En publicaciones anteriores, nosotros aquí en Solutions Review hemos intentado resolver la diferencia entre IAM y CIAM. ¿Es el Customer Identity and Access Management (CIAM) realmente tan diferente del Identity Access Management (IAM) tradicional o clásico? Es una pregunta controvertida. Los proveedores de soluciones de todo el mundo han posicionado sus productos en uno u otro lado del debate IAM vs CIAM, con varios proveedores prominentes proclamando su especialización en CIAM. Otros proveedores de soluciones argumentan que la pregunta IAM vs CIAM es semántica y que las soluciones IAM completas pueden asegurar los casos de uso de CIAM. En resumen, las distinciones entre los dos son borrosas. Pero, ¿por qué?

IAM vs CIAM: ¿Gemelos tecnológicos?

Una razón por la cual hay tanta controversia sobre si el debate IAM vs CIAM es válido o no, es que los dos comparten más similitudes que diferencias en sus capacidades técnicas, incluyendo:

• Autenticación de inicio de sesión único
• Protocolos de autenticación, incluyendo MFA
• Gestión de acceso
• Monitoreo del comportamiento de identidad
• Directorios centralizados y universales
• Gestión del ciclo de vida
• Autorización
• Federación

Además, ambos están sujetos a regulaciones de privacidad como el GDPR, ya que el almacenamiento y uso de datos de empleados y consumidores están igualmente protegidos por las normas.

Por otro lado, los casos de uso de CIAM requieren herramientas que las soluciones IAM típicamente no poseen, incluyendo:

• Control de marca
• Gestión de consentimiento
• Registro de usuarios
• Personalización de perfiles

Además, CIAM necesita ser aún más accesible que IAM (que en sí mismo necesita ser bastante accesible para realizar sus funciones), ya que cualquier problema podría obstaculizar su comercio electrónico y, por lo tanto, su resultado final. Estas soluciones también necesitan poder escalar para poder acomodar las cientos de identidades que un solo cliente podría poseer. Sin embargo, al mismo tiempo, muchas soluciones IAM comercializan sus productos como lo suficientemente flexibles como para acomodar los casos de uso de CIAM. Mientras que algunas ciertamente no pueden, otras pueden igualar la escalabilidad y accesibilidad necesarias de CIAM.

IAM vs CIAM: ¿Las necesidades de muchos?

En la comprensión más básica de ambas soluciones, IAM se enfoca en lo interno mientras que CIAM se orienta hacia lo externo. IAM tiende a enfocarse en autenticar y monitorear a los empleados dentro de su empresa, asegurándose de que su red tenga políticas de autenticación sólidas, que los empleados solo tengan las credenciales que realmente necesitan para desempeñar sus roles respectivos, y que su equipo de seguridad informática pueda revocar permisos y privilegios asignados de manera inapropiada, etc. El objetivo principal de IAM es asegurar las identidades de los usuarios para que no sean abusadas por actores amenazantes internos o externos, lo que podría llevar a una violación de seguridad o a la comprometida de datos. Es probable que IAM utilice un portal de usuario para administrar el acceso de los empleados a aplicaciones locales y requiera múltiples inicios de sesión para garantizar la seguridad más completa posible.

En CIAM, la situación no es tan simple. La seguridad sigue siendo vitalmente importante, perder datos de clientes o permitir que sus identidades sean comprometidas es una forma rápida de perder a esos clientes, pero no es tan central como lo es en IAM. Dar demasiada importancia a la seguridad, requiriendo que los clientes ingresen a través de un portal de terceros o que realicen múltiples inicios de sesión, los alejará antes y durante sus transacciones. Esto podría llevarlos a los brazos de sus competidores. En cambio, CIAM necesita acomodar a los consumidores que ingresan a través de un sitio web o una aplicación móvil que existe fuera del perímetro digital típico. Necesita facilitar la personalización de las interfaces de usuario y, lo más importante, la conveniencia: la interfaz de identidad orientada al cliente debe ser fácil de usar para las funciones de registro, inicio de sesión y gestión de cuentas. Este último valor no puede pasarse por alto. Si algo diferencia a IAM vs CIAM, es el énfasis en la conveniencia por parte de este último. En el primero, sería una ventaja agradable pero en última instancia no una necesidad y en algunos casos incluso podría representar un riesgo de seguridad para las empresas. Pero lo último es vital para garantizar una experiencia de usuario fluida y agradable que fomente transacciones futuras. En ninguna parte esta división es más evidente que con la autenticación. En IAM, el nuevo paradigma se está moviendo hacia un modelo de autenticación multifactorial que puede requerir hasta cinco factores antes de permitir el acceso de los usuarios. En cambio, CIAM a menudo utiliza el inicio de sesión social, utilizando las credenciales de las cuentas de redes sociales como factores de autenticación de inicio de sesión, o la autenticación sin contraseña. Ambos son métodos convenientes de inicio de sesión, pero ninguno se podría llamar “seguro” a nivel empresarial.

No hay una respuesta clara

En nuestra investigación, descubrimos un argumento que sugiere que CIAM podría considerarse como otro componente de la gestión de roles; los consumidores simplemente desempeñan un papel muy limitado dentro de la empresa en comparación con otros roles y su autenticación y acceso también están limitados. Si eso es preciso o no, destaca lo confuso que sigue siendo el debate IAM vs CIAM. Las empresas deben revisar sus propios casos de uso e investigar cuidadosamente los posibles proveedores de soluciones para encontrar la mejor opción para sus necesidades. Puede que no sea claro, pero la seguridad de sus consumidores y empleados está en sus manos. Les debe tomar la mejor decisión posible. Es posible que no tengan otra oportunidad.

¡Gracias a Okta, Ubisecure y Ping Identity por su ayuda con la investigación!