La perspectiva de Cyber Academy
IAM es la disciplina que gestiona quién puede acceder a qué, cuándo, cómo y bajo qué condiciones. Aprovisionamiento, autenticación, autorización, desaprovisionamiento. La identidad es el nuevo perímetro. Toda arquitectura Zero Trust es, en esencia, un problema de IAM exigente disfrazado de problema de red.
Qué cubre realmente la IAM
La Identity and Access Management es la disciplina operativa que decide quién puede acceder a qué, cuándo, cómo y bajo qué condiciones. En la práctica se construye a partir de un pequeño conjunto de funciones repetibles: aprovisionar una identidad cuando llega una persona o un servicio, autenticar esa identidad en el momento del acceso, autorizar las acciones y los recursos específicos permitidos, y desaprovisionar la identidad cuando termina el rol o la relación. La parte difícil rara vez es una única pantalla de inicio de sesión. Consiste en mantener honesto a lo largo del tiempo el vínculo entre una persona real, sus identidades digitales y sus permisos acumulados, a través de decenas de sistemas que tienen cada uno su propia idea de qué es una cuenta.
Un modelo mental útil es el ciclo de vida de la identidad. Quienes se incorporan reciben cuentas y un acceso de base. Quienes cambian de puesto pasan de un equipo a otro y deberían perder sus permisos antiguos a medida que adquieren los nuevos. Quienes se van deben quedar desconectados de forma limpia. La mayoría de los incidentes de acceso se remontan a un fallo en este ciclo de vida: cuentas huérfanas que nunca se deshabilitaron, o privilegios que se acumularon porque el acceso se concedió pero nunca se revisó. La IAM es el sistema que hace que el proceso de incorporación, cambio y baja sea fiable en lugar de una improvisación manual.
La identidad como perímetro
La IAM importa más ahora porque el límite de red dejó de ser un control significativo. Los usuarios se conectan desde cualquier lugar, las cargas de trabajo se ejecutan en distintos proveedores de nube, y las identidades de máquina (cuentas de servicio, claves de API, tokens de carga de trabajo) suelen superar en número a las humanas. Cuando no hay un dentro y un fuera que defender, la identidad se convierte en la línea que decide el acceso. Esta es la idea central detrás del Zero Trust: nunca confiar por defecto, verificar cada solicitud frente a la identidad, la postura del dispositivo y el contexto. Una arquitectura Zero Trust es, en el fondo, un exigente problema de IAM disfrazado de problema de red.
La IAM es también donde se conectan varios controles adyacentes. La autenticación multifactor refuerza el paso de autenticación. La gestión de accesos privilegiados protege el reducido número de identidades capaces de causar el mayor daño. El principio de mínimo privilegio es la política que la IAM aplica: conceder solo el acceso que un rol realmente necesita, y nada más. Trátelos como capas de un mismo problema y no como proyectos separados.
Contexto de gobernanza y normas
La IAM se sitúa en el centro de la mayoría de los marcos de seguridad porque el control de acceso es fundamental. ISO/IEC 27001 trata el control de acceso y la gestión de identidades como áreas de control esenciales de un sistema de gestión de la seguridad de la información, esperando que las organizaciones definan una política de control de acceso, gestionen el acceso de los usuarios a lo largo de todo el ciclo de vida y revisen los derechos de acceso.
El NIST Cybersecurity Framework sitúa la gestión de identidades y el control de acceso entre las funciones de protección que todo programa debería cubrir. Para los datos regulados, la disciplina de acceso también respalda las obligaciones de privacidad bajo el GDPR, ya que limitar quién puede alcanzar los datos personales forma parte de demostrar medidas técnicas apropiadas.
Lo que hacen realmente los profesionales lo refleja. Construyen fuentes de identidad autorizadas, automatizan el aprovisionamiento y el desaprovisionamiento, centralizan la autenticación mediante el single sign-on, modelan los permisos como roles cuando es posible, ejecutan revisiones de acceso recurrentes y mantienen un registro de auditoría de quién recibió qué y por qué. Bien hecha, la IAM es invisible para los usuarios y demostrable ante los auditores. Mal hecha, es la causa raíz silenciosa detrás de una gran parte de las brechas.
Frequently asked questions
01¿Cuál es la diferencia entre autenticación y autorización en la IAM?
La autenticación prueba quién es una identidad, por ejemplo mediante una contraseña más un segundo factor. La autorización decide qué se le permite hacer a esa identidad ya verificada. La IAM tiene que acertar en ambas: un inicio de sesión robusto no sirve de nada si la cuenta tiene luego un acceso que nunca debió haber tenido.
02¿Cómo se relaciona la IAM con el Zero Trust?
El Zero Trust elimina la confianza implícita basada en la ubicación de red y verifica cada solicitud en su lugar. Dado que esa verificación se apoya en la identidad, el dispositivo y el contexto, una implantación de Zero Trust es en gran medida un programa de IAM. La autenticación fuerte, el mínimo privilegio y las decisiones de acceso continuas son los pilares.
03¿Qué es el ciclo de vida de la identidad?
Es el flujo de incorporación, cambio y baja: aprovisionar el acceso cuando alguien llega, ajustarlo cuando cambia su rol y eliminarlo cuando se va. La mayoría de los problemas de acceso, como las cuentas huérfanas y la acumulación de privilegios, provienen de carencias en este ciclo de vida.
04¿En qué se diferencia la IAM del PAM?
La IAM gobierna el acceso de toda la población de identidades a lo largo de su ciclo de vida. La gestión de accesos privilegiados se centra en el reducido conjunto de cuentas de alto riesgo, como administradores y cuentas de servicio, añadiendo controles más estrictos como el almacenamiento en bóveda, la supervisión de sesiones y la elevación justo a tiempo. El PAM es una capa especializada dentro de la disciplina IAM más amplia.
05¿Por qué son importantes las revisiones de acceso?
El acceso tiende a acumularse porque conceder es fácil y revocar se olvida. La certificación periódica de accesos pide a los propietarios que confirmen quién debe seguir teniendo qué, detectando la acumulación de privilegios y los permisos huérfanos. Es además un control que los auditores esperan ver evidenciado bajo marcos como ISO/IEC 27001.