Página web
Volver a la descripción general

Identity and Access Management (IAM)

Identity and Access Management (IAM) designa todos los procesos y sistemas con los que las organizaciones gestionan las identidades digitales de sus usuarios y controlan quién puede acceder a qué sistemas, aplicaciones y datos. IAM abarca el ciclo de vida completo de una identidad de usuario: desde la creación de una nueva cuenta durante el onboarding, pasando por la adaptación de permisos en cambios de rol, hasta la desactivación completa al abandonar la organización. El objetivo es gestionar el acceso a los recursos de TI de forma selectiva, trazable y segura.

IAM se basa en el principio de mínimo privilegio, es decir, que los usuarios solo pueden acceder a los recursos que realmente necesitan para su tarea concreta. Técnicamente se implementa con frecuencia mediante control de acceso basado en roles, en el que los permisos se asignan no a usuarios individuales, sino a roles definidos. Componentes conocidos de un sistema IAM son los servicios de directorio como Active Directory (AD) o LDAP, Single Sign-On (SSO) para la autenticación unificada, y Privileged Access Management para las cuentas de administrador especialmente sensibles.

Para organismos públicos y empresas con muchos empleados y estructuras de TI complejas, IAM es una herramienta central para el cumplimiento de los requisitos normativos. Cuando un empleado abandona la empresa pero su cuenta no se desactiva a tiempo, se genera un riesgo de seguridad inmediato. Los sistemas IAM automatizan estos procesos y garantizan que los permisos de acceso se concedan, revoquen y registren de forma consistente y auditable. Especialmente en el contexto de NIS2 y BSI IT-Grundschutz, esta trazabilidad documental es un factor decisivo.

La ventaja esencial de un IAM bien diseñado reside en la combinación de seguridad y eficiencia. Los departamentos de TI se ven aliviados porque los permisos se asignan y adaptan automáticamente, mientras que al mismo tiempo se reduce el riesgo de cuentas huérfanas y accesos no autorizados. Para las organizaciones sujetas a requisitos regulatorios, IAM crea además la documentación trazable que se necesita en auditorías y requerimientos de las autoridades.

IAM constituye la base organizativa sobre la que medidas técnicas como la gestión y protección centralizada de dispositivos finales despliegan todo su efecto.