stión Gestión de Identidades y Accesos - IA
Tamaño: px
Comenzar la demostración a partir de la página:

Download "stión Gestión de Identidades y Accesos - IA"

Transcripción

1 stión Gestión de Identidades y Accesos - IA Esquema Nacional de Seguridad - ENS - Angel Vergara Director Soluciones Comunicaciones y Seguridad

2 eal Decreto 3/2010 Requisitos IAM del EN a problemática onstruyendo una solución n con garantías as eferencias onclusión

3 Art. 16. Autorización y control de los acceso El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidament autorizados, restringiendo el acceso a las funciones permitidas Art. 23. Registro de Actividad [...]se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Art. 34. Auditoría de la seguridad 1. Los sistemas de información a los que se refiere el presente real decreto se objeto de una auditoría regular ordinaria, al menos cada dos años, que verifiq el cumplimiento de los requerimientos del presente Esquema Nacional de

4 Real Decreto 3/2010 Requisitos IAM del EN a problemática onstruyendo una solución n con garantías as eferencias onclusión

5 El jefe subdirector, A A tiene 4 niños, muchos amigos, múltiples entrevistas y tiene que acordarse de 20 contraseñas E es Administrativa E trabaja puntualmente en cobros Todavía esta esperando el acceso a las aplicaciones J, ex interno J se fue de la compañía hace 6 meses Todavía tiene acceso a las aplicaciones L, Responsable del departamento informático Entre llamadas por pérdida de contraseña y creación manual de cuentas, su departamento no consigue avanzar en proyectos de infraestructura

6 Real Decreto 3/2010 Requisitos IAM del EN La problemática onstruyendo una solución n con garantías as eferencias onclusión

7 os retos de IAM Cumplimiento Organización Heterogeneidad Comportamientos humanos Movilidad Ecosistema CSO

8 Cumplimiento Organización Role management Identity auditing Heterogeneidad Comportamientos humanos Directory synchronization Enterprise SSO Movilidad User provisioning Web SSO Identity administration Ecosistema Identity federation

9 ENS Art. 34. Auditoría de la seguridad ENS Autorización y control de los accesos Cumplimiento Role management Organización ENS Art. 23. Registro de Activi Identity auditing Heterogeneidad Comportamientos humanos Directory synchronization User provisioning Enterprise SSO Movilidad Web SSO Identity administration Ecosistema Identity federation

10 Cada módulo es útil por si mismo, Y en conjunto proporcionan muchos beneficios adicionales cómo lograr eso rápidamente y dentro del presupuesto? La política de seguridad ofrece creación de cuentas Logs de acceso ayudan a refin política de seguridad Dónde empezar Acceso impuesto a través de identidad y cuentas

11 La nueva política de seguridad era utópica, no tenía relación alguna con el modo actual de uso de TI por parte de los empleados. Los gestores y los usuarios rechazaron el nuevo control de acceso durante el despliegue. No puedo identificar a los propietarios de la cuenta para el 70% de las cuentas. Para el 40% de ellos, ni siquiera sé si siguen activos. El proyecto comenzó hace 1 año sin resultados visibles, así que fue cancelado.

12 Método de despliegue para maximizar las probabilidades de éxito 3 pasos proporcionan beneficios concretos en cada etapa Cada paso se construye en base a los resultados de la etapa previa Consiga aliados y soporte en cada etapa!

13 idian Policy Manager idian Request Manager ser Provisioning D Synchronization Evidian Authentication Ma Evidian Enterprise SSO Evidian Web Access Mana

14 Despliegue SSO con autenticación fuerte (opcional): El módulo SSO recolectará automáticamente todas las cuentas utilizadas p los empleados, con localización y ID real del usuario Escala temporal: Semanas para despliegue SSO Unos pocos meses para recolección automática de información de uso

15 ilitando autenticación n fuerte Diferentes tipos de autenticación n para diferentes tipos de equipos Autenticación n correcta en el lugar correcto Una consola unificada para definir políticas y auditar accesos para todos los tipos de autenticación Smart card y/o biometría para proteger accesos a PCs en oficinas centrales RFID tags para PCs en sucursales medianas Login + OTP para acceso externo a través de servidores Un login standard "ID + password" en PCs estándar

16 Interfaz amigable incrementada para los usuarios finales Empleados no bloqueados por contraseñas olvidadas Menor coste demostrable del help-desk Optimización de licencias e infraestructura Información de uso detallada para auditores Seguridad y control de acceso

