BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE

Transcripción

1 BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE RESUMEN Por años, los administradores de seguridad de la información y de giros comerciales han sabido intuitivamente que el buen manejo y control de identidades y acceso (IAG) deben basarse en los requisitos del negocio. Después de todo, los administradores de negocios son los que mejor saben quién debe tener acceso a qué. Este informe técnico explica por qué adoptar un enfoque de IAG orientado al negocio puede permitir a las organizaciones comprobar su cumplimiento de normas, minimizar los riesgos y permitir a las empresas ser productivas con facilidad. abril 2014 Copyright 2014 EMC Corporation. Todos los derechos reservados. EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso. La información de esta publicación se proporciona tal como está. EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y específicamente renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado. El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente. Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en mexico.emc.com (visite el sitio web de su país correspondiente). Número de referencia H13070 INFORME TÉCNICO DE RSA

2 ÍNDICE RESUMEN 3 LA SITUACIÓN ACTUAL: ADMINISTRACIÓN DE IDENTIDADES FALLIDA 3 LA IMPORTANCIA DEL CONTEXTO DE NEGOCIOS 4 REQUISITOS DE BUEN MANEJO Y CONTROL DE IDENTIDADES Y ACCESO BASADOS EN EL NEGOCIO 4 ENFOQUE ORGANIZADO EN FASES PARA EL BUEN MANEJO Y CONTROL DE IDENTIDADES Y ACCESO BASADOS EN EL NEGOCIO 5 RESUMEN 7

3 RESUMEN Por años, los administradores de seguridad de la información y de giros comerciales han sabido intuitivamente que el buen manejo y control de identidades y acceso (IAG) deben basarse en los requisitos del negocio. Después de todo, los administradores de negocios son los que mejor saben quién debe tener acceso a qué. Sin embargo, frecuentemente, las herramientas y los procesos de las organizaciones no reflejan este contexto de negocios. Estos sistemas normalmente no admiten una vista de negocios del acceso de los usuarios y sus funciones y responsabilidades de negocios. Por lo general, tampoco reflejan los detallados derechos que determinan específicamente qué acciones pueden realizar los usuarios dentro de las aplicaciones. Esto suele deberse a que las organizaciones intentan usar herramientas de administración de identidades y acceso (IAM) técnicas y enfocadas en la TI para intentar resolver problemas de buen manejo y control enfocados en el negocio. El contexto de negocios es la suma de todo lo que sabe una organización acerca de sus usuarios, sus responsabilidades de trabajo y la información, las aplicaciones y los derechos que necesitan. Si bien parte del contexto está contenido en sistemas administrados por la TI (como directorios y aplicaciones de RR. HH.), los administradores que supervisan usuarios o los propietarios de funciones de negocios, aplicaciones y datos también contienen contexto adicional, a diferencia del departamento de TI o el personal de seguridad. Este informe técnico explica por qué los sistemas actuales de administración de identidades no reflejan correctamente el contexto de negocios, por qué adoptar un enfoque orientado al negocio en relación con el buen manejo y control de identidades y acceso reduce los costos y, al mismo tiempo, aumenta la seguridad, y describe una metodología detallada para implementarlo. LA SITUACIÓN ACTUAL: ADMINISTRACIÓN DE IDENTIDADES FALLIDA Las organizaciones actuales se enfrentan a más amenazas de seguridad y retos normativos que nunca, sin mencionar el explosivo crecimiento de los usuarios, la proliferación de dispositivos móviles y los posibles daños al valor y a la reputación de los inversionistas que ocurrirían en caso de una vulneración de datos. Sin embargo, los sistemas de buen manejo y control de identidades y acceso (IAG) tradicionales no logran mantenerse actualizados ni tampoco pueden satisfacer la necesidad de administrar proactivamente un panorama de riesgos y amenazas cambiante. Las arquitecturas de IAG son fragmentadas, son complejas y no están debidamente equipadas para lidiar con el ritmo del cambio en una organización, desde las simples transferencias de empleados hasta la reestructuración, los nuevos requisitos normativos y las fusiones y adquisiciones. Adicionalmente, los sistemas de identidades tradicionales siempre han sido carísimos para implementar y operar, lo que limita su alcance de cobertura y eficacia. El cómputo en la nube aumenta la complejidad creando nuevos sistemas aislados de aplicaciones (y más administradores con accesos privilegiados) para cada nueva aplicación de nube y cada nuevo proveedor de servicios de nube. También aumenta la frecuencia de cambio, ya que los giros comerciales obtienen nuevos servicios, generalmente sin informar a los grupos centrales de TI o de seguridad. El cómputo móvil y la tendencia de traer su propio dispositivo crean aún más sistemas aislados de buen manejo y control de identidades y acceso para alojar cada nueva plataforma. Como resultado, mientras que las organizaciones necesitan procesos de IAG más fáciles, rápidos y coherentes, el ritmo del cambio hace que su posición de cumplimiento de las normas y de riesgos sea incluso más incierta que nunca. Depender de sistemas aislados, reactivos e incompletos hace que sea incluso más difícil descubrir y aplicar el contexto de negocios necesario para cada aplicación o grupo de sistemas, y hace que la necesidad de una sola infraestructura de IAG central sea aún más crítica. Las organizaciones deben ser capaces de probar el cumplimiento de normas, minimizar los riesgos y permitir que los negocios sean productivos con facilidad. 3

