identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible

Transcripción

1 identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible

2 Transformación de TI y evolución de identidades Una cantidad de tendencias tecnológicas, que incluyen la nube, los dispositivos móviles y las redes sociales, así como la personalización de TI, han transformado no solo la TI sino la manera en que los empleados, los socios de negocios y los clientes interactúan con una organización. Y, como el software como servicio (SaaS) y las aplicaciones de la nube se han hecho más populares, los entornos de TI se distribuyeron más, se fragmentaron en mayor medida y se volvieron más aptos para la nube, con muchos componentes fuera del perímetro tradicional de seguridad de los cortafuegos y de las redes privadas virtuales (VPN). Como consecuencia, la protección de la empresa basada en la nube y móvil actual requiere un nuevo enfoque. Como nuestras aplicaciones y nuestros datos están protegidos con diferentes proveedores de nubes, la autenticación de los usuarios en esos entornos es el único punto de control central que podemos mantener. En otras palabras, la identidad debe convertirse en el nuevo control de seguridad perimetral para el entorno de TI distribuido. De acuerdo con un reciente estudio de CA encargado al Ponemon Institute, el 64 % de los profesionales de TI y de seguridad de TI, en la actualidad, buscan soluciones de administración de identidad y de acceso híbrida, la cual puede ser compatible tanto con aplicaciones locales como con aplicaciones basadas en la nube. 1 1 Ponemon Institute, Security of Cloud Computing Users Study [Encuesta sobre la seguridad de los usuarios de la informática en la nube], marzo de

3 la desaparición del perímetro de red tradicional Red histórica con shell externa única Empleado móvil Perímetro de la red Empleado interno VPN Aplicaciones empresariales Local En el pasado, el perímetro de red proporcionaba un shell externo único alrededor de todos los datos y las aplicaciones. Esto mantenía todo contenido, y los equipos de seguridad y TI podían administrar fácilmente las identidades de manera interna. Luego, cuando la cantidad de empleados remotos creció, las VPN comenzaron a ser parte del perímetro y a tomar el control de la tarea de autenticar empleados cuando se encontraban fuera de las instalaciones. La realidad actual con la actividad fuera del perímetro de seguridad Usuario de socio de negocios Cliente Empleado móvil Perímetro de la red VPN Aplicaciones/plataformas de nube y servicios web SaaS GOOGLE No obstante, como la popularidad de las ofertas de nube, de infraestructura como servicio (IaaS), de plataforma como servicio (PaaS) y SaaS ha crecido en los últimos años, cada vez más aplicaciones se han trasladado fuera del cortafuego. Lo que es más, los socios de negocios externos y los usuarios clientes, ahora, están accediendo a aplicaciones locales y basadas en la nube (algunas detrás del cortafuegos y otras no), lo que genera desafíos de administración de identidad adicionales fuera del perímetro tradicional. Local Empleado interno Aplicaciones empresariales 03

4 el auge de la TI sin autorización de la organización o TI fantasma Con la desaparición del perímetro tradicional y el uso en aumento de las aplicaciones en la nube, los administradores de negocios, ahora, pueden comprar servicios en la nube en el momento (todo lo que necesitan es una tarjeta de crédito). En algunos casos, las organizaciones tienen infraestructuras informales de servidores, aplicaciones y datos que se obtuvieron de esta manera. Cuando esto ocurre, el grupo principal de TI, normalmente, tiene poco control del servicio, lo cual crea desafíos significativos en la seguridad respecto del contenido de la nube. la TI fantasma basada en la nube lleva a identidades fantasma Cuando los componentes de la TI fantasma comienzan a formar parte de la infraestructura, los usuarios crean nuevas identidades para acceder a ellos y, posiblemente, usan el mismo nombre de usuario y contraseña que utilizan en los sistemas empresariales, lo que multiplica los riesgos de seguridad. O bien, los usuarios crean nombres de usuario y contraseñas nuevos para cada servicio, lo que recopilará una variedad de identidades fantasmas que pueden administrarse junto con sus credenciales empresariales. El desafío de la seguridad de TI es que mientras más fragmentados estén los componentes fantasma, más difícil será administrar identidades y accesos. Por ejemplo, si las identidades no se administran de manera central, puede ser imposible eliminar el acceso cuando un empleado cambia de función en el trabajo o se va de la organización. 04

5 el auge de la identidad como nuevo perímetro de red Usuario de socio de negocios Cliente Aplicaciones/plataformas de nube y servicios web GOOGLE Los conceptos dentro de la red y fuera de la red ya no tienen sentido. El perímetro tradicional ha desaparecido, por lo que, ahora, las organizaciones tienen que cambiar la manera en que administran la seguridad y las identidades de los usuarios si desean mantener los datos y las aplicaciones seguras. En este nuevo escenario, la identidad debe convertirse en el perímetro de seguridad. SaaS Empleado móvil Local Empleado interno Aplicaciones empresariales 05

