Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Yohan López Castaño Proyecto presentado para optar al título de Ingeniero de Sistemas Modalidad de Práctica Semestre de Industria o Práctica Empresarial Asesoras​ Natacha Rodríguez Agudelo, Magíster (MSc) en Ingeniería de Sistemas. Deisy Yuried Loaiza Berrío, Ingeniera de sistemas ​ Universidad de Antioquia Facultad de Ingeniería Ingeniería de Sistemas Medellín, Antioquia, Colombia 2025 ​ Cita (López castaño, 2025) Referencia Estilo APA 7 (2020) López Castaño, Y. (2025). Título: Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas. Universidad de Antioquia, Medellín, Colombia. Centro de Documentación Ingeniería (CENDOI) Repositorio Institucional: http://bibliotecadigital.udea.edu.co Universidad de Antioquia - www.udea.edu.co El contenido de esta obra corresponde al derecho de expresión de los autores y no compromete el pensamiento institucional de la Universidad de Antioquia ni desata su responsabilidad frente a terceros. Los autores asumen la responsabilidad por los derechos de autor y conexos. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Dedicatoria A mi familia, por su apoyo incondicional durante todo este proceso. ​ ​ Agradecimientos Agradezco a mi orientador, a la Universidad de Antioquia y a la empresa que me brindó la oportunidad de realizar esta práctica. ​ Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Tabla de contenido Resumen​ 8 Abstract​ 9 1. Introducción​ 10 2. Objetivos​ 11 3. Marco teórico​ 12 4. Metodología​ 13 5. Análisis de resultados​ 14 6. Conclusiones y recomendaciones​ 22 Referencias​ 23 https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.eontae88ysvy https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.4yz3onmdfffo https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.cpjjddtggpac https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.cpjjddtggpac Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Lista de tablas Tabla 1 Resultados esperados de la implementación IAM​ 16 Tabla 2 Cronograma de actividades por fase del proyecto IAM​ 17 Tabla 3 Encuesta de satisfacción de usuarios clave sobre el sistema IAM​ 18 ​ Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Lista de figuras Figura 1 Arquitectura general de la solución IAM​ 19 Figura 2 Arquitectura de integración Siebel movil​ 19 Figura 3 Diagrama de ciclo de vida de una identidad digital en la organización​ 20 Figura 4 Interfaz de configuración de roles IAM​ 20 Figura 5 Interfaz para agregar el DA correspondiente a un rol​ 21 https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.v8w7954luttl https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.v8w7954luttl https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.v8w7954luttl https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.v8w7954luttl https://docs.google.com/document/d/1amOgDIUmIunmbcnWYA0YaA2UA6AIFnOA/edit?pli=1#heading=h.v8w7954luttl Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Siglas, acrónimos y abreviaturas IAM​ ​ ​ Identity and Access Management (Gestión de Identidades y Accesos) MFA​ ​ ​ Multi-Factor Authentication (Autenticación Multifactor) SSO​ ​ Single Sign-On (Inicio de sesión único) RBAC​​ ​ Role-Based Access Control (Control de acceso basado en roles) NIST​ ​ ​ National Institute of Standards and Technology MSc​ ​ ​ Tecnologías de la Información NIST​ ​ ​ National Insitute of Standards and Technology Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Resumen Este trabajo presenta una propuesta de implementación de una solución para la gestión de identidades y accesos (IAM) en una organización que opera aplicaciones críticas. La creciente dependencia de infraestructuras digitales, el aumento del trabajo remoto y las regulaciones en materia de seguridad informática hacen necesaria una estrategia sólida que garantice el acceso seguro y eficiente a los recursos tecnológicos. El proyecto se estructura en fases que abarcan el diagnóstico, diseño, implementación, capacitación, monitoreo y auditoría. Se incorporan prácticas como el principio de mínimo privilegio, el uso de autenticación multifactor (MFA) y la automatización del ciclo de vida de las identidades digitales. Los resultados esperados incluyen una mejora significativa en la postura de seguridad de la organización, la reducción de riesgos de accesos no autorizados y el cumplimiento de normativas internacionales. Este trabajo contribuye a la adopción de buenas prácticas en ciberseguridad y a la modernización de los procesos de control de acceso.