¿Crear o comprar? 20 preguntas sobre gestión de identidades.
La gestión de identidades se conoce bien: se hace desde los primeros equipos. ¿Tan difícil puede ser? Más difícil de lo que crees: ¡haz la prueba de crear o comprar!
“Soy un gran partidario de dejar que los expertos hagan lo que mejor saben hacer. Si la gestión de identidades se hace mal, la cosa se desmorona estrepitosamente y uno sale en la portada del periódico por haber expuesto a un gran número de personas a cosas realmente malas. No quería depender de construirlo nosotros mismos”.
— David Bernick, Harvard Medical School
¿Por qué crear la gestión de identidades?
La gestión de identidades ha sido un componente básico del software desde los albores de la informática: los trabajos por lotes con tarjetas perforadas y los primeros sistemas de tiempo compartido estaban protegidos por autenticación de nombre de usuario/contraseña. Con tanta historia, se podría pensar que la gestión de identidades es un problema resuelto.
- Tal vez estés haciendo algo simple: no hay información sensible ni problemas de privacidad, y tus requisitos de seguridad son modestos, no tienes muchos usuarios ni muchos tipos diferentes de usuarios, solo tienes unas pocas aplicaciones.
- Y tú eres un desarrollador experimentado o formas parte de un equipo altamente calificado que lleva años creando autenticaciones para aplicaciones, sitios, API y servicios.
- Y tu presupuesto se reduce al mínimo. Hay que tomar decisiones. Parece obvio ahorrar el dinero para algo más estratégico.
Seamos honestos: Si solo estás utilizando uno o dos proveedores sociales para una aplicación web simple, sin necesidad de una base de datos de nombre de usuario/contraseña, o cualquier otra característica más elaborada, es bastante fácil de hacerlo tú mismo. Por supuesto, aprovecha las bibliotecas de autenticación básicas que puedes encontrar en cualquier marco de trabajo de código abierto, y listo.
¿Por qué comprar la gestión de identidades?
A menudo, oímos de equipos de desarrollo que están considerando Auth0:
Si eres competente, parece difícil justificar el gasto en gestión de identidades si tus necesidades son simples.
Vamos a profundizar en esto.
Habilidades
Seguro que la gestión de identidades parece simple. Pero el fracaso es aterrador. Muchas cosas pueden salir mal y, cuando salen mal, tu reputación se ve seriamente dañada. Ante los persistentes intentos de pirateo y el incesante flujo de vulnerabilidades que hay que mitigar, ¿sabes lo que estás haciendo suficientemente bien como para proteger a tus usuarios y tu empresa?
Recursos
Hacerlo tú mismo no es gratis: comprometer recursos en la gestión de identidades tiene un costo de oportunidad. ¿La autentificación es realmente lo que quieres hacer? Céntrate en tu actividad principal y añade valor. No escribirías tu propio RDBMS. La gestión de identidades es como un RDBMS. ¿Por qué construir infraestructuras como la gestión de identidades cuando se puede pagar un dinero razonable para delegar ese trabajo pesado no esencial a especialistas? Y dado que el costo de un robo de identidad puede ascender a millones de dólares, ¿cuánto vale la seguridad? Ten en cuenta estos factores a la hora de evaluar la rentabilidad de la compra de gestión de identidades.
Complejidad
Las aplicaciones y los productos suelen empezar siendo simples. Pero una vez superada la primera versión, es posible que necesite admitir una amplia gama de proveedores de identidad. Puede que tengas socios. Podrías poner en marcha aplicaciones móviles y una API. Es de esperar que tu base de usuarios crezca. Es posible que trabajes en un sector regulado con exigencias de cumplimiento. Nunca es tan sencillo como parece al principio. El costo de mantener tu propia gestión de identidades puede ser mucho mayor de lo que esperas.
La prueba
Es posible que ya haya respondido a algunas de estas preguntas. Algunas pueden ser irrelevantes, otras pueden ser problemas a los que te enfrentarás a medida que vayas implementando tu IAM. Pero te invitamos a pensar en ellos de forma realista, basándote en tu estado actual y en hacia dónde crees que te dirigirás en los próximos meses y años. Y haz clic en los enlaces para entender cómo Auth0 responde a estas preguntas de gestión de identidades y la complejidad que manejamos como parte de nuestra oferta integral.
