Durante el típico ciclo de ventas, un factor clave del éxito es conseguir que el cliente final acepte los "puntos de dolor" o retos que existen en su organización en ese momento. Es de esperar que la otra cara de estos retos sea la esencia de las capacidades de la solución que intentas vender. ¿Y si los puntos de dolor son evidentes, pero el cliente aún no ha llegado a ellos? Peor aún, ¿qué pasa si el cliente no entiende la raíz del problema? En lugar de eso, ¡reaccionan constantemente a los incendios o a los requisitos de usuarios potentes en lugar de abordar el verdadero problema!
En estos casos, el indicador más común es que el cliente no practica la gestión de la arquitectura empresarial o la gestión de las capacidades de TI para sus necesidades de IdM. Esto significa que el cliente muestra una falta de madurez en la comprensión de la tríada de capacidades (personas, procesos, tecnología) en torno a la IdM. Idealmente, existe un equilibrio en el que las organizaciones han educado a sus equipos en torno a las implicaciones de seguridad de tener una estrategia de gestión de identidad adecuada; los procesos han sido al menos identificados, y se entiende que la tecnología es sólo un facilitador - los problemas de gestión de identidad existen con o sin tecnología.
Podemos construir una hoja de ruta para la gestión de identidades elaborando 3 preguntas básicas:
- ¿Qué queremos que haga el usuario o la organización? (onboarding, offboarding, autoservicio)
- ¿Cuáles son los aspectos operativos de lo que queremos hacer posible? (sinergia RRHH-TI, operaciones de base de datos, formularios en línea o en papel)
- ¿Cuáles son las tendencias del sector? (AIF basada en la nube o IDaaS, federación interna, etc.)
La idea es construir una matriz de gestión de la cartera de IdM que pueda ser la brújula de estas actividades durante los próximos 6 a 18 meses y que pueda revisarse trimestralmente para adaptarse a las necesidades o prioridades de la organización.
Utilicemos un único proceso y elaborémoslo mediante preguntas desde el punto de vista de la informática...
Incorporación
- ¿Cuáles son los controles administrativos y técnicos que exige la normativa?
- ¿Cuáles son los controles administrativos y técnicos que exige la política?
- ¿Cuáles son nuestros riesgos realistas en relación con la incorporación?
- ¿Cómo es hoy nuestro proceso de incorporación?
- ¿Cómo debería ser nuestro proceso de incorporación (idealmente)?
- ¿Cómo debería ser nuestro proceso de incorporación (idealmente) desde el punto de vista de RRHH?
- ¿Cómo debería ser nuestro proceso de incorporación (idealmente) desde el punto de vista del usuario?
- ¿Cuántas familias de empleo se han identificado?
- ¿Hemos catalogado las aplicaciones y accesos básicos de cada familia de puestos?
- ¿Cuántas de estas aplicaciones pueden aprovisionarse automáticamente?
- ¿Cuántas de estas aplicaciones tienen que aprovisionarse manualmente?
- ¿Cuántas de estas aplicaciones tienen su propio repositorio de identidades?
- ¿Cuántas de estas aplicaciones admiten autenticación LDAP o Kerberos?
- ¿Cuántas de estas solicitudes requieren aprobaciones complejas?
- ¿En qué medida colaboramos con RR.HH. en el proceso de incorporación?
- ¿Podemos obtener los datos de provisión directamente del sistema de recursos humanos o tenemos que duplicar la introducción de datos?
- ¿Qué tipos de identidades se están aprovisionando? (Empleados a tiempo parcial o completo, contratistas, proveedores, etc.)
- ¿Cuáles son las tendencias del sector de aprovisionamiento de usuarios?
- ¿Qué están haciendo nuestros homólogos para abordar la cuestión?
- ¿Cuáles son los planes de nuestro actual proveedor de IdM?
- ¿Se avecinan fusiones y adquisiciones?
Las respuestas a todas estas preguntas empiezan a dar forma a un conjunto de requisitos que, comparados con el estado actual, proporcionan una idea de hacia dónde debe dirigirse la organización. Con un ejercicio de priorización, puede surgir una afirmación como ésta:
Nuestra prioridad para los próximos 6 meses en la capacidad IdM-Onboarding es aprovisionar y desaprovisionar automáticamente a los usuarios en la aplicación JD Edwards. Así lo exigen nuestras necesidades normativas en materia de SOx y el departamento financiero ha declarado que el acceso a esta aplicación es clave para su productividad.
Es poco realista que las organizaciones de TI mantengan una hoja de ruta adecuada para todas las capacidades de la empresa -especialmente teniendo en cuenta los tiempos actuales de intentar hacer más con menos-parece que la gente de TI se ahoga en cuestiones operativas mientras intenta mantenerse al día con los proyectos, sin embargo la Gestión de Identidades puede llegar a ser muy compleja y está en constante evolución; mi sugerencia para que las organizaciones construyan un caso para la gestión de las capacidades de IdM para salir "de las cuerdas" y tomar el control sobre esas necesidades.