​ ​ Palabras clave: IAM, gestión de identidades, MFA, ciberseguridad, autenticación, control de acceso. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Abstract This project presents a proposal for the implementation of an Identity and Access Management (IAM) solution in an organization that operates critical applications. The growing reliance on digital infrastructure, the rise of remote work, and increasing security regulations require a strong strategy to ensure secure and efficient access to IT resources. The project is structured into phases covering assessment, design, implementation, training, monitoring, and auditing. It incorporates best practices such as least privilege, multifactor authentication (MFA), and automation of the digital identity lifecycle. The expected outcomes include a significant improvement in the organization's security posture, reduction of unauthorized access risks, and compliance with international standards. This work contributes to the adoption of cybersecurity best practices and the modernization of access control processes.​ ​ Keywords: IAM, identity management, MFA, cybersecurity, authentication, access control. ​ Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas 1. Introducción En la actualidad, las organizaciones enfrentan crecientes desafíos en materia de seguridad informática debido a la complejidad de sus entornos tecnológicos, el trabajo remoto y el cumplimiento normativo. Estos factores hacen imperativo adoptar soluciones que garanticen un control adecuado sobre quién accede a qué información, en qué momento y con qué permisos. La Gestión de Identidades y Accesos (IAM, por sus siglas en inglés) se erige como un pilar clave para proteger la confidencialidad, integridad y disponibilidad de los recursos organizacionales.​ ​ La ausencia de controles adecuados en este ámbito puede conducir a accesos indebidos, privilegios excesivos, cuentas huérfanas y, en consecuencia, vulnerabilidades críticas. La organización objeto de estudio busca fortalecer su postura de ciberseguridad mediante la implementación de una solución IAM moderna y eficiente, que le permita afrontar dichos retos con mayor resiliencia.​ ​ Este proyecto propone un enfoque metodológico basado en fases que incluyen el diagnóstico del estado actual, el diseño de políticas de acceso, la integración de tecnologías como SSO y MFA, la automatización de procesos y la formación de usuarios clave. Asimismo, se contempla la auditoría de accesos para garantizar transparencia y cumplimiento normativo. El objetivo general es implementar una solución IAM que transforme la gestión de accesos en un proceso seguro, auditable y alineado con las mejores prácticas del sector.​ ​ Por lo tanto, este trabajo responde a una necesidad crítica de las organizaciones modernas: proteger sus activos digitales a través de una gestión adecuada de identidades. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas 2. Objetivos 2.1 Objetivo general Implementar una solución de gestión de identidades y accesos (IAM) para las aplicaciones críticas de la organización, que permita automatizar, controlar y auditar de manera eficiente el acceso a los recursos tecnológicos, fortaleciendo la seguridad y el cumplimiento normativo. 2.2 Objetivos específicos ●​ Evaluar el estado actual de configuración y uso de la herramienta IAM en los procesos críticos de la organización. ●​ Ajustar políticas y controles dentro de la solución IAM para alinearse con principios de seguridad como el mínimo privilegio y la separación de funciones. ●​ Integrar mecanismos de autenticación multifactor (MFA) y Single Sign-On (SSO) con las aplicaciones críticas restantes. ●​ Automatizar los flujos de alta, modificación y baja de usuarios para reducir errores humanos y tiempos de respuesta. ●​ Capacitar a los administradores y usuarios clave sobre el uso seguro y eficiente de la solución IAM. ●​ Establecer un sistema continuo de monitoreo y auditoría de accesos para detectar anomalías y facilitar auditorías internas y externas.​ ​ Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas 3. Marco teórico La Gestión de Acceso e Identidades (IAM) constituye un conjunto de políticas, procesos y tecnologías que permiten garantizar que las personas adecuadas (usuarios internos, externos o sistemas) tengan acceso autorizado a los recursos tecnológicos correctos en el momento oportuno (Tipton & Krause, 2007). Este enfoque permite no solo proteger la información sensible, sino también asegurar la continuidad del negocio mediante la administración eficiente del acceso a los activos digitales. Entre las funciones clave de una solución IAM se encuentran: ●​ Gestión del ciclo de vida de identidades: abarca desde la creación hasta la eliminación de usuarios, incluyendo cambios de rol y revocación de privilegios (ISO/IEC 27001, 2013).. ●​ Control de acceso basado en roles (RBAC): asigna permisos en función de perfiles definidos, reduciendo la complejidad de la gestión y el riesgo de errores humanos. ●​ Autenticación y autorización: mediante contraseñas, tokens, MFA, certificados digitales o biometría, se garantiza que el acceso sea otorgado únicamente a identidades validadas (NIST SP 800-63-3, 2017). ●​ SSO y MFA: contribuyen a mejorar la experiencia del usuario mientras fortalecen la seguridad frente a amenazas externas. ●​ Auditoría y monitoreo: componentes fundamentales que permiten detectar anomalías en tiempo real y cumplir con estándares internacionales como GDPR, HIPAA o ISO 27001 (Fernández-Medina & Piattini, 2010). El marco conceptual de esta propuesta se apoya en normativas como la ISO/IEC 27001, que establece los requisitos para un sistema de gestión de la seguridad de la información, y la guía NIST SP 800-63-3, la cual aborda los estándares de autenticación digital. De igual forma, autores como Torres (2020) destacan la gobernanza de TI y la gestión de identidades como aspectos estratégicos para asegurar la resiliencia y confiabilidad de los sistemas empresariales actuales. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas 4. Metodología La metodología utilizada para la implementación de la solución IAM se basa en un enfoque por fases, lo cual permite una adopción estructurada, escalable y adaptable a las necesidades de la organización. Se emplea un enfoque cualitativo y descriptivo, centrado en la recolección de información de procesos actuales, necesidades tecnológicas, políticas de seguridad y expectativas de los usuarios clave.​ ​ Las etapas de desarrollo consideradas son:​ ​ 1. Levantamiento de requerimientos: mediante entrevistas, análisis de documentación y observación directa, se identifican las aplicaciones críticas, los flujos de acceso actuales y los actores involucrados.​ 2. Diseño de la solución: se define la arquitectura de acceso, roles y permisos, alineados con el principio de mínimo privilegio.​ 3. Implementación técnica: configuración de la herramienta IAM, integración con aplicaciones internas y activación de autenticación multifactor (MFA).​ 4. Pruebas y validación: ejecución de pruebas funcionales, pruebas de estrés, y validaciones de seguridad.​ 5. Capacitación y gestión del cambio: desarrollo de talleres con administradores y usuarios clave, socialización de nuevas políticas.​ 6. Puesta en marcha y monitoreo: despliegue gradual de la solución, supervisión de accesos y ajustes basados en retroalimentación.​ 7. Auditoría inicial: revisión de controles de seguridad, cumplimiento normativo y recomendaciones para mejora continua.​ ​ Este enfoque garantiza que la solución IAM no solo cumpla con requisitos técnicos, sino también organizacionales y culturales. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas 5. Análisis de resultados La implementación de la solución IAM permitió alcanzar múltiples beneficios operativos y de seguridad en la organización. Durante el despliegue, se evidenció una reducción en el tiempo de provisión de usuarios, pasando de varios días a pocas horas, gracias a la automatización de procesos. Asimismo, se logró identificar y eliminar cuentas huérfanas existentes en los sistemas críticos, disminuyendo el riesgo de accesos indebidos.​ La adopción de autenticación multifactor (MFA) contribuyó a mitigar ataques de suplantación de identidad, mientras que la implementación de Single Sign-On (SSO) mejoró la experiencia de usuario sin comprometer la seguridad. Se registró una mayor satisfacción de los usuarios internos, debido a la simplificación de sus accesos.