6 un nuevo enfoque en la administración de identidad Tradicionalmente, las organizaciones han abordado la seguridad desde una perspectiva de conjuntos de tecnologías, lo que infunde administración de identidad y acceso directamente en los servidores (físicos y virtuales), bases de datos, aplicaciones, sistemas operativos y redes que comprenden sus infraestructuras de TI. No obstante, con la desaparición del perímetro tradicional y el mayor consumo de servicios empresariales por parte de las organizaciones a través del modelo como un servicio es momento de comenzar a pensar en la seguridad desde una perspectiva de corretaje. En este modelo, una organización será intermediaria de la seguridad entre la misma empresa y todas las instancias de aplicaciones en las que residen sus datos: Construcción y seguridad de infraestructuras El proveedor de nube: maneja la seguridad de la infraestructura y de las aplicaciones como parte de los acuerdos de nivel de servicio (SLA). La autenticación de los clientes empresariales debe dejarse a la empresa. El equipo de seguridad de la empresa: puede limitar la proliferación de identidades fantasma si administra todas las autenticaciones de usuarios para los servicios de la nube. La empresa puede controlar la política de contraseñas e implementar la autenticación de múltiples factores tal como sea necesario para acceder a los servicios de la nube, que incluye la prohibición del acceso a determinados empleados. Corretaje de servicios de negocio Middle ware Aplicación DB Middle ware Aplicación DB SERVICIO DE NEGOCIO Sistema operativo Sistema operativo Virtualización RED Virtualización SERVICIO DE NEGOCIO SERVICIO DE NEGOCIO USUARIO USUARIO 1 Copyright 2012 CA. Todos los derechos reservados. 06

7 la necesidad de autenticación de usuario centralizada Para que este modelo de corretaje de servicio de negocios funcione satisfactoriamente, los equipos de seguridad deben encontrar la manera de eliminar identidades fantasma y autenticar a todos los usuarios a través de sus servicios de identidad antes de que ellos accedan a las aplicaciones que necesitan. Este enfoque puede simplificar la administración de acceso para todos los tipos de usuarios, incluidos los siguientes: Empleados Aunque los empleados pueden seguir autenticándose con el directorio corporativo, la autenticación contextual y de factores múltiples debe estar disponible para las transacciones de alto valor o el acceso a aplicaciones confidenciales. Por ejemplo, si un usuario inicia sesión normalmente desde la oficina o desde su casa en los EE. UU. durante el horario de trabajo habitual, pero un intento de inicio de sesión se efectúa en Europa a mitad de la noche, el servicio debe rechazar la autenticación o exigir credenciales adicionales. Administradores con privilegios Los administradores con privilegios pueden ser un desafío, porque, a menudo, tienen más derechos de acceso de los que necesitan y comparten el uso de una cuenta común (por ejemplo, raíz). Para combatir esto, un servicio de autenticación central debe funcionar tal como lo hace con los empleados, pero cuando un usuario con privilegios inicia sesión, se le dará una contraseña de un solo uso para esa sesión particular, lo que descarta la falta de responsabilidad que es endémica para el uso de cuentas compartidas. 07

8 la necesidad de autenticación de usuario centralizada continuación Socios de negocios Para los socios de negocios, una organización puede federar el proceso de autenticación para sus proveedores de nube a través del lenguaje de marcado de aserción de seguridad (SAML). Al hacer esto, una empresa obtiene beneficios de un servicio de identidad centralizado sin tener que administrar las identidades de socios de negocios. Clientes Los clientes de la actualidad ya han acumulado una cantidad de usuarios y contraseñas, por lo que las organizaciones solo deben pedirles que creen nuevas credenciales para transacciones de alto valor. Por ejemplo, una organización puede integrar las identidades de las redes sociales para proporcionar una experiencia de inicio de sesión sin roces para sus clientes. Luego, si un cliente busca una transacción de alto valor, el servicio de identidad centralizado puede iniciar un proceso de autenticación más tradicional que proteja las aplicaciones y los datos confidenciales. La amenaza común en cada una de estas situaciones de los usuarios es un servicio de identidad centralizado que controla el acceso a todas las aplicaciones empresariales, ya sean locales o se encuentren en la nube. 08

