Digamos que eres un ingeniero dedicado al desarrollo de software, y que trabajas para una empresa que se encarga de desarrollar software o para una empresa que tiene sistemas a los que les das mantenimiento. O bien puedes ser una persona encargada de buscar las mejores soluciones tecnológicas para tu empresa y mantenerla siempre actualizada, eficiente y segura.
En cualquier caso la llegada de un nuevo requerimiento de desarrollo de una nueva solución software pasa por los siguientes aspectos de seguridad que los muestro en forma de preguntas:
- Cómo se gestionarán los usuarios y los roles? En que mecanismo serán almacenados, BBDD, LDAP, ficheros, etc…?
- ¿Qué tipos de autenticación se brindarán, la típica de usuario/contraseña, se usará algún tipo de certificado digital, algún token, se usará alguna autenticación contra redes sociales como facebook, google, etc..?
- ¿Qué pasa con las BBDD que ya tenemos creadas de usuarios y roles de otras aplicaciones, no podemos reutilizarlas?¿Afectará en algo a las soluciones actuales si las uso?
- ¿En la empresa hay un LDAP, se podrá usar, lo uso?
- Mi empresa matriz gestiona la autenticación de forma centralizada, ¿podré conectar esta nueva aplicación a dicha autenticación?
- ¿Cómo logro que mis clientes, que no tienen por qué estar registrados en este nuevo sistema, puedan acceder al mismo y a sus funcionalidades sin tener que registrarlos?
- ¿Qué hago si me piden autenticación en múltiples pasos, para determinados usuarios o para determinados tipos de acceso?
- ¿Podré migrar los usuarios que tengo registrados en sistemas viejos a este sistema nuevo, qué tan complicado puede ser? ¿Cómo logro que los atributos de los usuarios de esos sistemas viejos se incluyan en el sistema nuevo?
- ¿Si ya mi ecosistema de aplicaciones va creciendo, cómo controlo los temas de seguridad de manera centralizada para no tener que estar entrando una por una a cada aplicación?
- En caso que un usuario cause alta o baja de la empresa, ¿tengo que ir sistema por sistema realizando la misma acción?
- Mis usuarios tienen que recordar una contraseña más, ¿sería posible lograr una única cuenta para todas las aplicaciones?
Continuar leyendo “BUS de Identidad como herramienta de seguridad empresarial”