​ Desde el punto de vista normativo, la solución facilitó la generación de reportes de auditoría, con trazabilidad completa de accesos y cambios en permisos. Esto resultó clave para la preparación de auditorías internas y el cumplimiento con normativas como la ISO/IEC 27001.​ Finalmente, se fortaleció la cultura organizacional en torno a la ciberseguridad, con una participación activa de los usuarios clave en procesos de formación y retroalimentación. Cumplimiento de los objetivos específicos: ●​ Se realizó un diagnóstico técnico de los sistemas existentes para identificar cómo se gestionan actualmente los accesos y las identidades. Se revisaron logs, políticas de acceso, roles definidos y herramientas utilizadas (en caso de existir). También se aplicaron entrevistas a personal técnico y administrativo para entender flujos de acceso manuales o semiautomatizados. Esta fase permitió detectar debilidades como cuentas huérfanas, privilegios excesivos y ausencia de trazabilidad. ●​ Con base en el diagnóstico, se diseñaron políticas de control de acceso basadas en roles (RBAC). Se aplicó el principio de mínimo privilegio redefiniendo roles por área y función, y se validó con los líderes de procesos. Además, se configuraron restricciones por horario, por IP y por tipo de acción. También se eliminaron accesos innecesarios y se documentaron nuevas reglas de asignación y revocación de privilegios. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas ●​ Se investigaron las alternativas de MFA más viables para el entorno de la organización. Se implementó la autenticación multifactor usando un segundo factor basado en aplicación TOTP (tipo Google Authenticator) y correo electrónico. Para el SSO, se integraron los sistemas con un proveedor centralizado mediante protocolos OAuth 2.0 y OpenID Connect. Estas integraciones fueron probadas en entornos de desarrollo y luego desplegadas progresivamente. ●​ Se desarrollaron scripts y flujos automatizados que permiten registrar nuevos usuarios a partir de solicitudes aprobadas, asignarles automáticamente los roles adecuados según su área, y revocar sus accesos al finalizar su relación con la organización. Esta automatización se conectó con el sistema de recursos humanos, asegurando sincronización de estados. Se validó el correcto funcionamiento mediante escenarios simulados. ●​ Se elaboraron manuales de usuario, sesiones de formación práctica y material audiovisual básico para enseñar a los usuarios clave cómo ingresar, gestionar sus credenciales y reportar incidentes. Las capacitaciones fueron presenciales y virtuales, según disponibilidad. Al final del proceso, se aplicó una encuesta de satisfacción donde el 87 % manifestó entender el nuevo sistema y sentirse más seguros. ●​ Se activaron registros de logs en tiempo real y alertas automáticas ante accesos fuera de horario, múltiples intentos fallidos o uso de credenciales vencidas. Estos eventos se integraron con el sistema de monitoreo de seguridad de la organización (SIEM). Además, se configuraron reportes periódicos para auditoría interna y cumplimiento de normas como ISO/IEC 27001. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Tabla 1 ​ Resultados esperados de la implementación IAM Resultado esperado Relación con el objetivo Automatización del ciclo de vida del usuario Objetivo 4 Control centralizado de accesos Objetivo 1 y 2 Integración de MFA y SSO Objetivo 3 Mejora en la trazabilidad y cumplimiento Objetivo 6 Reducción de errores humanos y privilegios excesivos Objetivo 2 y 4 * Elaboración propia con base en los objetivos del proyecto. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Tabla 2 Cronograma de actividades por fase del proyecto IAM Fase Actividad Duración Estimada Semana(s) 1 Diagnóstico y levantamiento de requerimientos 3 semanas 1 - 3 2 Diseño de la solución y planificación técnica 3 semanas 4 - 6 3 Implementación técnica de la herramienta IAM 6 semanas 7 - 12 4 Pruebas funcionales y de seguridad 2 semanas 13 - 14 5 Capacitación y gestión del cambio 3 semanas 15 - 17 6 Puesta en marcha (fase piloto y despliegue) 4 semanas 18 - 21 7 Monitoreo, ajustes y optimización 2 semanas 22 - 23 8 Cierre del proyecto y auditoría inicial 1 semanas 24 * Elaboración propia con base en los objetivos del proyecto. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Tabla 3​ Encuesta de satisfacción de usuarios clave sobre el sistema IAM Ítem evaluado Porcentaje de aprobación (%) Facilidad para iniciar sesión 91% Claridad en los roles y permisos asignados 85% Confianza en el uso de MFA 89% Reducción de tiempos en gestión de accesos 86% Experiencia general con el nuevo sistema 87% * Elaboración propia con base en los objetivos del proyecto. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Figura 1​ Arquitectura general de la solución IAM Elaboración propia. Figura 2​ Arquitectura de integración Siebel Movil Fuente: UNE EPM Telecomunicaciones S.A. E.S.P. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Figura 3​ Diagrama de ciclo de vida de una identidad digital en la organización Elaboración propia. Figura 4​ Interfaz de configuración de roles en la plataforma IAM Fuente: UNE EPM Telecomunicaciones S.A. E.S.P. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Figura 5​ Interfaz para agregar el DA correspondiente a un rol Fuente: UNE EPM Telecomunicaciones S.A. E.S.P. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas 6. Conclusiones y recomendaciones La implementación de una solución de Gestión de Identidades y Accesos (IAM) permitió fortalecer la postura de seguridad de la organización, asegurando que los usuarios accedan únicamente a los recursos necesarios en el momento adecuado. Se logró automatizar el ciclo de vida de las identidades, integrar mecanismos de autenticación robustos como MFA y SSO, y establecer un sistema continuo de monitoreo y auditoría que facilita el cumplimiento normativo.​ ​ Además, se mejoró significativamente la eficiencia operativa del equipo de TI al reducir tareas manuales y optimizar la asignación de permisos. La capacitación a usuarios clave también fomentó la apropiación de buenas prácticas en seguridad digital, contribuyendo a una cultura organizacional más consciente frente a los riesgos tecnológicos.​ ​ Recomendaciones:​ ● Continuar con la revisión periódica de roles y permisos asignados para mantener el principio de mínimo privilegio.​ ● Realizar auditorías trimestrales para detectar accesos inusuales o configuraciones erróneas.​ ● Evaluar la inclusión de análisis de comportamiento basado en IA para detección de anomalías.​ ● Mantener actualizados los módulos de autenticación frente a nuevas amenazas.​ ● Ampliar el alcance del sistema IAM a otras áreas no críticas como soporte y áreas administrativas. Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Referencias Fernández-Medina, E., & Piattini, M. (2010). Seguridad en sistemas de información. RA-MA. Instituto Nacional de Estándares y Tecnología. (2017). Digital identity guidelines (NIST SP 800-63-3). https://doi.org/10.6028/NIST.SP.800-63-3 International Organization for Standardization. (2013). ISO/IEC 27001:2013: Information technology — Security techniques — Information security management systems — Requirements. Tipton, H. F., & Krause, M. (2007). Information security management handbook (6th ed.). Auerbach Publications. Torres, J. (2020). Gobernanza de TI y gestión de identidades en entornos empresariales. Revista Colombiana de Tecnología, 15(3), 45–57. Rioja, G. (2008). ¿Judicialización de la salud? el caso de las personas sordas [conferencia]. XIII Congreso de la Caja de Abogados de la Provincia de Buenos Aires, Buenos Aires, Argentina. Ruiz Rojas, G. A. (2014). Hacia la comprensión de la retórica como contenido formativo para la configuración de un sujeto deliberativo [tesis de maestría, Universidad de San Buenaventura Medellín]. Biblioteca Digital Universidad de San Buenaventura Colombia. https://doi.org/10.6028/NIST.SP.800-63-3 Implementación de herramienta para la gestión de identidades y acceso para las aplicaciones críticas Anexo 1. Póster En último lugar, se incluye el anexo del poster que utilizarás en la jornada de prácticas académicas, en caso de aplicar. Guárdelo de forma tal que no modifique el tamaño de las hojas ni afecte la presentación del documento. Resumen Abstract 1. Introducción 2. Objetivos 3. Marco teórico 4. Metodología 5. Análisis de resultados Cumplimiento de los objetivos específicos: 6. Conclusiones y recomendaciones Referencias