17 Mientras se recolectan las cuentas, el equipo BI/HR/Top Management formaliza la organizació y roles Roles estandarizados y estructura facilitan la política de seguridad Posteriormente, se mapean los roles en base a la información de uso obtenida en el Paso 1 Escala temporal: Meses para diseñar roles y organización Semanas para mapear roles con permisos de acceso

18 Configuración correcta con Gestor de Políticas Usando un par Rol-Organización (Modelo RBAC Extendido) Empleado 1 Rol Empleado Interno Para el mismo rol «Empleado Inter se tienen permisos diferentes dependiendo del departamento (Financiero, RRHH, Informática, Internet Empleado 2 Organización Departamento Financiero Aplicación Corporativa Sistema de correo Empleado 3

19 Definición clara de políticas para toda la empresa Una política de seguridad que encaja con el uso actual de TI Relacionar información de uso de TI con roles Control de acceso refinado basado en roles Política de acceso impuesta por SSO

20 Añadir aprovisionamiento de usuarios en las aplicaciones La actualización de cuentas se realiza automáticamente La Política es redefinida con los perfiles a nivel de aplicación Escala Temporal: Semanas a meses en configuración de los agentes de aprovisionamiento Semanas para analizar los datos de cuentas y refinar la política

21 Fácil y rápida gestión de cuentas, cuando se dan de alta empleados temporales, cambian de localización, son ascendidos, o abandonan la compañía No más correos del tipo aquí está tu contraseña Se detectan las cuentas obsoletas y se eliminan Se enriquece la política de acceso con roles a nivel de aplicación

22 Real Decreto 3/2010 Requisitos IAM del EN La problemática Construyendo una solución n con garantías as eferencias onclusión

23 eferencias Implementación corporativa internacional de una solución de Gestión de Identidades, Enterprise SSO y Web SSO Consultoría de Seguridad LDAP Implementación corporativa Enterprise SSO, integrado con los distintos dominios Active Directory Implementación corporativa de una solución de Gestión de Identidades, Enterprise SSO y Flujos de Trabajo de Aprobación Implementación de una solución corporativa IEEE 802.1x integrada con el Active Directory, RADIUS y PKI de IGAE Implementación corporativa de una solución de Gestión de Identidades, Enterprise SSO y Flujos de Trabajo de Aprobación

24 nufact. Finanzas Gobierno Telecom. Servicios stom omérieux DS Astrium go Boss rneos ssan psico ilips HC rsche nault nofi aventis tal leo Attijariwafa Bank Banque de France BCEAO Barclays Bank Marsh & McLennan Dexia & BIL Credit Agricole Finama Mitsui BK & CB R+V & Raiffeisen BK Sparkassen SWIFT UBS ACOSS/URSSAF Alabama DPH CHR Tournais DHS ICE CHC Liège CNAM-TS CNAV ENIM Interpol MINEFI NHS Trust hospitals Winchester Council W. Yorkshire Police Embratel Maroc Telecom Mobistar MTN Sonatel STC T-Com Telecom Italia Telenor T-Mobile T-Online TIM Vodafone ADP-GSI Madrid Air AFP Amadeus Deutsche Deutsche G4S GLOBAZ Airtricity Manpower Sibelga Suez Envi SITA

25 Real Decreto 3/2010 Requisitos IAM del EN La problemática Construyendo una solución n con garantías as Referencias onclusión

26 vidian - Solución ompleta para la estión n de identidades control de acceso ull Experiencia en la mplantación n de la olución

27 Seguridad de APLICACIONES Evaluación de la Seguridad de las Aplicaciones [ESA] Seguridad de INFRAESTRUCTURAS Evaluación Seguridad Aplicativos Web Seguridad Dentro del Ciclo de vida del Desarrollo ación de Gestión Seguridad de TI [EGS] Evaluación de la Seguridad de las Infraestructuras [ESIS] TECNOLOGÍA d Seguridad IAM Firma Electrónica guridad de los esos NEGOCIO : Consultoría de n Director de Seguridad CSA: Consultoría de Seguridad de las Aplicaciones COS: Consultoría de Optimización de la Seguridad de las Infraestructuras Hacking ético Aplicaciones Seguridad Infras. Criticas I - Sistemas de n de Seguridad Seguridad Gestionada de las Seguridad Gestionada de las Evaluación de la Seguridad de la Infraestructuras [ES COS: Consultoría Optimización de l Seguridad de las Infraestructuras Infraestructura Seguridad com LOPD Planes Directores Planes de Continuidad Seguridad Perimetral Control de Acceso a la Red Continuidad de Negocio Gestión de Eventos y Logs Protección de la Información

28 Angel Vergara Security & Network Solution Bull (España), S.A. Tel:

Documentos relacionados
2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback