Dirección del Ciclo de vida de identidades y accesos. Rafael Pereda

Documentos relacionados
Oportunidades y riesgos en la implantación de soluciones de Gestión de Identidad y Acceso

Claves para la adopción de La. Gustavo Pifarre Strategic IT Advisory Services, HP Technology Consulting 30 de Mayo del 2012

SERVICIO DE ATENCION A CLIENTES

Foro de Negocios San Luis Potosí Servicios administrados y en la nube

Normas Internacionales de Información Financiera NIC-NIIF Calendario adopción en Colombia

MS_ Enabling and Managing Office 365.

TALLER PROFUNDIZANDO EN EL MARCO DE REFERENCIA DE ARQUITECTURA EMPRESARIAL PARA LA GESTION DE TI DEL ESTADO ESTRATEGIA DE ACOMPAÑAMIENTO 2016

Estudio sobre el estado de la profesión de Auditoría Interna 2014 Hoja de ruta para el cambio

Rol de las Oficinas de Proyecto (PMO) en las Organizaciones. Qué es lo que hay dentro de una PMO?

COSO Marco de referencia para un adecuado Sistema de Control Interno

Curso: Mejores Prácticas de Auditoría Interna

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Work & Life Balance. Certification Program

MCTS Exchange Server 2010 Administración. Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2010

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

COSO I Y COSO II. LOGO

"Elaborando Matrices de Riesgo en un Ambiente de Autoevaluación. Control" (Control Self Assesment)

Tecnología de Información y Comunicaciones: usos y potenciales impactos para la administración de justicia

José E. Quintero Forero CISM, CRISC

CIO. Colombia. Nuevo Vice MinisterioTI. Darle impulso a la industria de software, hardware y servicios en el país

Adoptando SOA para Telecom

COMPETITIVIDAD EMPRESARIAL RETORNO SOBRE EL CAPITAL EMPLEADO (ROCE) RETORNO DE LA INVERSIÓN N (ROI) Reliability Management

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

Enfoque moderno de la Auditoría Interna y las Normas

ISO 9000 es un conjunto de normas de calidad establecidas por la ISO que se pueden aplicar en cualquier tipo de organización (empresa de producción o

Riesgos, Compliance y sistemas de control: la visión de los CFOs. Taller Red de Compliance y Buenas Prácticas

Criterios con el que los estados regularán los documentos y archivos electrónicos:

Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad. MICROSOFT (Microsoft España) Diciembre de 2015

Optimiza costos, controla riesgos e impulsa la innovación

Su Estrategia Hacia la Nube

SMB, Professional and Enterprise Edition Versión 2.0

Sistema de Gestión de la Calidad SGC

3er Congreso Nacional de Auditoría Interna CONAI. Mayo 29, Las Tres Líneas de Defensa: Quién tiene que hacer qué?

PBS 8 Gestión de Riesgos y Controles Internos

ALINEAMIENTO Y CONTROL ESTRATEGICO: DESPLIEGUE Y TRADUCCIÓN DE LA ESTRATEGIA

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

La cultura del Control. Jorge Iván Hincapié Gómez Control Interno Indeportes Antioquia Mayo 22 de 2014

Norma Técnica de Administración por Procesos y Prestación de Servicios. Registro Oficial Nro. 739

Un Sistema de Gestión Integrado para PYME Cómo y para qué?

TALLER VALIDACIÓN DE LINEAMIENTOS PARA LA SUSTENTABILIDAD HIDRICA EN LA CUENCA DE PETORCA

Soluciones BYOD para el aula. 24.Febrero.2016

Cube. Control de Accesos y Detección de Intrusos

Identity & Access Management

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

El fraude y los factores que lo rodean. Liberto Ferrer

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

PASOS PARA OPTIMIZAR SU CENTRAL DE MONITOREO

CASOS DE ÉXITO NORDEA AHORRA 3.5 MILLONES DE EUROS GRACIAS A UNA MEJORADA GESTIÓN DEL PORTFOLIO DE APLICACIONES

SISTESEG Seguridad y Continuidad para su Negocio

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

Cómo desarrollar una Arquitectura de Red segura?

