mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Una lista actual de marcas comerciales de IBM está disponible en la web, en "Información sobre derechos de autor y marcas registradas" en https://www.ibm.com/es-es/legal/copytrade.
Red Hat® y OpenShift® son marcas comerciales o marcas registradas de Red Hat, Inc. o sus subsidiarios en los Estados Unidos y otros países.
La información contenida en este documento es la vigente en la fecha de su publicación original y está sujeta a cambios por parte de IBM. No todas las ofertas mencionadas en este documento están disponibles en todos los países en los que IBM está presente.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
Declaración de buenas prácticas de seguridad: la seguridad de sistemas de TI implica proteger los sistemas y la información mediante la prevención, detección y respuesta al acceso inadecuado desde dentro y fuera de su empresa. Un acceso indebido puede dar lugar a la alteración, destrucción, apropiación o uso indebidos de la información o puede provocar daños o el uso indebido de sus sistemas, incluso para utilizarlos en ataques a terceros. Ningún sistema o producto informático debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz a la hora de evitar usos o accesos inadecuados. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un enfoque de seguridad legal y global, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más eficaz. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES O VAYAN A HACER QUE SU EMPRESA SEA INMUNE A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS