El IGA de código abierto cobra fuerza: las empresas replantean la gobernanza de identidades

El panorama de la gestión de identidades y accesos (IAM) empresarial se encuentra en un punto de inflexión. Durante años, las grandes organizaciones han dependido de suites monolíticas y propietarias de los principales proveedores para gobernar quién tiene acceso a qué dentro de sus ecosistemas digitales. Sin embargo, está surgiendo una potente contracorriente, impulsada en encuentros del sector como la reciente Gartner IAM Summit: la adopción estratégica de plataformas de Gobierno y Administración de Identidades (IGA) de código abierto. Este cambio representa algo más que una táctica de ahorro de costes; es un replanteamiento fundamental de cómo las empresas controlan el acceso, gestionan el cumplimiento normativo y preparan su postura de seguridad para el futuro.

Los impulsores: más allá del coste, hacia la flexibilidad estratégica

El atractivo inicial del IGA de código abierto suele ser financiero. Las licencias de suites IGA de nivel empresarial pueden ascender a millones, con costes adicionales por personalizaciones, integraciones y escalado. Las alternativas de código abierto presentan un modelo económico convincente. No obstante, como revelaron los debates en la cumbre, el principal motor para muchas grandes organizaciones es escapar del bloqueo del proveedor (vendor lock-in). Los sistemas propietarios pueden crear dependencia, limitando la capacidad de una organización para adaptarse rápidamente a nuevas tecnologías, integrar aplicaciones específicas o negociar condiciones favorables. El IGA de código abierto, construido sobre código transparente y estándares abiertos, devuelve el control a los equipos de TI y seguridad de la empresa.

Esta flexibilidad es crucial para abordar uno de los desafíos más persistentes del IGA: la incorporación de aplicaciones. Cada nueva herramienta SaaS, servicio en la nube o sistema heredado requiere su integración en el marco IGA para garantizar un aprovisionamiento de acceso, certificación y auditoría adecuados. Las soluciones propietarias a menudo tienen dificultades en este punto, requiriendo servicios profesionales costosos o soluciones complejas. En la cumbre de Gartner, Evolveum, un actor clave en el espacio del IGA de código abierto con su plataforma midPoint, mostró específicamente metodologías para agilizar este proceso de integración. Al aprovechar estándares abiertos y una arquitectura modular, demostraron cómo las organizaciones pueden reducir el tiempo y el coste de integrar aplicaciones, acelerando así la realización del valor del IGA y mejorando la higiene de seguridad general.

Convergencia con la autenticación moderna

El movimiento del IGA de código abierto no está ocurriendo de forma aislada. Se complementa con otra gran tendencia que domina las conferencias de ciberseguridad: la muerte de la contraseña. El impulso hacia la autenticación sin contraseñas—utilizando claves de seguridad FIDO2, passkeys con biometría y un inicio de sesión único (SSO) perfecto—está remodelando la experiencia de usuario en la gestión de identidades. Artículos y sesiones, incluidos los de medios tecnológicos europeos, enfatizan la rápida adopción empresarial de estos estándares para mejorar la seguridad y la usabilidad.

Esto crea una oportunidad sinérgica. Un backend IGA robusto y flexible es esencial para gobernar estos métodos de autenticación modernos. El IGA define quién debería tener acceso a un sistema; la autenticación sin contraseñas verifica que sea esa persona. Una plataforma IGA de código abierto puede adaptarse más fácilmente para gestionar el ciclo de vida de los passkeys, gobernar las políticas de acceso para aplicaciones autenticadas con FIDO2 y proporcionar los rastros de auditoría que exigen los reguladores, todo ello sin verse limitada por la hoja de ruta de un proveedor.

Implicaciones para la comunidad de ciberseguridad

Para los líderes de seguridad, este cambio presenta tanto oportunidades como desafíos. La oportunidad reside en construir un tejido de identidad más resiliente, adaptable y rentable. Los equipos pueden personalizar la solución IGA según su perfil de riesgo exacto y arquitectura de TI, integrar autenticación de vanguardia y fomentar la innovación a través del desarrollo impulsado por la comunidad. El modelo de código abierto también fomenta una experiencia interna más profunda, ya que los equipos se involucran con el código y contribuyen, lo que conduce a una postura de seguridad más sólida en general.

Los desafíos son principalmente operativos. Adoptar IGA de código abierto requiere un compromiso de recursos internos de desarrollo y operaciones. El "software libre" no es libre de operar; traslada el coste de las licencias a la experiencia. Las organizaciones deben evaluar su preparación para proporcionar soporte 24/7, gestionar actualizaciones y garantizar la seguridad de la base de código que ejecutan. Sin embargo, la aparición de ofertas de soporte comercial de empresas como Evolveum proporciona un término medio, ofreciendo soporte de nivel empresarial para el núcleo de código abierto.

El camino por delante

La tendencia hacia el IGA de código abierto significa una maduración del mercado de la ciberseguridad. Refleja un deseo de interoperabilidad, transparencia y control en una de las capas más críticas de la defensa empresarial: el control de acceso. A medida que la autenticación sin contraseñas se convierte en la norma y los entornos de TI se vuelven más heterogéneos, el argumento a favor de herramientas de gobierno flexibles y agnósticas al proveedor solo se fortalecerá.

Las empresas se enfrentan ahora a una elección estratégica: continuar por el camino tradicional de los proveedores de suites integradas o adoptar el cambio hacia el código abierto para obtener una mayor autonomía. Los debates en las principales cumbres indican que, para un número creciente de organizaciones, particularmente aquellas con necesidades complejas y talento interno, la ruta del código abierto se está convirtiendo en la encrucijada estratégicamente prudente que tomar. El futuro de la identidad empresarial bien podría construirse sobre una base abierta.