4 En vista de todos estos retos, la clave para resolver estos problemas es aprovechar un sistema de buen manejo y control de identidades y acceso centralizado y moderno, diseñado para el contexto del negocio. LA IMPORTANCIA DEL CONTEXTO DE NEGOCIOS El contexto de negocios suele ser olvidado, pero es el ingrediente clave para asegurar un IAG eficaz y que abarque toda la empresa. Frecuentemente es ignorado porque IAM y IAG generalmente son manejados por el director de TI, el director de seguridad de información corporativa, el vicepresidente de seguridad o el director de seguridad. Ninguno de ellos cuenta con el contexto de negocios requerido para lograr procesos de buen manejo y control eficientes, eficaces y que abarquen toda la empresa. Los supervisores y otros administradores de negocios se encargan de la mayoría de este contexto de negocios, ya que comprenden las responsabilidades específicas que tienen los distintos usuarios y el acceso que requiere cada uno. Considere, por ejemplo, un departamento de financiamiento con cinco empleados, cada uno con códigos laborales de analista de nivel 2. El departamento de TI puede llegar a la conclusión de que cada uno debe tener los mismos derechos de acceso. Sin embargo, su supervisor sabe quién es el encargado de los gastos en viajes y entretenimiento y quién monitorea los gastos de telecomunicaciones y de servicios. Por lo tanto, puede tomar decisiones más precisas sobre el acceso y los derechos de estos trabajadores. Los diferentes miembros de un equipo de pruebas clínicas pueden tener los mismos títulos laborales, pero requieren diferentes niveles de acceso para los datos de prueba según su antigüedad, capacitación o proyectos asignados. Los propietarios de aplicaciones también están bien equipados para comprender cómo se usan las aplicaciones o recursos de datos y qué políticas de acceso y derechos les corresponden. Los propietarios de aplicaciones, junto con los equipos de riesgo, auditoría y cumplimiento de normas, tienen el mejor contexto para configurar las políticas de IAG específicas para diversas aplicaciones de negocios o dominios del sector. Y los propietarios de recursos de datos son los que mejor saben quién debe tener acceso a datos confidenciales o regulados. Para aplicar este contexto de la forma más eficaz, las organizaciones deben permitir a los administradores de negocios, a los propietarios de aplicaciones y datos de negocios y a los equipos de auditoría, riesgo y cumplimiento de normas impulsar los requisitos de políticas relacionadas con el acceso. Luego, el departamento de TI debe convertir estos requisitos en actividades operacionales. Lograr este buen manejo y control de identidades y acceso basados en el negocio requiere nuevos procesos y nuevas tecnologías y que las empresas se asocien con los departamentos de TI. REQUISITOS DE BUEN MANEJO Y CONTROL DE IDENTIDADES Y ACCESO BASADOS EN EL NEGOCIO Para incorporar el contexto de negocios al proceso de IAG, el departamento de TI debe convertir el críptico lenguaje de los derechos de aplicación e infraestructura en una vista de acceso diseñada para los negocios y darles a los administradores de negocios una forma simple e intuitiva de tomar decisiones de IAG a través del ciclo de vida de las identidades y el acceso. El IAG orientado al negocio también requiere que los giros comerciales (LOB) acepten la propiedad de las tareas de las que tienen el contexto y se hagan responsables de ellas. Los equipos de auditoría, riesgo y cumplimiento de normas deben ser capaces de crear requisitos, medir resultados e implementar controles. Los equipos de operaciones y de seguridad de TI deben contar con la visibilidad y el control de la forma en que se realizan las actividades de IAG, ya que, en última instancia, son quienes se encargan de llevar a cabo las decisiones tomadas por los giros comerciales. 4

5 Las organizaciones deben ser capaces de definir políticas que aprovechen el contexto de negocios, lo que garantiza el cumplimiento de normas en áreas como la segregación de deberes (SOD) o la solicitud y aprobación de acceso. Una vez que se aplique una política, se puede implementar automáticamente, y las infracciones se procesarán de forma automática. Ya que los giros comerciales y los equipos de seguridad de TI, operaciones, auditoría, riesgo y cumplimiento de normas conocerán los contenidos de estas políticas, esta es una forma muy eficaz de interactuar con ellos en el proceso de IAG. Automatizar la realización de cambios de acceso puede reducir costos y el esfuerzo de forma importante, ya que, hasta ahora, las organizaciones han tenido dificultades para lograr la automatización requerida con herramientas enfocadas en la TI de proveedores de administración de identidades tradicionales. Un enfoque realmente orientado al negocio para el llevar a cabo el IAG brinda un mecanismo de administración de cambios de acceso simple que mantiene la lógica del negocio independiente de la lógica de integración específica para aplicaciones. Esto también permite cambios de acceso basados en políticas, ya que se usan reglas y flujos de trabajo para brindar un acceso más rápido según las políticas establecidas. Esto permite un método rentable y rápido para incorporar aplicaciones desde una perspectiva de realización de cambios. Todo esto requiere una plataforma de buen manejo y control de identidades y acceso automatizada y centralizada, que brinda a los propietarios de negocios una vista simple de las identidades y el acceso, permite controles de acceso automatizados y basados en políticas, cumple las solicitudes de cambio de IAG y crea un cumplimiento de normas de acceso proactivo en la estructura de la organización. La figura 1 ilustra cómo tal plataforma permite que una organización establezca procesos de negocios para lograr todas estas actividades. ENFOQUE ORGANIZADO EN FASES PARA EL BUEN MANEJO Y CONTROL DE IDENTIDADES Y ACCESO BASADOS EN EL NEGOCIO El IAG orientado al negocio es más funcional si se implementan procesos de negocios discretos y medibles en un enfoque detallado, organizado en fases, que brinda valor en cada fase. Los pasos son: Visibilidad y certificación: Este proceso repetible y sustentable recolecta y limpia automáticamente los datos de identidades y derechos para obtener una sola vista unificada y normalizada de los derechos de acceso actuales. Esta vista técnica del acceso se transforma en una vista de negocios para que los administradores de giros comerciales, como los supervisores o los propietarios de recursos del negocio, puedan asumir responsabilidad por el análisis de los derechos de acceso. Esto ocurre mediante un proceso de certificación de acceso de negocios fácil de usar (también conocido como un análisis de acceso), en el que los derechos de las personas son analizados y aprobados (o rechazados) por un supervisor o propietario de aplicaciones. Un paso adicional importante, que también es un buen ejemplo de establecer contexto de negocios, es identificar a los propietarios de recursos de datos del negocio (como los recursos compartidos de archivos o los sitios de SharePoint), además de cualquier metadato que defina su propósito de negocios y calificación de riesgos. 5

