Para las empresas modernas, la automatización es el motor de la eficiencia. Sin embargo, para que la automatización realmente escale, debe evolucionar de una herramienta especializada gestionada por unos pocos expertos a una capacidad de colaboración compartida entre los equipos de TI y seguridad, y de la empresa en su totalidad. El desafío para el equipo directivo no radica solamente en crear más automatizaciones, sino en hacerlo con un modelo de gobernanza que sea escalable.
Para ayudar a nuestros clientes a avanzar en sus recorridos de automatización con confianza, nos complace anunciar el lanzamiento —con acceso anticipado— del control de acceso basado en roles (RBAC) para carpetas y las conexiones de ámbito definido en carpetas para Okta Workflows.
La visión: Posibilitar el recorrido de automatización de las empresas
Nuestro objetivo es transformar Okta Workflows en una plataforma de colaboración que respalde a toda la organización. Al usar controles de acceso granular, permitimos que los equipos de TI dejen de ser los creadores principales y se conviertan en habilitadores estratégicos que facultan a cada departamento a automatizarse de forma segura.
Con estos controles nuevos, se puede otorgar a cada equipo la autonomía para gestionar sus propios requerimientos de automatización y mantener al mismo tiempo una supervisión centralizada. Las unidades de negocio, desde RR. HH. hasta Finanzas, ahora pueden crear y gestionar soluciones propias para sus departamentos dentro de un entorno gobernado. Esto elimina de manera efectiva el cuello de botella de TI y libera recursos valiosos de este departamento para otras tareas críticas, mientras que les permite a los equipos de toda la empresa acelerar su transformación digital.
Delegación segura mediante el RBAC para carpetas
La seguridad y la agilidad no deberían ser un lujo. Con el RBAC para carpetas, ahora es posible gestionar usuarios y recursos con precisión. En lugar de otorgar acceso general a toda la organización a la plataforma Workflows, los administradores pueden organizar los recursos en carpetas (estructuradas por proyecto, departamento o región geográfica) y asignar roles específicos dentro de esos límites definidos. Este enfoque de “ecosistema cerrado” garantiza que los usuarios tengan exactamente los permisos que necesitan para ser productivos, sin el riesgo de visualizar o modificar recursos fuera de su alcance.
Nuevos roles para cada perfil
Además de los tres roles publicados anteriormente (administrador de Workflows, auditor de Workflows y gerente de conexiones), que permiten ver toda la organización de Workflows, lanzamos cuatro roles nuevos para las carpetas:
- Administrador de carpeta. Actúa como el “administrador” de una carpeta específica, con control total sobre todos los recursos y la capacidad de gestionar las asignaciones de roles de usuario para esa carpeta.
- Editor de carpeta. Proporciona acceso completo para crear y gestionar flujos, tablas y conexiones, lo que lo convierte en el rol ideal para los desarrolladores de automatización principales que no necesitan gestionar el acceso de los usuarios.
- Ejecutor de carpeta. Ofrece acceso de solo lectura a los recursos de la carpeta, a la vez que permite a los usuarios activar manualmente los flujos y revisar el historial de ejecución para la resolución de problemas y el soporte operativo.
- Lector de carpeta. Otorga acceso de solo lectura para ver la lógica de los flujos y tablas, lo que ofrece un entorno seguro para que las partes interesadas o las personas en etapa de entrenamiento aprendan sin riesgo de realizar cambios.
Mitigación de riesgos con conexiones de ámbito definido
En un entorno de automatización complejo, la gestión del acceso a las API y cuentas de servicio de terceros es una prioridad máxima de seguridad. Con la introducción de las conexiones con ámbito definido en carpetas, ahora es posible limitar el uso de credenciales altamente privilegiadas a carpetas y usuarios específicos autorizados.
¿Qué significa esto para su postura de seguridad?
- Aplicación del privilegio mínimo: permite restringir las conexiones altamente privilegiadas (como un sistema confidencial de RR. HH.) únicamente a los equipos y carpetas específicos que las requieran.
- Limitación del “radio de explosión”: al definir el ámbito de la conexión a una carpeta, ayuda a garantizar que, incluso si un flujo está mal configurado o un usuario comete un error, la posibilidad de que los privilegios se extiendan quede estrictamente limitado de esa carpeta.
- Gobernanza y visibilidad proactivas: antes de asignar una conexión a una carpeta, los administradores ven claramente cuántos usuarios tienen acceso a esa carpeta. Esta visibilidad evita que las credenciales confidenciales se “compartan en exceso” de manera accidental.
Cómo dominar la expansión de la automatización
Ampliar el acceso a más equipos es una medida poderosa. Ahora bien, sin los controles adecuados, la “expansión de la automatización” puede generar brechas de visibilidad que dificulten que el equipo de TI pueda proteger cada conexión y flujo. La gestión de usuarios y conexiones a nivel de carpetas ofrece la estructura lógica necesaria para mantener su entorno organizado y seguro.
Al brindar más control sobre las automatizaciones que los usuarios pueden crear y los recursos que pueden utilizar, las organizaciones pueden mantener un estándar elevado de gobernanza. Esto significa que cada flujo creado es intencional, está documentado y se ajusta a las políticas internas, incluso a medida que el volumen de automatizaciones activas crece en toda la empresa.
Empiece a avanzar hoy mismo
El RBAC para carpetas y las conexiones de ámbito definido en carpetas ya están disponibles mediante acceso anticipado. El objetivo de este lanzamiento es sentar bases sólidas para un crecimiento exponencial. Ya sea que capacite a usuarios nuevos en calidad de “lectores” para desarrollar su futuro grupo de talentos o que otorgue a un equipo global de DevOps derechos de “administrador de carpeta” para manejar tareas regionales, Okta Workflows proporciona las herramientas necesarias para escalar de forma segura.
Primeros pasos
- Conozca los roles: consulte nuestra documentación técnica para obtener un detalle completo de las vinculaciones y permisos de cada rol.
- Organice sus recursos: le recomendamos empezar auditando los flujos actuales y organizándolos en una estructura de carpetas que refleje las necesidades de su organización o departamento.
- Audite sus conexiones: use este lanzamiento como una oportunidad para revisar sus conexiones globales. Identifique las cuentas de servicio con privilegios elevados que deban restringirse a carpetas específicas para reducir el riesgo de seguridad general.
- Incorpore a nuevos talentos: aproveche los roles de lector de carpeta y ejecutor de carpeta para ayudar a insertar de forma segura a los nuevos miembros del equipo en los flujos de trabajo. Pueden aprender observando la lógica actual sin el riesgo de realizar cambios accidentales en los flujos de producción.
