IAM — Definición IT
Identity and Access Management: conjunto de procesos, políticas y tecnologías que controlan quién accede a qué en el SI.
El IAM (Identity and Access Management, Gestión de Identidades y Accesos) es la disciplina que responde a una pregunta simple en apariencia y temible en la práctica: «¿quién tiene acceso a qué en el SI, en qué momento, y está justificado?». Uno de los pilares de la ciberseguridad moderna y un tema directamente vinculado con la gobernanza del SI.
Con la generalización del SaaS, el teletrabajo y el multi-cloud, el perímetro IAM ha explotado: un colaborador promedio usa hoy más de 35 aplicaciones al día. Según Verizon DBIR 2024, el 74 % de las violaciones de datos implican un factor humano y el 49 % una compromisión de credenciales.
Los ladrillos del IAM
- •Identity Provider (IdP): la fuente de verdad de las identidades (Microsoft Entra ID, Okta, Google Workspace, Ping).
- •[SSO](/es/glossary/sso): Single Sign-On, un solo login para acceder a todas las aplicaciones conectadas.
- •MFA / 2FA: Multi-Factor Authentication, segundo factor (TOTP, llave FIDO2, push móvil).
- •Provisioning automático (SCIM): creación y supresión de las cuentas en las apps objetivo.
- •PAM: (Privileged Access Management): gestión específica de las cuentas con altos privilegios.
- •CIAM: (Customer IAM): IAM orientado a los clientes externos.
IAM, IdM e IGA: aclarar los acrónimos
- •IdM: (Identity Management): la gestión técnica de las identidades.
- •AM: (Access Management): el control de acceso en el momento de uso.
- •IAM: el término genérico que cubre IdM + AM.
- •IGA: (Identity Governance and Administration): la dimensión gobernanza.
Los protocolos IAM estándar
- •SAML 2.0: estándar histórico del SSO empresarial.
- •OpenID Connect (OIDC): versión moderna basada en OAuth 2.0.
- •OAuth 2.0: para la delegación de autorización.
- •SCIM 2.0: para el provisioning automático de cuentas.
- •FIDO2 / WebAuthn: para la autenticación sin contraseña.
Por qué el IAM es un desafío estratégico
- •Seguridad: la compromisión de credenciales sigue siendo la principal causa de incidentes.
- •Conformidad: RGPD, NIS2, DORA, SOX, ISO 27001 imponen una trazabilidad de los accesos.
- •Productividad: un nuevo colaborador operativo desde el día 1.
- •Costo: sin automatización, hasta el 30 % de las cuentas SaaS permanecen activas tras la salida.
- •[Shadow IT](/es/glossary/shadow-it): las apps no gobernadas escapan al IAM.
Buenas prácticas IAM
- •Principio del mínimo privilegio: .
- •Zero Trust: nunca confiar, siempre verificar.
- •Revisiones de accesos periódicas: .
- •Joiner-Mover-Leaver automatizado: .
- •Centralización: un único IdP.
Kabeen revela automáticamente las aplicaciones usadas por los colaboradores, incluso fuera del SSO, y permite priorizar la vinculación al IdP central para cerrar los puntos ciegos.
Preguntas frecuentes
¿Qué es el IAM?
+
El IAM (Identity and Access Management) es la disciplina que gestiona quién tiene acceso a qué en el SI: cómo las identidades son creadas, autenticadas, autorizadas y revocadas. Combina el Identity Management (ciclo de vida de las cuentas), el Access Management (control de acceso en el momento de uso) y la gobernanza de los accesos (revisiones, certificación, conformidad).
¿Diferencia entre IAM, SSO y MFA?
+
El IAM es el conjunto más amplio: cubre la gestión del ciclo de vida de las identidades, la autenticación, la autorización y la gobernanza de los accesos. El SSO (Single Sign-On) es un componente del IAM que permite un login único para varias aplicaciones. La MFA (autenticación multifactor) es un mecanismo de autenticación reforzada que se añade a la contraseña. Los tres son complementarios.
¿Qué protocolos IAM hay que conocer?
+
Los estándares de referencia son SAML 2.0 (SSO empresarial histórico), OpenID Connect / OAuth 2.0 (versiones modernas para apps web y móviles), SCIM 2.0 (provisioning automático de cuentas) y FIDO2 / WebAuthn (autenticación sin contraseña vía passkeys). La mayoría de los editores SaaS soportan al menos SAML y SCIM; OIDC se impone progresivamente.
¿Por qué el IAM es crítico para la conformidad?
+
Porque las regulaciones principales (RGPD, NIS2, DORA, SOX, ISO 27001) imponen todas una trazabilidad de los accesos, revisiones de accesos periódicas y la aplicación del principio del mínimo privilegio. Sin IAM centralizado y automatizado, proporcionar estas pruebas se vuelve imposible a escala. Una fuga causada por una cuenta de ex-empleado no revocada puede acarrear sanciones y costos significativos.
Todos los términos
Método de las 5R
Una estrategia utilizada durante la racionalización de aplicaciones para determinar el mejor enfoque de gestión.
Método de las 8R
Una versión extendida del método 5R utilizada en la gestión del portafolio de aplicaciones y estrategias de migración.
Aplicación
Un programa informático o conjunto de programas diseñados para agilizar las operaciones comerciales.
Arquitectura
Se refiere a la estructura y comportamiento de los sistemas de TI, procesos e infraestructura dentro de una organización.
¿Necesita ayuda para mapear su panorama TI?
Kabeen le ayuda a inventariar, analizar y optimizar su portafolio de aplicaciones.