ENTERPRISE RISK SERVICES

FACILITY MANAGEMENT & SERVICES 5 MITOS SOBRE EL OUTSOURCING DE

2.1 DEFINICIÓN Y OBJETIVOS DE LA GESTIÓN DEL APROVISIONAMIENTO

Contibución del Sector Privado de Tecnologías de la Información al Desarrollo de la Información y el Gobierno Electrónico.

PROCEDIMIENTO ACCIONES PREVENTIVAS, CORRECTIVAS Y DE MEJORA

Alineación entre el CMO-CIO

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE ADMINISTRACIÓN DE PROYECTOS DE T.I.

DESARROLLO DEL MODELO DE EXCELENCIA GRACIAS EMPRESARIAL CASO: SISMOPETROL S.A.

Interventoría en proyectos de tecnologías de la información y la comunicación (TIC)

CATALOGOS DE CURSOS DE CALIDAD

MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA

1.2.2 BUSINESS PROCESS MANAGEMENT (BPM).

ESCUELA SUPERIOR DE TECNOLOGÍA

Elaboró: Francisco Restrepo Escobar

RESULTADOS EVALUACIÓN JUNTA DIRECTIVA JUNIO 2015

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

Social Business para la Transformación digital en APC

Antes de imprimir este documento piense en el medio ambiente!

MANUAL DE POLÍTICA CONTROL DE LICENCIAS DE SOFTWARE

PROJECT MANAGEMENT OFFICE

JULIO ALBERTO PARRA ACOTA SUBDIRECTOR DEL SISTEMA DISTRITAL DE ARCHIVOS DIRECCION ARCHIVO DE BOGOTÁ QUITO ECUADOR NOVIEMBRE DE 2012

El Modelo de Integración basado en Servicios

Cómo impacta BPM en la Transformación Digital de su Organización

DESCRIPCIÓN Y BENEFICIOS DE. 01. Administración y control de la producción primaria: - Preparación del Campo - Riego - Fumigación - Siembra - Cosecha

Engage Business Solution 5. Por qué debe implementarse un CRM con tecnología BPM?

Administración de Recursos Informáticos Unidad II: Unidad de Tecnologías de Información y Comunicaciones La Generación de Proyectos

INTELIGENCIA ORGANIZACIONAL: UN RECURSO DE EFICIENCIA. Carlos Guillén Gestoso

Administering System Center Configuration Manager

Riesgo tecnológico y su impacto para las organizaciones parte I

METODOLOGÍA PARA REALIZAR LA PLANEACIÓN ESTRATÉGICA DE SITI EN LA UNIVERSIDAD

TM FORUM Y SU INICIATIVA FRAMEWORX. ALTERNATIVA PARA LA INTEGRACIÓN, DESARROLLO Y GESTIÓN DE LAS EMPRESAS DE TELECOMUNICACIONES.

KAPLAN Y NORTON. Incrementando los resultados mediante el alineamiento estratégico en toda la organización

El proceso de adopción de Cloud: los 12 pasos clave para las empresas

Gestión eficiente y ágil de las políticas y reglas de negocio Alex Martínez

Curso Administering Windows Server 2012 (20411)

Exchange Online. SharePoint Online. Skype for Business. One Drive

Perfiles y funciones de los Profesionales evaluadores

do the post Presentamos

El mejor aliado para su software y su negocio Technology, People, Growth

Normas Internacionales de Auditoría (NIA) NIA 200 A 299 Principios Generales y Responsabilidades

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

Desafíos de Capital Humano en la Industria Minera. Alejandro Mena Presidente Comisión de Capital Humano

GESTIÓN INTEGRADA DE LA CIUDAD: PLATAFORMA SANTANDER SMART CITY

ETAPAS Y ACTIVIDADES MÍNIMAS A REALIZAR POR EL CONSULTOR

CARRERA DE INGENIERÍA CIVIL EN INFORMÁTICA COMPETENCIAS ESPECÍFICAS Y SUS NIVELES DE DOMINIO

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

instituciones gubernamentales o nacionales La Antigua, Guatemala Marzo 2015

Comercio electrónico entre empresas. Extranet B2B. Quieres saber cómo hacer crecer tu negocio sin incrementar tu equipo de ventas?

Soluciones de administración de clientes e impresión móvil

Transcripción:

Dirección del Ciclo de vida de identidades y accesos Rafael Pereda Industry Forum 2009 2009 IBM Corporation

Agenda Entorno: Encuesta Global de Seguridad Administración de Identidades El problema de identidades: Hechos Motivadores de negocio La importancia de los roles Ciclo de vida de los roles e identidades Beneficios

Encuesta Global de Seguridad - 2007

Encuesta Global de Seguridad - 2008 1. Cumplimiento de regulaciones de seguridad. 2. Administración de identidades y accesos. 3. Protección de datos y fuga de información 4. Mejora de la infraestructura de seguridad 5. Gobierno para la seguridad El robo de identidad, la pérdida de datos y la fuga de información confidencial son ahora varias de las principales preocupaciones, lo que ha provocado que Protección de datos y fuga de información figure en las primeras 5 iniciativas de seguridad en 2008, cuando esta iniciativa no estuvo presente entre las 5 principales del 2007. Los temas de Cumplimiento de regulaciones de seguridad y Administración de identidades y accesos intercambiaron sus posiciones con respecto al año anterior. Mejora de la infraestructura de seguridad regresó a los 5 principales en 2008. Su aparición anterior fue en 2006.

El problema de Identidades: Hechos Un usuario en promedio pasa 16 minutos al día en tareas de autenticación - IDS Usuarios de TI manejan en promedio 21 passwords - NTA Monitor Password Survey 49% escriben los passwords y 67% rara vez los cambian Cada 79 segundos una identidad es robada - National Small Business Travel Assoc Mundialmente más de $12B en pérdidas por fraude - Comm Fraud Control Assoc El mercado de Identity Management creció a más de $6.5B en 2008 La evidencia no suficiente para requerimientos de Cumplimiento (SOX) El problema se reduce a reforzar los controles internos sin sobrecargar los procesos de negocios

Qué es administración de identidades? No se trata de dejar a los malos fuera Sino dejar que entren los buenos (y que no hagan cosas malas) Es habilitar al negocio

Motivadores de Negocio Chief Information Security Officer Unidades de Negocio Cumplimiento Regulatorio Sarbanes-Oxley PCI Data Security FSA FFIC UK Data protection act 21 CFR Part 11 Facilitadores de Negocio Registro automático de Clientes Portales personalizados Facilita la interacción segura entre el negocio, socios y clientes Solución de Administración de Identidades CFO / HR Control de Costos Reduce staff Adminsitración de Seguridad Help desk Arquitectura común de IDM reutilizable Help Desk & Seguridad Administración del Riesgo Administración de Auditoria Terminaciones Políticas basada en cumplimiento Autenticación fuerte Pistas de auditoría Pirateria o robo de identidades CIO Eficiencia Operativa Ahorros en Productividad Administración de Seguridad Usuarios

Principales hallazgos de auditoría 10% 20% 30% 40% 2007 2008

Retos en la administración de identidades Cuentas fantasmas En los sistemas y redes persisten usuarios que corresponden a empleados que dejaron la empresa hace meses Requerimientos del auditor Desde Auditoría me piden información sobre quien creó los usuarios, cuando se modificaron los accesos, y que se cambió. También me piden para cada sistema saber cuando fueron dados de baja cada uno de los accesos definidos. Productividad de los empleados Usualmente, para que un usuario esté habilitado en los sistemas tardamos entre 3 y 5 días.. Help Desk sobrecargado el 48% de las tareas de helpdesk corresponden al reseteo de contraseñas y desbloqueo de usuarios. Acumulación de privilegios Hay empleados que cambiaron de sector, acumulando permisos de acceso, sin dar de baja los que ya no necesitan. Como lo identifico? Como lo soluciono? Costos El costo y los recursos dedicados a la administración de usuarios son crecientes, a la vez que muchas veces estoy pagando costos de licencias por usuarios que ya no trabajan más en la empresa 9 Administración de Identidades.

Retos del control de accesos La seguridad nativa no es suficiente Usuarios privilegiados sin control Inadecuada restricción de accesos Los súper usuarios pueden acceder a todos los archivos y bases, controlar los procesos y borrar los logs de auditoría Permisos de acceso basados en la función y el rol Este usuario tiene permisos de acceso que realmente no se si los necesita por su función. Se los otorgó un administrador que ya no está Problemas de administración en ambientes multiplataforma Cada plataforma / sistema tiene un modelo de seguridad diferente Aumento de las tareas operativas de seguridad al tener diferentes formas de administrarlas Accesos con nivel de apertura adecuado hay usuarios que necesitan privilegios de root para poder utilizar los sistemas, lo cual implica darles mayores privilegios que los que necesitan Restricciones a los administradores los administradores pueden ver información confidencial, incluso pueden apagar los logs y las herramientas de seguridad! Cuentas Operativas Compartidas Existen usuarios que se logean con cuentas compartidas, lo cual me impide saber que hace quien, debilitando las capacidades de auditoría.

Visión Valor de Negocio El incremento del valor es alcanzado cuando de adoptan cada una de estas soluciones de identidad. El máximo valor es alcanzado cuando se han implementado todos los aspectos del mapa de identidad Repositorio de Identidades Consolidar identidades de un usuario en un repositorio centralizado. Fuente Autoritativa Llenar el repositorio de identidad con RH, CRM u otras fuentes de identidad. Roles de Identidad Definir roles y políticas de usuarios. Aprovisionami ento de cuentas de usuario Usa la identidad para aprovisionar aplicaciones y servicios. Administración de Acceso Portales Web Single sign-on habilitado por un portal que provee acceso a aplicaciones, contenidos y servicios web basado en identidad Autenticación fuerte. La incorporación de encripción, PKI, biométricos y smart cards provee niveles más fuertes de autenticación. Identidad Federada Permite la interoperabilidad de identidades a través de compañías y redes Administración de acceso que provee autenticación y autorización de usuarios.

Foco en la implementación Alineación Organizacional Confirmar y documentar los requerimientos Entender y adaptar los estándares (políticas y procedimientos). Alineación de Procesos Enfocarse en el cumplimiento de los requerimientos de los procesos Determinar reducciones en procesos manuales y automatizados Definición de Identidades Definir grupos de Identidad, fuentes y características creando Identidades basadas en la estructura de los datos y requerimientos de negocio Integración Tecnológica Apoyar en la selección de soluciones tecnológicas Implementar la solución en fases (Primero la de mayor valor) Puesta en Marcha Mantenimiento Implementar la solución en fases Transferir el control a las Unidades de negocio o funciones responsables Adherirse a las políticas y procedimientos del negocio después de la implementación Realizar análisis periódicamente para validar la adhesión a políticas 12

Factores críticos de éxito Una solución de IDM no es puramente un proyecto tecnológico; y se debe contemplar los siguientes factores para un IDM exitoso: Una visión completa de seguridad - Incluir soluciones de seguridad - Asegurar que la administración de procesos esté incluida en la solución Se necesita gente, métodos y enfoque para implementar soluciones - Equipos dedicados - Metodología (saber que hacer) - Herramientas y habilitadores (habilita implementaciones eficientes) Una implementación exitosa significa más que una tecnología funcional - Alineamiento organizacional - Integración de procesos y gente - Integración de datos - Integración técnica - Enfoque de despliegue y mantenimiento

Beneficios Efectividad Financiera Reducir costos de administración de accesos, identidades, aprovisionamiento y desaprovisionamiento Retornos de Inversión más rápidos y efectivos en los procesos de administración de identidades en aplicaciones existentes Tomar en cuenta las inversiones de software existentes Ventaja Competitiva. Incrementar la productividad del empleado Mejorar los servicios de la organización Alinear la tecnología con el negocio al tener una administración que permita definir roles de usuarios basados en los objetivos del negocio Administración de Riesgos. Reducir/eliminar el acceso a usuarios no autorizados Establecer la seguridad basada en identidades empresariales Mejorar la administración de segregación de funciones y el soporte efectivo en la administración de accesos

Conclusiones Es una iniciativa de negocio. La tecnología es importante, pero la definición de los roles es crítica El alineamiento con las áreas de control puede asegurar el éxito del proyecto. Auditoría, Control Interno, Riesgos, son áreas clave para poder establecer alianzas internas que permitan el patrocinio del proyecto El ROI es un elemento importante, pero no único Cuál es el valor de lo que quiero proteger? Cuánto me cuesta hacerlo? La adopción de una estrategia para la administración del riesgo es un factor clave

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback