Identidad como Nuevo Perímetro

Transcripción

1 Stream/Track Identidad como Nuevo Perímetro h Juan Cerchia CSU Security, Principal Consultant

2 Abstract Juan Cerchia CA Technologies, Principal Consultant CSU Security Objetivo y puntos clave de su presentación: Como a través de una estrategia de seguridad IAM flexible y adaptable a las nuevas tendencias se puede expandir el negocio adoptando los nuevos modelos de negocio (redes sociales, disp.móviles, servicios) Abstract de la presentación: Una serie de tendencias tecnológicas, como la nube, la movilidad, d las redes sociales y la consumerización ió de TI, no sólo han transformado a TI, sino también la forma en que los empleados, partners y clientes interactúan con una organización. Mientras el software como servicio (SaaS) y las aplicaciones en la nube han crecido en popularidad, los entornos de TI se han vuelto más distribuidos, fragmentados y nebulosos, con muchos componentes que existen fuera del perímetro tradicional de seguridad de firewalls y redes privadas virtuales (VPN). Como resultado, la protección actual de la empresa móvil basada en la nube requiere de un nuevo enfoque. Debido a que nuestras aplicaciones y datos están protegidos por diferentes proveedores de nube, la autenticación de los usuarios en esos entornos es el único punto central de control que podemos mantener. En otras palabras, la identidad debe convertirse en el nuevo control de seguridad perimetral para elentorno entorno de TIdistribuido. 2 Copyright 2013 CA. All rights reserved.

3 Agenda Desafíos Comunes de la Seguridad de la Información Tendencias del Corto Plazo : Empresa Abierta Nueva Evolución del Modelo de Seguridad de CA Estrategia Basada en Servicios de Seguridad Como implementar la estrategia Conclusiones 3 Copyright 2013 CA. All rights reserved.

4 Desafíos Comunes de Seguridad de la Información Aumento en el número y tipos de usuarios Colaboración entre empleados y partners Información compartida y transacciones con clientes y ciudadanos Tremendo e docec crecimiento e tode las aplicaciones online Muchas organizaciones están pasando de 100 a apps Aumento de las aplicaciones internas y externas Nuevos tipos de dispositivos/aplicaciones Tabletas, teléfonos y otros dispositivos TI orientada al consumidor Aplicaciones móviles nativas 4 Copyright 2013 CA. All rights reserved.

5 Tendencias del Corto Plazo Tendencias que van modelando el uso de IAM actualmente Empresas conectadas a la Nube Para el 2015, cerca del 24% de las compras de software serán SaaS Mundo Móvil El gasto en móviles alcanzará $1.3 trillones y el mercado de apps móviles $55 billones en 2016 Identidades Sociales Las redes sociales alcanzan al 82% de la población mundial Ataques & Fraudes Personal interno o socios de negocios son responsables del 43% de las brechas de seguridad Economía API La mayoría de los servicios se acceden via API, y NO web browser Seguridad basada en Datos La seguridad fluye con los datos a medida que se mueve entre usuarios / servicios Internet de las Cosas 15 billones de dispositivos en red para 2015 Compliance & Regulaciones Las grandes compañias gastan 13.1% de sus ganancias netas en actividades de compliance Presupuesto de Seguridad d Cambia de Lugar Para 2015, 35% de los gastos de TI de las organizaciones se harán por fuera del presupuesto de TI. 5 Copyright 2013 CA. All rights reserved.

6 Lo cual significa realmente. Que la Empresa debe ser Abierta La Empresa Abierta Socios/Divisiones Servicios en la Nube Apps Moviles Comunidad de Desarrolladores IoT / Big Data Registración en Redes Sociales 6 Copyright 2013 CA. All rights reserved.

7 Nuevas Amenazas & Desafíos para la Empresa Abierta Nuevas Amenazas & Riesgos Online Socios/Divisiones Servicios en la Nube Apps Móviles Comunidad de Desarrolladores Desarrolladores Ladrones IoT / Big Data Ataques Externos Apps Mal Programadas Registración en Redes Sociales Servicios en la Nube engañados (Spoofed) Login Social l Hackeado 7 Copyright 2013 CA. All rights reserved.

8 Como se expande el foco de Seguridad / Identidades PROTEGER INFORMACION SENSIBLE EN TODA LA EMPRESA ASEGURAR LA EMPRESA BRINDAR NUEVOS CONECTADA A LA NUBE y SERVICIOS DE NEGOCIO DISPOSITIVOS MOVILES via WEB, MOBILE, API Proteger el Negocio Seguridad de NO Facilitar el Negocio ness Seguridad del KNOW 8 Copyright 2013 CA. All rights reserved.

9 Solución : Requiere un conjunto integrado de facilidades Administración de Identidades Alcanzar la Excelencia a nivel Operativo GOBIERNO DE IDENTIDADES AUTO SERVICIO REQUERIMIENTO DE ACCESO ADM. De CUENTAS PRIVILEGIADAS APROVISIONAMIENTO La Empresa Abierta Facilitar el Acceso Generar Nuevos Negocios SINGLE SIGN ON WEB FEDERACION SEGURIDAD & ADMINISTRACION DE APIS SEGURIDAD APPS EN DISPOSITIVOS MOVILES AUTENTICACION AVANZADA API PORTAL Protección de Datos Sensibles Protección de la Marca CONTROL FILE CONTROL MOBILE DEVICE MANAGEMENT MOBILE CONTENT MANAGEMENT 9 Copyright 2013 CA. All rights reserved.

10 Administración de Identidades Identidad es el NUEVO PERIMETRO Gobierno de Identidades Contratistas Autenticación On/off Boarding Avanzada SaaS Partners Identidad Cloud Apps/Platforms & Web Services Empleados Self Service Single Sign-on Enterprise Apps Administradores Administración de Cuentas Privilegiadas y Compartidas On Premise 10 Copyright 2013 CA. All rights reserved.

11 IDENTIDADES como NUEVO PERIMETRO. Autenticación es más crítica que nunca Sugestiones Credenciales Seguras O? Identific.del Dispositivo Actividad Histórica Valor de la Transacción Fuera de Banda Credenciales Contexto Riesgo Implementar un modelo de autenticación versátil que se vaya adaptando con el tiempo Pensar con respecto al contexto del usuario, el dispositivo y la transacción y su actividad Planificar una estrategia consistente de autenticación MULTICANAL OTP, Evaluación de Riesgo, PKI Autenticación Avanzada tiene que ser transparente, basado en riesgo y progresiva 11 Copyright 2013 CA. All rights reserved.

12 IDENTIDADES como NUEVO PERIMETRO. Control de Acceso : Defensa contra ataques internos y externos Amenazas Externas Perímetro Tradicional Amenazas Internas Employees Administrators Partners Red Interna Hackers Tradicionales Crimen Organizado Identidad como Nuevo Perímetro Sistemas Críticos Hackers Militares Shared Account Management Fine Grained Access Controls Identity Governance Strong Authentication Virtualization Security Session Recording Datos Sensibles Hacktivists Identity Management Risk Based Authentication Data Controls 12 Copyright 2013 CA. All rights reserved.

13 APIs son la evolución de la Web para B2B, Mobile, Cloud Contenido Web expuesto fuera de la organización Enterprise Data API Server DMZ 13 Copyright 2013 CA. All rights reserved.

14 APIs permiten acceder a los datos de la organización a desarrolladores externos, Apps & Servicios APIs Expuestas hacia fuera de la Organización Outside Partners / Divisions Data API Server External Developers Mobile Apps Cloud Services Internet of Things 14 Copyright 2013 CA. All rights reserved.

15 CA Layer 7 protege, administra & Adapta las APIs y Datos que se exponen Layer 7 Secures & Manages The APIs & Data They Expose Outside Partners / Divisions Data API Server External Developers Mobile Apps Cloud Services Internet of Things 15 Copyright 2013 CA. All rights reserved.

16 CA Identity & Access Management (IAM) NUEVA ARQUITECTURA CA SiteMinder Políticas de Control de Acceso & Seguridad Centralizada Consumidores Partners Empleado Mobile CA AuthMinder Autenticación Basada en Riesgo Layer 7 Web Single Sign on (apps propietarias) Web Federation (apps standard ) API Security & Management Mobile App Security & Management Aplicaciones SaaS CA DataMinder Protección de Datos Aplicaciones Customizadas Empleado Interno CA IdentityMinder Administración de Identidades & Gobierno de Accesos 16 Gobierno Cuentas Privilegiadas 16 Copyright 2013 CA. All rights reserved. Copyright 2013 CA. All rights reserved. Autoservicio

17 Opciones para Proteger las Apps Móviles CA Layer 7 Mobile Access Gateway SOFTWARE DEVELOPMENT KIT CA Mobile App Security APP WRAPPING Se incluye el codigo de seguridad dentro de la aplicación La Seguridad es implementada durante el desarrollo de la aplicación Implementada por los desarrolladores Genera una capa de seguridad adicional alerededor de la aplicación La Seguridad es implementada luego que la app fue desarrollada Implementado por los administradores de seguridad de TI 17 Copyright 2013 CA. All rights reserved. 1 7

18 Administración de Riesgos & Seguridad de la Información (las soluciones tradicionales de seguridad, procesos y controles no alcanzan) Simplificar y Facilitar Mejorar la experiencia de usuarios Acceso inmediato a las aplicaciones Control de Acceso seguro y simplificado Para cualquier momento, cualquier lugar, cualquier dispositivo Prioridades de Seguridad Proteger a la organización de ciber amenazas Simplificar elmodelo de control de acceso Proteger los procesos de negocio Administrar la explosión de información y dispositivos Monitoreo del estado global de seguridad Simplificar la respuesta de incidentes Asegurar el cumplimiento de regulaciones Simplificar controles de Seguridad Proteger Activos APT _ Amenazas avanzadas Activos distribuidos en forma global Estado global de seguridad Controles cambiantes de seguridad Consumerización de TI Auditorías crecientes Tecnologías disruptivas 18 Copyright 2013 CA. All rights reserved.

19 Estrategia de Seguridad Global Lógica (la transformación de seguridad requiere una estrategia centrada en identidades para los diferentes niveles de la infraestructura que soporta los negocios) Comunicación, Colaboración y Contenido Servicios de Negocio e Integración Nube Externa Aplicaciones Datos Nube Iterna Plataformas Redes ciones Legacy Implementac 19 Copyright 2013 CA. All rights reserved.

20 Simplificar y Proteger el Negocio y sus Activos (Estrategia de Seguridad centrada en Identidades y Datos van proteger y facilitar los negocios de la organización) Facilitar Organización basada en Identidades Aprovisionamiento del usuario dia 1 Protección Seguridad de la Red One stop shopping para control de accesos Seguridad a nivel de servidores logicos y Integración de seguridad lógica y física virtuales Acceso transparente a soluciones internas y externas SIEM VPN y SSO integrado Seguridad en la Nube (Soluciones SaaS) Global IDS/IPS Extensión de los controles de identidad a la Global malware management red Prevención de Pérdida de Datos centrado en Protección de Datos identidades Revisiones de AccesoTrimestrales Seguridad de Aplicaciones automatizadas Patch & vulnerability management Control de acceso de usuarios privilegiados simplificado Seguridad de Mails & Spam Administración i ió de accesosde 3ras. Partes Administración de Incidentes & Cambios 20 Copyright 2013 CA. All rights reserved.

21 El Camino Evolutivo 1 ESTABLECER POLITICAS Y ARQUITECTURA DE SEGURIDAD Replantear IAM como un Modelo de Servicios Arrancar con el nuevo Modelo de Seguridad con las aplicaciones internas y/o en la Nube según evaluación de riesgo Integrar y aumentar las facilidades d de seguridad que tiene hoy en día alineado con la arquitectura Integrar Clientes, Contratistas, Partners? 21 Copyright 2013 CA. All rights reserved.

22 El Camino Evolutivo SELECCIONAR E IMPLEMENTAR SERVICIOS DE SEGURIDAD ALINEADOS 2 CON EL NEGOCIO Identificar los proyectos importantes para su organización para los años próximos.. Simplificar la implementación de servicios de seguridad planteando una estructura que se adapte facilmente a las aplicaciones de negocio sin modificarlas en lo posible Reforzar el uso de SAML para los usuarios? Automatización de aprovisionamiento & deaprovisionamiento? Externalización de las autorizaciones? Logging de la actividad de los usuarios?.estandarizar!!! 22 Copyright 2013 CA. All rights reserved. 2

23 El Camino Evolutivo 3 ARMAR EL CATALOGO DE SERVICIOS DE SEGURIDAD Clasificar y agrupar los servicios de seguridad Publicar los servicios de seguridad Administrar los servicios de seguridad KPIs de los servicios de seguridad 23 Copyright 2013 CA. All rights reserved.

24 Ejemplo : Como crear servicios de seguridad centrado en identidades Aprovisionamiento (CA Identity Minder) 1. Extender CA IdentityMinder para aprovisionar el acceso a soluciones hosteadas en forma externa (SalesFORCE, Office 365, MS Azure) 2. Acceso desde el dia 1 a los sistemas internos de TI (red y correo) 3. Extender el aprovisionamiento y control de acceso usando las facilidades SCIM de CA Layer 7 Reseteo de Contraseñas (CA IdentityMinder) 1. Autoservicio para las aplicaciones de negocio más importantes (SAP; Siebel; CRMs) Certificaciones de Acceso (CA GovernanceMinder) 1. Automatización de certificaciones trimestrales para más de 64+ aplicaciones, AD & otra infrastructura 2. Integración IDM & GM para habilitar certificaciones de roles relacionados con el aprovisionamiento y deaprovisionamiento a nivel ciclo de vida de identidades AutenticaciónInternay ió Externa (SiteMinder i & Arcot) 1. Integrar la autenticación VPN y SiteMinder para mejorar la experiencia del usuario 24 Copyright 2013 CA. All rights reserved.

25 Conclusiones Necesidades de Seguridad Prioridades de Seguridad: Prevención de amenazas de ataques externos e internos asociados con politicas de DLP y encripción de datos Proteger entorno Mobile Dispositivos individuales confiables : Tener una seguridad a nivel de dispositivo consistente para diferentes plataformas de laptops, tablets and smartphones. Proteger entorno Mobile Crecimientode Apps Móviles: Gcrecimiento de la disponibilidad de aplicaciones móviles que deben ser administradas y protegidas pues son generadoras de negocios Proteger la Nube : Un gran número de clientes estan interesados en en explorar de tener IAM via la Nube, aunque la gran mayoría todavía lo piensan On Premise Protección de Datos : Las tecnologías de DLP & Encripción son los controles de seguridad a ser tenidos en cuenta en el mercado Acciones de CA Technologies Prioridades de Seguridad : Evolucionar el conjunto de Soluciones de CA a un approach centradoen datos y simplificar lf nuestra tecnologíaparaqueeste al alcance de las áreas de negocio Proteger entorno Mobile : Ofrecer un modo evolutivo de protección de los dispositivos móviles brindando : seguridad d a nivel lde dispositivos iti (MDM) seguridad a nivel de aplicaciones (a nivel web, apps existentes, apps nuevas Siteminder, Layer 7, CloudMAS) Proteger la Nube : Desde el punto de vista de servicios seguir agregando nuevas disciplinas (Usuarios privilegiados, Gobierno de Accesos) y optimizando las existentes (IDM,SSO,AA, APIs) basado en un modelo de negocio progresivo Protección de Datos : Profundizar la integración de la solución de DLP con los diferentes módulo de control de accesos (SM,IDM,etc) y con soluciones de encripción de datos (Voltage) 25 Copyright 2013 CA. All rights reserved.

26 Q&A