6 Administración de políticas: Capturar el contexto de toma de decisiones y la lógica de negocios en un conjunto de políticas definido como reglas es una excelente forma de automatizar la seguridad y los controles de cumplimiento de normas. Hacer que las reglas activen los flujos de trabajo brinda automatización de procesos y políticas y reduce los costos. Por ejemplo, la identificación de un nuevo empleado puede activar un proceso de múltiples pasos que incluye la creación de cuentas para el empleado, lo que le brinda las membresías de grupo correspondientes, asigna los derechos adecuados para la cuenta a aplicaciones y datos y obtiene las aprobaciones necesarias. Administración de funciones: Las funciones permiten a los administradores de negocios administrar con mayor facilidad los cambios de derechos. Considere la función de Comerciante de acciones de nivel 2. Un usuario en esta función puede tener derecho a 35 derechos diferentes y detallados (como la habilidad de realizar intercambios de hasta un determinado límite) en varias aplicaciones. En lugar de necesitar que un administrador analice y evalúe cada uno de los 35 derechos, el administrador simplemente puede verificar que la función sea la correcta para la persona. Esta es una forma más fácil y natural para que el administrador aplique el contexto de negocios necesario, ya que piensan en la función desempeñada por una persona específica, en lugar de pensar en una lista de derechos de aplicaciones detallada. Las funciones también simplifican los procesos de adición, traspaso y eliminación y facilitan la asignación de accesos adicionales a usuarios. También hacen que sea más eficiente analizar, validar o probar el acceso de usuarios para simplificar el cumplimiento de normas y la administración de riesgo, además de acelerar la realización de tareas. Esta fase también produce procesos para la administración del ciclo de vida de grupos de directorio, que frecuentemente se usan para controlar el acceso (especialmente a los recursos de datos) de la misma forma que las funciones. Con frecuencia, las organizaciones no desean ahondar en la creación y administrar funciones. Otra alternativa es considerar usar los derechos sugeridos, que pueden brindar opciones a un administrador de negocios acerca de qué derechos tienen usuarios similares durante los procesos de adición y traspaso. Administración de solicitudes de acceso: Una vez que una vista de negocios del acceso y las abstracciones para simplificar y automatizar la administración del acceso están en funcionamiento, la organización se encuentra en condiciones de establecer un front-end de solicitud de acceso de autoservicio para usuarios de negocios, además de un motor de administración de cambios auditable y que cumpla con las políticas para la TI en el back-end. Este proceso permite que los giros comerciales invoquen solicitudes de acceso sin conocimientos sobre la infraestructura y los detalles correspondientes al mantenimiento de las solicitudes, lo que facilita el proceso de solicitud de acceso. También brinda un cumplimiento de normas proactivo asegurando el cumplimiento de políticas antes de otorgar el acceso. Cumplimiento de cambios (aprovisionamiento): Los cambios en la identidad y en el acceso basados en el negocio tienen como resultado modificaciones reales a las cuentas de usuarios, membresías de grupos y asignaciones de derechos en sistemas, recursos de datos, directorios, aplicaciones y soluciones de control de acceso. Realización de cambios: también conocido como aprovisionamiento, es un proceso que normalmente existe de cierto modo antes de que una organización se involucre en cualquiera de las fases aquí mencionadas. El reto normalmente tiene que ver con la evolución del proceso para que sea coherente, dirigido por políticas, esté en el nivel de derechos y sea tan automatizado como sea posible. 6

7 Hay varios mecanismos para realizar los cambios de acceso. Una simple notificación de tarea, como un correo electrónico a un administrador de sistema, suele ser la forma más fácil y directa de abordar la realización de cambios. La creación de un vale en el departamento de servicios es una forma más coherente de rastrear solicitudes, respuestas y confirmaciones, y puede aprovechar un sistema de administración de cambios empresariales existente. Sin embargo, el atraso, los costos y la frecuencia de errores asociados suelen llevar a las organizaciones a la automatización. Una solución de realización automatizada brinda una eficiencia operativa y cambios oportunos. Además, admite idealmente la incorporación rápida de nuevas aplicaciones. Los motores de aprovisionamiento tradicionales hacen que sea difícil incorporar (conectarse a) más de unas pocas aplicaciones, ya que los sistemas más antiguos combinan la lógica de negocios que define la política de buen manejo y control con la lógica que se debe integrar a cada aplicación. Esto requiere una costosa codificación para cada nueva conexión, cada vez que cambie una política. Los motores de aprovisionamiento tradicionales también tienden a enfocarse en el aprovisionamiento en el nivel de cuenta o en el nivel de grupo, que no brinda el nivel necesario de visibilidad o requisitos de acceso. Los sistemas IAG modernos y orientados al negocio mantienen la lógica de negocios relacionada con políticas a un nivel mayor, lo que hace que esta integración de último paso sea mucho más fácil y menos costosa. Y los sistemas IAG modernos orientados al negocio se enfocan en el aprovisionamiento profundo con la habilidad de ver y cambiar los derechos detallados de aplicaciones. RESUMEN Las organizaciones no pueden permitirse gastar más de lo absolutamente necesario en el buen manejo y control de identidades y acceso. Tampoco pueden permitirse los riesgos normativos, legales o de propiedad intelectual que conlleva una mala administración del buen manejo y control de identidades y acceso. El camino al buen manejo y control de identidades y acceso más eficiente y eficaz atraviesa a los propietarios de los procesos de negocios, aplicaciones y datos. Usa el valioso contexto de negocios acerca de qué usuarios requieren qué acceso y derechos como la base del proceso de buen manejo y control de identidades y acceso automatizado y orientado al negocio que brinda el máximo valor de negocios al menor costo. 7