La gobernanza de acceso (AG) es un aspecto de la gestión de la seguridad de la tecnología de la información (TI) que busca reducir los riesgos asociados con los usuarios finales que tienen privilegios de acceso innecesarios. La necesidad de gobernanza del acceso ha aumentado en importancia a medida que las organizaciones buscan cumplir con los mandatos de cumplimiento normativo y gestionar el riesgo de una manera más estratégica.
Un objetivo importante de la gobernanza de acceso es reducir el costo y el esfuerzo que implica supervisar y hacer cumplir las políticas de acceso y los procedimientos de gestión, incluida la recertificación. Con este fin, las herramientas de software de gobernanza de acceso pueden ayudar a rastrear el acceso, validar solicitudes de cambio, automatizar la aplicación de políticas de control de acceso basado en roles (RBAC) o control de acceso basado en atributos (ABAC) y simplificar los informes.
Muchas aplicaciones de software de gobierno de acceso combinan control de acceso (AC) con capacidades de administración de identidades, lo que impone un conjunto estándar de derechos de acceso para roles empresariales, al tiempo que se mantiene lo suficientemente flexible como para adaptarse a las necesidades de los súper usuarios. Debido a que el software proporciona transparencia, se hace más fácil para los gerentes detectar la fuga de privilegios y hacer cumplir el principio de privilegios mínimos (POLP).
En algunas organizaciones, la responsabilidad de la gobernanza del acceso es compartida por los miembros directivos de los equipos de tecnología de la información (TI), empresariales y jurídicos de la organización. Dado que los usuarios privilegiados siguen siendo el vector principal de las brechas de seguridad, es importante que los gerentes tengan visibilidad del acceso y trabajen juntos para mitigar el riesgo y disminuir la superficie de ataque de la organización. Cuando la gobernanza del acceso se convierte en un esfuerzo interdepartamental, la organización mejora para mantenerse al tanto de los requisitos normativos cambiantes, adherirse a las políticas internas y realizar revisiones de acceso de forma periódica.