Hoy en día, todas las empresas son empresas de software y la innovación es una prioridad para todos. Además de su funcionalidad comercial principal, las aplicaciones de software modernas deben incluir características que todos esperan como elementos imprescindibles, como la colaboración, el uso compartido y los equipos.
Sin embargo, cuando los recursos de desarrollo son limitados, lo último que desea es inundar a su equipo con nuevos requisitos de autorización para respaldar las necesidades cada vez mayores de los estándares que su aplicación debe admitir, incluidos la seguridad, el control y el cumplimiento.
A medida que las aplicaciones SaaS se vuelven cada vez más sofisticadas, colaborativas y ricas en funciones, la autorización puede convertirse en un verdadero dolor de cabeza, atando el tiempo de los desarrolladores para construir repetidamente múltiples capas de permisos en el código de la aplicación.
¿Cuál es el problema?
A menudo, los enfoques de autorización no pueden cumplir con los complejos requisitos de las soluciones SaaS altamente colaborativas de hoy en día. Dar a sus usuarios acceso a los activos de la aplicación solía ser bastante sencillo.
Los permisos a menudo se otorgaban en función de roles predefinidos: si un empleado está en el equipo de recursos humanos, obtiene acceso a las capacidades de incorporación. Sin embargo, a medida que las soluciones SaaS agregan más funciones de colaboración e incluyen una gama más amplia de usuarios, desde empleados y socios hasta clientes y contratistas, el control de acceso basado en roles (RBAC) ya no es suficiente.
Autorización descentralizada = Mejor cumplimiento, auditoría y brechas de seguridad
RBAC y otros métodos tradicionales para asegurar y administrar el acceso a documentos, archivos y otros tipos de activos generalmente se basan en la codificación dentro de la aplicación o en soluciones puntuales heredadas. Sin embargo, la propagación de la lógica de autorización en múltiples aplicaciones puede aumentar rápidamente el cumplimiento, la auditoría y las vulnerabilidades de seguridad.
Más puntos de acceso resultan en más riesgo, desde un punto de vista de seguridad, auditoría y cumplimiento. Pero los riesgos aumentan en industrias fuertemente reguladas como los servicios financieros y la atención médica.
La autorización granular es más segura, precisa y escalable
En un entorno SaaS moderno, las organizaciones podrían necesitar conceder acceso a proyectos, activos y capacidades de acuerdo con una gama más granular de parámetros, y a usuarios internos y externos de una organización. Piense, por ejemplo, en una aplicación de historia clínica a la que deben acceder tanto los trabajadores sanitarios como los pacientes, con diferentes niveles de visibilidad de la información permitidos.
La autorización de grano fino (FGA) ofrece más opciones para otorgar permisos definidos con precisión a proyectos, registros, archivos y más. Cuando se centraliza este enfoque (en lugar de integrarlo en el código de la aplicación), puede hacer la vida mucho más fácil a sus desarrolladores. Pueden escalar más fácilmente para satisfacer las solicitudes de autorización nuevas y cambiantes, manteniendo al mismo tiempo niveles más altos de seguridad y cumplimiento.
Cinco preguntas que debe hacerse sobre FGA
¿Aún no está seguro de si su organización necesita una solución para FGA? Aquí hay cinco preguntas clave para hacer:
- ¿Está agregando o mejorando las funciones de colaboración dentro de su solución? Ya sea que su solución ayude a las personas a trabajar juntas en un proyecto de manera más eficiente, acceder a recursos como la banca móvil o los registros médicos, o interactuar en tiempo real, más capacidades para la colaboración y el intercambio conducen a requisitos de autorización más complejos.
- ¿Tiene requisitos estrictos de auditoría y cumplimiento y/o vende a empresas con requisitos estrictos de auditoría/cumplimiento?
Muchas de las aplicaciones SaaS actuales también deben admitir reglas de cumplimiento y auditoría, especialmente en finanzas, atención médica y servicios legales. La lógica de autorización descentralizada es difícil de auditar y puede generar riesgos de seguridad y cumplimiento. - ¿Necesitas un control de autorización más granular y flexible que el que proporciona RBAC?
Cuando necesitas conceder acceso a las aplicaciones basándote en una combinación de parámetros en lugar de en uno solo, RBAC puede ser limitante. Tal vez tu aplicación sea utilizada por colaboradores internos y externos que necesitan diferentes niveles de acceso, o tienes situaciones en las que un usuario puede necesitar entrar en una aplicación durante un tiempo limitado (para solucionar un ticket de soporte, por ejemplo). - ¿Es difícil obtener visibilidad de quién puede acceder a qué?
Idealmente, desea administrar e implementar de forma centralizada el control de acceso y los permisos en todo el panorama de SaaS. - ¿Tus desarrolladores están dedicando demasiado tiempo en general a la autorización? La creación de capacidades de autorización y la activación y desactivación de permisos a nivel de código requiere mucho tiempo y puede aumentar los riesgos de seguridad. Ese es tiempo que podría dedicarse a la innovación de productos.
Si respondió “sí” a alguna de las preguntas anteriores, es hora de evolucionar su estrategia de control de acceso. Okta tiene una introducción que puede ayudarlo a encaminarse hacia una autorización más escalable, flexible, compatible y segura. Lea nuestro documento técnico sobre la autorización detallada de Okta para obtener más información.
