Curso de Seguridad de la Información

Transcripción

1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Tecnologías Básicas de Seguridad. Conceptos generales y administración de firewalls, proxies y antivirus. Encripción. Conceptos Generales. Soluciones específicas de encripción para acceso remoto, transacciones por internet y correo electrónico. IDS (Intrusion Detection System) e IPS (Intrusion Prevention Systems). AntiSpyware y Content Filtering. Soluciones para la centralización y revisión eficiente de LOGs. Soluciones de Identity Management. Autenticación; Single-sign-on (SSO); Control de acceso (Access Management); Modelo de Acceso Basado en Roles; Provisioning de usuarios de forma centralizada; Administración de Usuarios. 1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Tecnologías básicas de Seguridad 1

2 Firewalls. Qué son y por qué utilizarlos Un Firewall, es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. La ubicación habitual de un Firewall es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna; 3 Tipos de Firewalls Firewall de capa de red o de filtrado de paquetes: Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de firewall se permiten filtrados según campos de nivel de transporte como el puerto origen y destino, o a nivel de enlace de datos como la dirección MAC. Firewall de capa de aplicación: Trabaja en el nivel de aplicación, de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP se pueden realizar filtrados según la URL a la que se está intentando acceder. Un firewall a nivel 7 de tráfico HTTP es normalmente denominado Proxy y permite que los computadores de una organización entren a Internet de una forma controlada. Firewall personal: Es un caso particular de firewall que se instala como software en una estación de trabajo, filtrando las comunicaciones entre dicha computadora y el resto de la red y viceversa. 4 Ventajas y desventajas de los firewalls Ventajas Protege a la compañía de posibles intrusiones Protege la información privada Permite aislar equipos críticos de la compañía del resto de la red Desventajas No puede proteger a la compañía contra ataques de ingeniería social No puede proteger a la compañía de virus y spywares. No puede proteger aquellas conexiones que no pasan a través de él. Políticas de firewalls Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. 5 2

3 Algunas herramientas de administración de Firewalls Consola de administración de IPTABLES Consola de administración de Firewall-1 Consola de administración de Juniper 6 Proxies. Qué son y por qué utilizarlos El Proxy, también conocido como agente, se encarga de manejar todas las peticiones de los usuarios hacia uno o más servicios determinados, en lugar que estos lo accedan en forma directa. La utilización más habitual de un proxy es la de interceptar todas las solicitudes de navegación hacia internet de los usuarios de una compañía y peticionarlas como propias hacia internet, evitando de esta forma la exposición directa de las estaciones de trabajo. 7 Proxies. Similitudes con otras tecnologías Un proxy podría ser considerado un firewall de aplicación en sí mismo, ya que permite filtrar todo aquel contenido que no sea requerido o autorizado por la compañía. Como ventajas adicionales de esta tecnología, encontramos también que puede guardar en memoria todo aquel contenido visitado frecuentemente por los usuarios, permitiendo así una mejor utilización del ancho de banda del vínculo hacia internet, ya que dicho contenido, en lugar de ser procesado íntegramente en la web, ahora lo hará el proxy. Proxies Reversos Existen otros tipos de proxies denominados proxies reversos. Estos funcionan exactamente igual que los proxies tradicionales, con la diferencia que en lugar de filtrar el contenido al que puede acceder la red interna de la compañía hacia internet es al revés. Esto permite controlar el tráfico entrante hacia la red filtrando aquellas conexiones indebidas a nuestros servicios y evitando también el contacto directo entre Internet y nuestro servidor real de servicios. 8 3

4 Ventajas y desventajas de los Proxies Ventajas Mayor control de tráfico Ahorro de ancho de banda Mayor velocidad de conexión gracias a la caché de contenido Filtrado a nivel de capa de aplicación Brinda anonimato a los usuarios Desventajas Ante grandes cargas de trabajo, puede no funcionar como debiera En caso que no esté bien establecido el período de refresco de la información, podría mostrar información vieja almacenada en su caché Incorpora un nodo más de administración en la compañía 9 Antivirus. Qué son y por qué utilizarlos Los antivirus son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware). Básicamente, un antivirus compara el código de cada archivo con una base de datos de códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado. Actualmente, los antivirus cuentan con mecanismos avanzados de detección y eliminación de virus, como la búsqueda de comportamientos típicos de virus o la verificación contra virus en redes de computadoras. Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Hoy en día, es muy común que las organizaciones cuenten con infraestructuras de antivirus centralizadas, las cuales se encargan de actualizar todos los equipos con las últimas versiones de las vacunas y componentes del antivirus, evitando así un acceso en masa a Internet. 10 Tipos de vacunas generadas por un antivirus Sólo detección: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. Detección y desinfección: Son vacunas que detectan archivos infectados y que pueden desinfectarlos. Detección y aborto de la acción: Son vacunas que detectan archivos infectados y detienen las acciones que causa el virus. Detección y eliminación de archivo/objeto: Son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infección. Comparación directa: Son vacunas que comparan directamente los archivos para revisar si alguno esta infectado 11 4

5 Tipos de vacunas generadas por un antivirus (cont.) Comparación por firma digital: Son vacunas comparan las signaturas de archivos sospechosos para saber si están infectados. Comparación de signatura de archivo: Son vacunas que comparan las signaturas de los atributos guardados en tu equipo. Por métodos heurísticos: Son vacunas que usan métodos heurísticos para comparar archivos. Invocado por el usuario: Son vacunas que se activan instantáneamente con el usuario. Invocado por la actividad del sistema: Son vacunas que se activan instantáneamente por la actividad del sistema. 12 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Encripción Encripción Conceptos Generales La criptografía (del griego κρύπτω krypto, ocultar, y γράφω graphos, escribir, literalmente escritura oculta) es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos. Con más precisión, cuando se habla de esta área de conocimiento como ciencia se debería hablar de criptología, que engloba tanto las técnicas de cifrado, la criptografía propiamente dicha, como sus técnicas complementarias: el criptoanálisis, que estudia los métodos que se utilizan para romper textos cifrados con objeto de recuperar la información original en ausencia de las claves. En la jerga de la criptografía, la información original que debe protegerse se denomina texto en claro. El cifrado es el proceso de convertir el texto plano en un galimatías ilegible, denominado texto cifrado o criptograma. 14 5

6 Encripción Conceptos Generales (Cont.) Las dos técnicas más sencillas de cifrado, en la criptografía clásica, son la sustitución (que supone el cambio de significado de los elementos básicos del mensaje -las letras, los dígitos o los símbolos-) y la trasposición (que supone una reordenación de los mismos); la gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas. Existen dos grandes grupos de cifras: Los algoritmos que utilizan una única clave tanto en el proceso de cifrado como en el de descifrado; Los que utilizan una clave para cifrar mensajes y una clave distinta para descifrarlos. Los primeros se denominan cifras simétricas, de clave simétrica o de clave privada y son la base de los algoritmos de cifrado clásico. Estos se denominan cifras asimétricas, de clave asimétrica o de clave pública y forman el núcleo de las técnicas de cifrado modernas. En el lenguaje cotidiano, la palabra código se usa de forma indistinta con cifra. En la jerga de la criptografía, sin embargo, el término tiene un uso técnico especializado: los códigos son un método de criptografía clásica que consiste en sustituir unidades textuales más o menos largas o complejas, habitualmente palabras o frases, para ocultar el mensaje; por ejemplo, tierra virgen" podría significar Desembarcamos mañana". 15 Encripción Algoritmos de encripción AES: En criptografía, Advanced Encryption Standard (AES), también conocido como Rijndael, es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos. AES opera en una matriz de 4 4 de bytes, llamada state (algunas versiones de Rijndael con un tamaño de bloque mayor tienen columnas adicionales en el state). Para el cifrado, cada ronda de la aplicación del algoritmo AES (excepto la última) consiste en cuatro pasos: SubBytes: en este paso se realiza una sustitución no lineal donde cada byte es reemplazado con otro de acuerdo a una tabla de búsqueda. ShiftRows: en este paso se realiza un transposición donde cada fila del state es rotado de manera cíclica un número determinado de veces. MixColumns: operación de mezclado que opera en las columnas del «state», combinando los cuatro bytes en cada columna usando una transformación lineal. AddRoundKey: cada byte del «state» es combinado con la clave «round»; cada clave «round» se deriva de la clave de cifrado usando una iteración de la clave. 16 Encripción Algoritmos de encripción AES: 17 6

7 Encripción Algoritmos de encripción (cont.) RSA: El sistema criptográfico con clave pública RSA es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual es guardada en secreto por su propietario. Cuando se quiere enviar un mensaje, el emisor busca la clave pública de cifrado del receptor, cifra su mensaje con esa clave, y una vez que el mensaje cifrado llega al receptor, éste se ocupa de descifrarlo usando su clave oculta. Emplea expresiones exponenciales en aritmética modular. La seguridad de este algoritmo radica en que no hay maneras rápidas conocidas de factorizar un número grande en sus factores primos utilizando computadoras tradicionales El algoritmo fue descrito en 1977 por Ron Rivest, Adi Shamir y Len Adleman en el MIT; las letras RSA son las iníciales de sus apellidos. 18 Encripción Soluciones específicas para acceso remoto SSH: Es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos. Si bien trabaja de forma similar a como se hace con telnet, SSH usa técnicas de cifrado que hacen que la información que viaja por el medio de comunicación vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión; aunque es posible atacar este tipo de sistemas por medio de ataques de REPLAY y manipular así la información entre destinos. Generalmente, esta solución es implementada en entornos UNIX y LINUX, aunque podría ser implementada en Windows. Remote Desktop: Es un protocolo utilizado por los sistemas operativos Windows que permite el control remoto de una estación de trabajo o servidor a través de un canal de comunicaciones, el cual puede estar encriptado. 19 Encripción Soluciones específicas para transacciones seguras en Internet HTTPS: Es la versión segura del protocolo HTTP (HyperText Transfer Protocol). Tiene por objetivo la transferencia segura de información a través de Internet a través del puerto 443 (aunque podría establecerse otro). Utiliza un cifrado basado en las Secure Socket Layers (SSL) para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. Cabe mencionar que el uso del protocolo HTTPS no impide que se pueda utilizar HTTP. La capa SSL de este protocolo, en sus versiones modernas, utiliza encripción AES de 128 bits, brindando seguridad en todas las transacciones ejecutadas a través de este mecanismo. Generalmente, esta solución es utilizada para Home Bankings, transacciones en línea y sitios que requieran autenticación (Hotmail o Googl por ejemplo). 20 7

8 Encripción Soluciones específicas para Correo Electrónico Seguro SMTPS, POP3S e IMAPS: Son las versiones seguras de los protocolos Simple Mail Transfer Protocol (SMTP), Post Office Protocol 3 (POP3) e Internet Message Access Protocol (IMAP). En todos los casos utilizan SSL o TLS (Secure Socket Layer o Transport Layer Security) para implementar seguridad. El primero de estos tres (SMTP) tiene la tarea de recepcionar y transmitir los correos electrónicos a través de la red y guardarlos en la casilla del destinatario, mientras que los dos siguientes permiten descargar los correos al buzón personal del usuario. PGP o GPG: Para garantizar que un correo electrónico viaje encriptado, sin importar el medio de transporte en su totalidad del trayecto desde el origen hasta su destino, se utilizan algunos programas de encripción como Pretty Good Privacity (PGP) o GNU Privacy Guard (GPG). Para su implementación, se requieren certificados digitales públicos y privados. Muchos se preguntarán que es esto, por lo que a continuación se procede a explicar como funciona. 21 Encripción Soluciones específicas para Correo Electrónico Seguro (cont.) Para encriptar datos, PGP utiliza un mecanismo denominado de llave pública y privada. Este esquema utiliza una llave pública (un certificado publicado accesible a todo el mundo por ejemplo) para encriptar los datos, mientras que para la desencripción del mensaje se requerirá de una llave privada. Este esquema de clave pública y privada es utilizado por el algoritmo de encripción RSA, mencionado anteriormente. De hecho, PGP utiliza RSA para encriptar los mensajes. A continuación se muestra como funciona este mecanismo: 22 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Intrusion Detection Systems e Intrusion Prevention Systems 8

9 Intrusion Detection Systems Conceptos Generales: Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. Funcionamiento: El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Sin embargo un IDS es incapaz de tomar alguna acción por si solo. 24 Intrusion Detection Systems (cont.) Funcionamiento (cont.): Normalmente esta herramienta se integra con un firewall ya que es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall. Tipos de IDS HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN). 25 Intrusion Detection Systems Ejemplo de red 26 9

10 Intrusion Prevention Systems Conceptos Generales: Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Funcionamiento: Un IPS, al igual que un IDS, funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor), mientras que IDS establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. 27 Intrusion Prevention Systems Ejemplo de Red 28 Antispywares Conceptos Generales: Spyware: Son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Pueden tener acceso por ejemplo a: la cuenta de correo electrónico y el password; dirección IP y DNS; teléfono, país; páginas que se visitan, qué tiempos se está en ellas y con qué frecuencia se regresa; qué software está instalado en el equipo y cuál se descarga; qué compras se hacen por internet; tarjeta de crédito y cuentas de banco. Tipos de Spywares: Benignos: son aquellos programas spyware (espía) o virus troyanos, hijacked, gusanos, etc., encargados por parte de empresas reconocidas como: Microsoft, Ahead (productora de Nero), Adobe (Adobe Photoshop), AVG Grisoft, etc. Los califican así las empresas de software que los crean Neutros: son programas espía que, en su mayoría usan Google, Yahoo, Alexa, etc. Malignos: son programas espía utilizados o creados por hackers interesados, también llamados crackers

11 Antispywares Conceptos Generales (cont.): Antispyware: Un programa antispyware es aquel que tiene como función eliminar todos los spywares que pudieran estar afectando nuestro equipo. Los antivirus más recientes son capaces de eliminar programas espía, como Norton, Kaspersky y Zone Alarm También hay programas especializados en eliminar o bloquear programas espía. Algunos antispywares: Antispywares Basados en Firmas: Avast! Spybot - Search & Destroy AVG Antispyware SUPERAntispyware Zone Alarm Windows Defender Panda Antivirus Antimalwares sin Firmas: Prevx ThreatFire Primary Response Safeconect 30 Administración de LOGs Conceptos Generales: LOG: Es un registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informática un log es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué (who, what, when, where y why, W5) un evento ocurre para un dispositivo en particular o aplicación. La mayoría de los logs son almacenados o desplegados en el formato estándar, el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado por un dispositivo en particular puede ser leído y desplegado en otro diferente. También se le considera cómo aquel mensaje que genera el programador de un sistema operativo, alguna aplicación o algún proceso, en virtud del cual se muestra un evento del sistema. A su vez la palabra log se relaciona con el término Evidencia Digital. Un tipo de evidencia física construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales, lo que implica la lectura del log y deja al descubierto la actividad registrada en el mismo. 31 Administración de LOGs Por qué hay que revisar los LOGs: Existen varias razones para revisar los eventos de seguridad en un equipo, detección de ataques en forma oportuna, mal uso de alguna herramienta, o simplemente monitoreo preventivo. La revisión de LOGs no es una tarea sencilla. Por ejemplo, si tomamos una infraestructura de tan solo 10 servidores, con 30 tipos de evento cada uno, tendríamos un total de 300 eventos para analizar. Si consideramos que esos eventos pueden suceder en simultáneo en o bien de a muchos a la vez durante bastante tiempo (por ejemplo autenticaciones, autorizaciones, etc.), en realidad por minuto tendríamos más de 1000 registros de auditoría para revisar, lo cual es mucho más de lo que un ser humano puede hacer. Es por ello que muchas organizaciones han preferido no revisarlos y simplemente dejarlos allí. Actualmente, debido a la gran cantidad de ataques y la accesibilidad a nueva y más potente tecnología, se hace cada vez más sencillo explotar vulnerabilidades en los sistemas. Esto ocasiona que la cantidad de eventos de seguridad disparados sea aún mayor y se los deba controlar

12 Administración de LOGs Cómo revisar los LOGs: A partir de la necesidad de contar con una herramienta que permita rastrear y mitigar un evento de seguridad, se han desarrollado varias y diversas herramientas de monitoreo de datos. Las más comunes requieren aún de la interacción del usuario para gran parte de las decisiones sobre los eventos, mientras que las más elaboradas (y caras) brindan un soporte mucho mayor, ahorrando tiempo y costo de recursos humanos. Entre las más relevantes de estas herramientas, podemos encontrar las siguientes: Sentinel: herramienta de administración de LOGs provista por Novell. Se basa en el concepto de centralizar los LOGs en un único repositorio y procesarlos a través de reglas de correlación. Estas permiten unir aquellos eventos que estén asociados entre sí (a través de algún patrón definido por el usuario) y de esa forma rastrear el camino completo del evento. Se caracteriza por poseer módulos de buffer, correlación y alerta de eventos y no tener que instalar agentes en los equipos remotos. CA Audit: similar a la herramienta anterior, CA Audit, provista por CA, permite la correlación rápida y sencilla de LOGs de diversas plataformas. Si bien requiere la instalación de un agente en ciertos esquemas, la recolección de eventos es bastante efectiva y puede integrarse con otras herramientas de CA que facilitan la tarea de descubrir el origen de la alerta, como ser CA Access Control y CA Admin, entre otras. 33 Administración de LOGs Pasos para una correcta administración y monitoreo de LOGs: Generación en los sistemas a ser auditados; Recolección; Correlación; Generación de las alertas; Envío de las alertas; Procesamiento del incidente; Resolución del incidente. 34 Administración de LOGs Algunas interfaces de administración de las herramientas mencionadas: Consola de administración de Sentinel Generando una regla con CA Audit 35 12

13 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Soluciones de Identity Management y Single Sign On Identity Management Conceptos Generales Identity Management: Se denomina Administración de Identidades a un sistema integrado de políticas y procesos organizacionales que pretende facilitar y controlar el acceso a los sistemas de información y a las instalaciones. Single Sign On (SSO): Es el proceso por el cual un usuario se autentica una y solo una vez en la aplicación o la compañía y de ahí en más no requiere ingresar nuevamente sus credenciales para utilizar los sistemas a los cuales tiene acceso. El mecanismo de SSO más utilizado en las compañías es el de las cuentas de correo electrónico de Exchange, las cuales se encuentran integradas con la cuenta de usuario de Dominio de Windows y al acceder desde la aplicación Outlook, no requiere que ingrese nuevamente las credenciales el usuario Generalmente, el esquema de SSO va de la mano con el de Identity Management, ya que ambos buscan facilitar la administración de identidades y su utilización. 37 La problemática de la administración de las identidades Cuentas fantasmas En los sistemas y redes persisten usuarios que corresponden a empleados que dejaron la empresa hace meses Requerimientos del auditor Desde Auditoría me piden información sobre quien creó los usuarios, cuando se modificaron los accesos, y que se cambió. También me piden para cada sistema saber cuando fueron dados de baja cada uno de los accesos definidos. Productividad de los empleados Usualmente, para que un usuario esté habilitado en los sistemas tardamos entre 3 y 5 días Reportes Cuando me piden un listado de todos los accesos de un usuario, me lleva 3 días acceder a la red y a los distintos sistemas para poder generar los informes Acumulación de privilegios Hay empleados que cambiaron de sector, acumulando permisos de acceso, sin dar de baja los que ya no necesitan. Como lo identifico? Como lo soluciono? Help Desk sobrecargado el 25% de las tareas de help-desk corresponden al reseteo de contraseñas y desbloqueo de usuarios. Costos El costo y los recursos dedicados a la administración de usuarios son crecientes, a la vez que muchas veces estoy pagando costos de licencias por usuarios que ya no trabajan más en la empresa 38 13

14 Caos de Identidades Socios Abastecimiento Socios de Distribución Ejecutivos Empleados de Ventas Empleados de Marketing Clientes Empleados de IT Externos Help Desk Call Center Help Desk Aplicación de Nuevos Empleados Exchange y Active Directory Siebel CRM Sistema de Recursos Humanos Oracle Financials Sistema de Nómina 39 Identidad Digital Es la representación digital de un usuarios, incluyendo su identificador, credenciales y los perfiles definidos en las aplicaciones. Identidad del Usuario: Nombre y Apellido, Identificador Único, Fecha de Nacimiento Credenciales: Login ID y password SecurID card u otro mecanismo de autenticación Perfiles comunes: Rol Funcional Unidad de Negocio Ubicación Geográfica Jefe / Supervisor Usuario ID Digital Perfiles de Aplicaciones: Permisos Control de Acceso 40 Administración del Ciclo de Vida del Usuario La identidad es creada como el primer paso de la entrada de nuevos empleados La identidad es creada en una fuente autoritaria, por ej una aplicación de HR Utilización de ROLES? Las cuentas de usuarios son configuradas para cada recurso que el usuario accederá Los permisos de acceso iniciales y sus reglas son configuradas en cada recurso Registración Self-Service Request Comienzo de Relaciones Finalización de la Relación System Access Provision Access Los perfiles de las identidades de los usuarios son actualizados en consecuencia de: Transferencias Promociones Eliminación de los permisos de accesos de todos los recursos Terminate Access Maintain Access Ausencias Reseteo de contraseñas Incorporación de nuevos servicios Auditoria y Reportes Cerficación Coordinación de finalización del usuario Despidos no programados Almacenamiento de la identidad del usuario 41 14

15 Proceso conceptual del Identity and Access Management Proceso de alta, modificación y baja de los usuarios de empleados, terceras partes y/o socios del negocio. Revalidación de los usuarios y re-certificaciones de sus privilegios de acceso para administrar los recursos integrados en la solución de IAM también pueden ser realizados por la solución. 42 Modelo conceptual de Identity Management Los usuarios realizan requerimientos para crear, modificar y eliminar cuentas de acceso (IDs digitales), que son procesadas por la solución de IM para completar el requerimiento. 43 Role Based Access Control (RBAC) Es un método para definir, administrar e implementar los privilegios de control de acceso a través del uso de roles entre los usuarios y la asignación de permisos. Hoy RBAC Varios Mañana Sistemas Sistemas Supervisores System Rol Rol Supervisor Supervisor System Directory Directory Database Database Staff Rol Servicio Internet Internet 44 15

16 Desafíos del Negocio Cubiertos por RBAC RBAC simplifica el proceso de asignar los privilegios de acceso que son apropiados para un puesto de trabajo de un usuario. El proceso de traducir las funciones del puesto en configuraciones de acceso de IT (por ejemplo, acceso de Lectura a determinado campo) es un desafío tanto para el negocio como para IT Empresa X Usuarios ROLES Lectura Empresa X Los roles ayudan a que el negocio y IT hablen el mismo idioma y en consecuencia facilita el aprovisionamiento y la administración de los accesos Los roles permiten mejorar la segregación de funciones 45 Enterprise-Role (E-RBAC) Un Enterprise-Role es dónde el negocio se encuentra con el aprovisionamiento. E-Roles son la combinación de descripciones funcionales de accesos (business-friendly) y detalles de aprovisionamiento de acceso (administrator-friendly). System/Application Role Supported Business Functions System/Application Role Access Detail Enterprise Role(s) Business Functions Platform A Access Supported Business Functions Application B Access Supported Business Functions Platform A Access Access Detail Application B Access Access Detail 1 Rol basado en un puesto o función realizada System C Access Supported Business Functions System C Access Access Detail 2 Rol al nivel de un sistema/aplicación específicaat 46 Role Management Etapas de adopción Las etapas más comunes para una compañía adoptar desde un esquema indefinido hasta una administración del ciclo de vida de los roles completa, son las siguientes: Non-RBAC Management Platform 1 Application 1 Limited RBAC Management Platform 1 Application 1 Application 2 Role(s) Hybrid RBAC Management Role(s) Platform 1 Application 1 Platform 2 Role(s) Application 2 Role(s) Full RBAC Management Role(s) Platform 1 Application 1 Application

17 Beneficios de utilizar Identity Management Ejemplos de Requerimientos Funcionalidades de las Soluciones de Identity & Access Management Asegurar la confidencialidad de la información de los usuarios y clientes (consumidores) Provisionamiento de accesos basado en roles Definición de accesos a nivel de atributos (datos) Segregación de Funciones Control de Accesos Basado en Roles Funcionales Identificación de conflictos de intereses Auditabilidad Logs de auditoría Trazabilidad del otorgamiento de accesos Evaluación de los Controles de Acceso Aplicación consistente de políticas de password para todos los sistemas, aplicaciones y plataformas Usuarios Dueños de Datos responsables del otorgamiento y revocación de los accesos Revisión, confirmación y aceptación de cambios en los permisos de acceso según modelo de roles y basado en un workflow de aprobación auditable 48 Curso de Seguridad de la Información - Módulo IX Tecnologías y Herramientas de Seguridad