9 definición de una ruta avanzada Mientras el servicio de administración centralizada de identidad y acceso puede ayudar a que las organizaciones creen un nuevo perímetro de identidad que asegure los centros de datos fragmentados de la actualidad, la pregunta de cómo implementar tal servicio sigue presente. Debajo, hay algunas recomendaciones para definir mejor una ruta avanzada: Paso 1. Establecer una arquitectura de agente de nube Debido a la facilidad de uso y de integración con otros servicios en la nube, muchas organizaciones eligen implementar la administración de identidad y acceso como un servicio. De hecho, de acuerdo con Gartner, se espera que la entrega de la identidad como servicio de la nube crezca hasta un 30 % para Pero, por qué debe pensar en IAM como un servicio? Para las nuevas iniciativas, le permite aumentar la seguridad implementada actual en lugar de cortar y sustituir. Puede comenzar con aplicaciones basadas en la nube, muchas de las cuales estarán integradas previamente, y puede agregar aplicaciones locales con el transcurso del tiempo. Finalmente, esta arquitectura de agente de nube se transformará en un perímetro de identidad único y centralizado. Paso 2. Crear una lista de verificación y evaluar los proveedores de servicios en la nube Antes de evaluar las soluciones de IAM como un servicio, es obligatorio que desarrolle una lista de verificación de seguridad imprescindible de manera que pueda evaluar a los proveedores de servicios en la nube y compararlos con la lista. Qué debe incluir la lista de verificación? Busque las funciones que lo ayudarán a controlar las identidades en las aplicaciones basadas en la nube, tales como: Autenticación basada en SAML con la función de apagar la autenticación local Aprovisionamiento y desaprovisionamiento automatizado Una consulta para usuarios corrientes Acceso de registro de uso Posibilidad de externalizar la autorización Prácticas basadas en normas Paso 3. Crear un catálogo Finalmente, reúnase con los administradores de negocios para tratar los próximos proyectos de manera que pueda crear un catálogo de servicios cuya prioridad esté dada por las más recientes iniciativas de TI y de negocios. Por ejemplo, si conoce cuáles son los nuevos tipos de aplicaciones SaaS que tienen en cuenta la organización, puede buscar proactivamente algunas que correspondan a la lista de verificación en el paso anterior. Si averigua esto anticipadamente, puede ayudar a que la organización elija aplicaciones que no solo cumplirán con los requisitos de funcionalidad sino que serán compatibles con una implementación más rápida y sin inconvenientes. Esto acelerará el desarrollo de nuevos servicios. 2 Gartner The Growing Adoption of Cloud-based Security Services [La creciente adopción de servicios de seguridad basados en la nube] por Kelly M. Kavanagh, 3 de mayo de

10 venda esto a la organización con una discusión de negocios, no de tecnología Cuando una organización busca un enfoque de administración centralizada de identidad y acceso, observa beneficios de seguridad inmediatos en las siguientes áreas: Acceso a activos de TI locales y en la nube Visibilidad de medidas tomadas por usuarios con privilegios Garantía de identidades de los usuarios Protección de la información del cliente Gobernanza mejorada de todos los derechos de acceso de los usuarios (es decir, Quién tiene acceso a qué?) Otro beneficio, menos claro, es el aumento en la agilidad de los negocios. Cuando las identidades se administran de manera central, los nuevos servicios de negocios pueden implementarse más fácil y rápidamente que si cada identidad requiriera integración de seguridad manual. Como consecuencia, las organizaciones pueden responder más rápidamente a las condiciones cambiantes del mercado, acelerar la creación de nuevos servicios de negocios y crear ventajas competitivas. Además, los ejecutivos de seguridad pueden demostrar su valor a toda la comitiva ejecutiva; esto los ayuda a asegurar el espacio en la tabla ejecutiva: Los administradores de negocios se benefician de auditorías más simples, implementaciones SaaS más rápidas y experiencia mejorada para sus clientes (por ejemplo, inicio de sesión reducido) Los directores de informática se benefician al lograr costos operativos y de mesa de ayuda reducidos y más confiabilidad Los responsables de cumplimiento se benefician de la generación de informes automatizada y la visibilidad mejorada La seguridad de TI logra sus objetivos de seguridad a la vez que permite la mejor y más rápida adopción de nuevos servicios de negocios 10

11 acerca de las soluciones de CA Technologies Las soluciones de seguridad de CA pueden ayudar a proteger su negocio y a potenciarlo para que crezca y, a la vez, le permiten aprovechar los beneficios de la nube, la movilidad, la virtualización y las grandes bases de datos. Con nuestras soluciones, puede: Acelerar la entrega de servicios de negocios nuevos y seguros a sus clientes. Asegurar el acceso a los datos en todas las áreas extendida de la empresa Aprovechar nuevos canales (de manera segura) para ayudar al crecimiento de la base del cliente y a una mayor confiabilidad. Proteger de amenazas internas y de ataques externos. Mejorar la eficacia mediante la automatización de procesos claves relacionados con la identidad. Proteger información confidencial de robos o divulgación. Brindamos estos beneficios a través de las siguientes funciones: Administración de identidades y gobernanza de acceso Administración de acceso web y SSO Autenticación avanzada y prevención de fraudes Administración de cuentas compartidas (admin) Seguridad móvil Clasificación y control de la información Servicios de identidad basados en la nube 11 Para obtener más información sobre las soluciones de seguridad de CA, visite

12 CA Technologies (NASDAQ: CA) es una empresa de soluciones y software de administración de TI con experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra y asegura los entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la perspectiva y el control esencial para que las organizaciones de TI mejoren la agilidad del negocio. La mayoría de los integrantes de la lista Global Fortune 500 confía en CA Technologies para administrar sus cambiantes ecosistemas de TI. Si desea obtener más información, visite CA Technologies en ca.com. Copyright 2013 CA. Todos los derechos reservados. Microsoft y el logotipo de Microsoft son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos o en otros países. Todas las marcas registradas y nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación tal cual, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños.