Cuando digo que trabajo en IAM, la mayoría se imagina a alguien creando usuarios en Active Directory y reseteando contraseñas. No los culpo, porque durante mucho tiempo esa fue la cara visible de la gestión de identidades. Pero lo que hago hoy está bastante lejos de eso.

Soy responsable de gestionar identidades y accesos para distintas empresas, usando la suite de NetIQ (ahora parte de OpenText). Esto cubre desde el gobierno de identidades hasta la operación diaria de accesos, pasando por certificaciones, segregación de funciones, integración con fuentes de autoridad y automatización de procesos. Todo con el objetivo de que cada persona tenga exactamente los accesos que necesita, ni más ni menos.

La suite NetIQ que uso en el día a día

NetIQ tiene un ecosistema de productos bastante amplio, pero los que más cargo en mi día a día son cuatro:

  • Identity Governance — el corazón del gobierno de identidades. Ahí se definen las políticas de acceso, se gestionan las certificaciones periódicas, se detectan violaciones de segregación de funciones (SoD), y se genera toda la evidencia para auditoría.
  • Identity Manager — el motor de provisioning. Es el que ejecuta las acciones: crear cuentas, asignar grupos, deshabilitar accesos, sincronizar cambios desde RRHH hacia los sistemas destino. Básicamente, traduce las políticas de gobierno en acciones concretas sobre los directorios y aplicaciones.
  • Access Manager — la puerta de entrada. Maneja autenticación y autorización para aplicaciones web y on-premise: SSO, MFA, control de sesiones, políticas de acceso contextual. Es el que decide si un request pasa o no, y con qué nivel de verificación.
  • Privileged Account Manager — para la gestión de accesos privilegiados (PAM). Bóvedas de credenciales, rotación automática de contraseñas, acceso just-in-time, grabación de sesiones. Las cuentas de administrador y servicio viven ahí, no en post-its ni en wikis.

Fuera de la suite NetIQ, también vengo investigando OneIdentity (de Quest Software) como alternativa de PAM para algunos escenarios. Es un producto aparte, compite con el Privileged Account Manager de NetIQ, y lo estoy evaluando para proyectos donde el modelo de licenciamiento o las funcionalidades específicas pueden ser un mejor fit.

Cada cliente tiene una implementación distinta. Algunos tienen los cuatro productos desplegados al 100%, otros usan solo governance + provisioning, y hay casos donde el foco está puesto en la certificación de accesos porque vienen de una auditoría con hallazgos. Access Manager y PAM suelen llegar en fases posteriores, cuando ya está consolidado el gobierno de identidades.

Cómo es el trabajo real

Un día típico no existe, pero hay patrones que se repiten:

Operación y soporte

Arranca con la cola de incidentes y solicitudes. Usuarios que no pueden acceder a una aplicación, cuentas bloqueadas, roles que no se asignaron correctamente, integraciones que dejaron de sincronizar. La plataforma de NetIQ tiene un motor de reglas y workflows, pero cuando algo no sigue el flujo esperado, hay que meterse en los logs, revisar las configuraciones de los drivers y entender qué pasó. Es troubleshooting de integraciones, mezclado con administración de directorios.

Certificaciones de acceso

Trimestralmente o semestralmente según el cliente, se ejecutan campañas de certificación. Los managers reciben una lista de los accesos de su equipo y tienen que revisar, aprobar o revocar. Mi trabajo es armar esas campañas, configurar las políticas de revisión, segmentar las certificaciones por aplicación crítica, y después analizar los resultados para ver si hay patrones: accesos que nadie se anima a revocar, roles que están obsoletos, usuarios que acumularon permisos de más.

Integraciones y proyectos

Cuando un cliente incorpora una nueva aplicación al ecosistema IAM, hay que modelar los roles, definir las políticas de aprovisionamiento, configurar el conector con el sistema destino, y probar que todo funcione. A veces la aplicación tiene un conector estándar en NetIQ, otras hay que usar algo más artesanal (SCIM, LDAP, o incluso scripts sobre APIs REST). La parte de integración es la que más me gusta porque combina conocimiento de la plataforma con resolución de problemas.

Auditoría y cumplimiento

Los auditores y las áreas de compliance piden evidencia: quién tuvo acceso a qué, quién lo autorizó, si hubo violaciones de SoD, si las certificaciones se completaron a tiempo. La plataforma de governance tiene reportes y dashboards, pero siempre hay que armar algo a medida para cada requerimiento. Aprendí que en IAM, el trabajo de auditoría es más político que técnico: hay que saber qué mostrar, cómo mostrarlo, y cuándo es mejor no mostrar nada porque el hallazgo todavía no está resuelto.

El stack completo

Más allá de NetIQ, el stack incluye otras tecnologías que aparecen todo el tiempo:

  • Active Directory y Entra ID (Azure AD) — los directorios con los que más me cruzo. La integración IAM-AD es el pan de cada día.
  • LDAP — protocolo base para consultar y sincronizar directorios.
  • SQL — para consultar la base de datos del Identity Governance, armar reportes custom, y entender datos cuando algo no cierra.
  • PowerShell — para tareas de AD, consultas a Exchange Online, y automatización de procesos que todavía no están cubiertos por la plataforma.
  • APIs REST — cada vez más aplicaciones SaaS se integran vía API, y hay que conectar eso con los flujos de provisioning.
El 80% del trabajo en IAM no es sobre la tecnología, es sobre entender cómo funciona el negocio del cliente y traducir eso en políticas de acceso. La tecnología es lo de menos.

Lo mejor y lo peor del rubro

Lo mejor: es un área donde siempre hay problema para resolver. Nunca se termina. Cada cliente es distinto, cada integración tiene sus vueltas, y cada auditoría trae requerimientos nuevos. No hay monotonía.

Lo peor: la fricción constante con los usuarios. Por más que diseñes los procesos más eficientes, IAM es un cuello de botella natural. El usuario que necesita acceso "ya" no entiende por qué tiene que esperar una certificación. Y el auditor no entiende por qué no podés deshabilitar una cuenta en milisegundos. El día a día implica gestionar expectativas tanto como gestionar identidades.

Dicho eso, no me veo trabajando en otra cosa. Es un rubro donde la técnica y la política organizacional se mezclan todo el tiempo, y donde cada mejora que implementás tiene un impacto concreto en la postura de seguridad del cliente. Cuando hacés bien IAM, la gente ni se da cuenta de que existe. Y esa invisibilidad es la mejor métrica de éxito.