Usuarios
1. | ¿Has pensado cómo vas a implantar la gestión de usuarios? ¿Autoservicio o administración gestionada? ¿Cuál es la experiencia del usuario? |
2. | ¿Tienes usuarios que vayan a autenticarse con más de un IdP? ¿Cómo sabrás que es el mismo usuario? |
3. | ¿Tienes varias aplicaciones que necesiten autenticarse? En caso afirmativo, ¿utilizan todos la misma pila de desarrollo? |
“En comparación con los costos y recursos necesarios para desarrollar, alojar y asegurar una solución personalizada, la inversión vinculada a un servicio de autenticación de terceros como Auth0 fue una elección muy sensata”. — Cris Concepcion, Safari |
4. | ¿Qué análisis necesitarás para la creación de cuentas y los eventos de autenticación? ¿Cómo recopilarás, analizarás y visualizarás estos datos? |
5. | ¿Cómo detectarás y mitigarás las anomalías en la gestión de usuarios y los eventos de autenticación? |
Aplicaciones
6. | ¿Cómo puedes estar al tanto de posibles vulnerabilidades de seguridad? ¿Cómo gestionarás los retrasos en los parches de las bibliotecas en las que confías? |
“Antes de que algún sitio de noticias informara sobre la vulnerabilidad de día cero de Heartbleed del año pasado, Auth0 nos envió un correo electrónico para alertarnos de la situación. Ya había un parche para eliminar la amenaza de Heartbleed de los sistemas de Auth0, seguido de un correo electrónico de confirmación de que Auth0 ya había instalado este parche en la instancia de Schneider Electric del servicio de Auth0”. — Stephen Berard, Schneider Electric |
7. | ¿Qué ocurre con las inevitables incompatibilidades de los estándares y los cambios en los atributos y permisos de los distintos IdP sociales? Diferencias de implementación entre los IdP empresariales? ¿Para diferentes pilas de desarrollo y bibliotecas de autenticación? ¿Cómo vas a afrontar todo esto? |
“No tenía que escribir ningún código difícil para cada IdP con el que necesitábamos integrarnos. Se trataba de escribir una única cosa, muy simple, y eso era para implementar la autenticación segura”. — David Bernick, Harvard Medical School |
8. | ¿Puede tu equipo de operaciones mantenerse al día con las prácticas recomendadas para configurar de forma segura la infraestructura de autenticación? ¿En las instalaciones y en instancias de nube privada? |
9. | ¿Cuál es tu estrategia para la MFA? ¿Cómo la integrarás en los distintos clientes? ¿Quieres que tus usuarios móviles utilicen Touch ID en sus dispositivos IOS para autenticarse en tus aplicaciones? |
10. | ¿Has tenido en cuenta los requisitos de escalabilidad, rendimiento y replicación/disponibilidad de tu almacén de usuarios? |
“Auth0 proporcionó el ajuste perfecto de características listas para usar, flexibilidad y servicio de nivel empresarial. El equipo de Auth0 hizo todo lo posible para adaptarse a nuestras locas necesidades de pruebas de rendimiento y plazos”. — AKQA, socio de marketing de Marks & Spencer |
IdP y estándares
11. | Cuando se migran las bases de datos de nombres de usuario/contraseñas heredadas a una gestión de identidad más moderna, ¿cómo se ofrece una buena experiencia de usuario sin necesidad de restablecer contraseñas? |
“Auth0 trajo consigo una gran cantidad de conectores listos para usar que hicieron muy simple para Auth0 conectarse con nuestro sistema CRM para utilizar la base de datos existente como almacén de usuarios y actuar como proveedor de Identidades”. — Amol Date, JetPrivilege |
12. | ¿Cómo incorporarás a nuevos clientes B2B que deseen SSO para tu producto o servicio? ¿Puedes unirte con socios que utilicen Active Directory detrás del cortafuegos? |
“Configurar nuestra aplicación para que se integre con un socio y que luego ese socio actúe como centro de servicios para docenas de sistemas de identidad ayuda a simplificar el trabajo de nuestros equipos de desarrollo principales, a la vez que permite que nuestra clientela crezca exponencialmente”. — Cris Concepcion, Safari |
13. | Los distintos IdP de SAML pueden almacenar y entregar reclamaciones en muchos formatos. ¿Disponen de un método sencillo para normalizar las reclamaciones? |
14. | OpenID Connect es un nuevo y popular estándar de autenticación: REST/JSON, basado en OAuth2, fácil de desarrollar. Pero el diablo de la interoperabilidad está en los detalles. ¿Cómo lo implementarás en las pilas de desarrollo y en los clientes? |
Seguridad y cumplimiento
15. | Los sistemas de identidad son un blanco atractivo para los ataques. ¿Has pensado en aplicar protecciones de fuerza bruta? ¿Prevención y mitigación de DDoS en puntos finales? |
16. | ¿Deberías recurrir a consultorías de seguridad de terceros para realizar pruebas de penetración independientes, revisiones y auditorías de código y revisiones de arquitectura para validar la seguridad y las prácticas recomendadas? |
17. | ¿Cómo gestionarás los informes de la comunidad de seguridad sobre vulnerabilidades en tu implementación de identidad? |
“Toda tecnología tiene vulnerabilidades, y si no se dispone de un proceso público para que los hackers responsables las denuncien, solo se va a saber de ellas a través de ataques en el mercado negro”. — Alex Rice, Facebook, en “HackerOne Connects Hackers With Companies, and Hopes for a Win-Win”, The New York Times, 7 de junio de 2015 |
18. | ¿Necesitarás autenticación contextual escalonada? Por ejemplo, ¿un rango de IP o la pertenencia a un grupo de Active Directory? ¿Políticas de contraseñas? ¿O la autenticación sin contraseña podría ser una opción para tus usuarios? |
A tiempo, por debajo del presupuesto
19. | ¿Cuánto personal necesitarás, incluidos los de operaciones informáticas, desarrolladores y servicios externos, como expertos forenses? Estas personas son difíciles de encontrar y caras de contratar. ¿De dónde sacarás ese talento y cuánto te costará? |
“La demanda de profesionales de la seguridad está creciendo, pero la oferta de profesionales de la seguridad no crece al mismo ritmo. El resultado son unos salarios crecientes”. — “The 2015 (ISC)2 Global Information Security Workforce Study”, Frost & Sullivan, 16 de abril de 2015 |
20. | ¿Cuál es la fecha prevista para iniciar la producción? ¿Cuánto tiempo/cuántas iteraciones requerirá la implementación de tu solución IAM? |
“Mientras otros proveedores establecían plazos de implementación de meses, Auth0 prometió un plazo de solo unas semanas”. — Amol Date, JetPrivilege |
Regístrese gratis
Empiece a construir hoy mismo y proteja sus aplicaciones con la plataforma de identidad Auth0.
