Dirección del Ciclo de vida de identidades y accesos Rafael Pereda Industry Forum 2009 2009 IBM Corporation
Agenda Entorno: Encuesta Global de Seguridad Administración de Identidades El problema de identidades: Hechos Motivadores de negocio La importancia de los roles Ciclo de vida de los roles e identidades Beneficios
Encuesta Global de Seguridad - 2007
Encuesta Global de Seguridad - 2008 1. Cumplimiento de regulaciones de seguridad. 2. Administración de identidades y accesos. 3. Protección de datos y fuga de información 4. Mejora de la infraestructura de seguridad 5. Gobierno para la seguridad El robo de identidad, la pérdida de datos y la fuga de información confidencial son ahora varias de las principales preocupaciones, lo que ha provocado que Protección de datos y fuga de información figure en las primeras 5 iniciativas de seguridad en 2008, cuando esta iniciativa no estuvo presente entre las 5 principales del 2007. Los temas de Cumplimiento de regulaciones de seguridad y Administración de identidades y accesos intercambiaron sus posiciones con respecto al año anterior. Mejora de la infraestructura de seguridad regresó a los 5 principales en 2008. Su aparición anterior fue en 2006.
El problema de Identidades: Hechos Un usuario en promedio pasa 16 minutos al día en tareas de autenticación - IDS Usuarios de TI manejan en promedio 21 passwords - NTA Monitor Password Survey 49% escriben los passwords y 67% rara vez los cambian Cada 79 segundos una identidad es robada - National Small Business Travel Assoc Mundialmente más de $12B en pérdidas por fraude - Comm Fraud Control Assoc El mercado de Identity Management creció a más de $6.5B en 2008 La evidencia no suficiente para requerimientos de Cumplimiento (SOX) El problema se reduce a reforzar los controles internos sin sobrecargar los procesos de negocios
Qué es administración de identidades? No se trata de dejar a los malos fuera Sino dejar que entren los buenos (y que no hagan cosas malas) Es habilitar al negocio
Motivadores de Negocio Chief Information Security Officer Unidades de Negocio Cumplimiento Regulatorio Sarbanes-Oxley PCI Data Security FSA FFIC UK Data protection act 21 CFR Part 11 Facilitadores de Negocio Registro automático de Clientes Portales personalizados Facilita la interacción segura entre el negocio, socios y clientes Solución de Administración de Identidades CFO / HR Control de Costos Reduce staff Adminsitración de Seguridad Help desk Arquitectura común de IDM reutilizable Help Desk & Seguridad Administración del Riesgo Administración de Auditoria Terminaciones Políticas basada en cumplimiento Autenticación fuerte Pistas de auditoría Pirateria o robo de identidades CIO Eficiencia Operativa Ahorros en Productividad Administración de Seguridad Usuarios
Principales hallazgos de auditoría 10% 20% 30% 40% 2007 2008
Retos en la administración de identidades Cuentas fantasmas En los sistemas y redes persisten usuarios que corresponden a empleados que dejaron la empresa hace meses Requerimientos del auditor Desde Auditoría me piden información sobre quien creó los usuarios, cuando se modificaron los accesos, y que se cambió. También me piden para cada sistema saber cuando fueron dados de baja cada uno de los accesos definidos. Productividad de los empleados Usualmente, para que un usuario esté habilitado en los sistemas tardamos entre 3 y 5 días.. Help Desk sobrecargado el 48% de las tareas de helpdesk corresponden al reseteo de contraseñas y desbloqueo de usuarios. Acumulación de privilegios Hay empleados que cambiaron de sector, acumulando permisos de acceso, sin dar de baja los que ya no necesitan. Como lo identifico? Como lo soluciono? Costos El costo y los recursos dedicados a la administración de usuarios son crecientes, a la vez que muchas veces estoy pagando costos de licencias por usuarios que ya no trabajan más en la empresa 9 Administración de Identidades.
Retos del control de accesos La seguridad nativa no es suficiente Usuarios privilegiados sin control Inadecuada restricción de accesos Los súper usuarios pueden acceder a todos los archivos y bases, controlar los procesos y borrar los logs de auditoría Permisos de acceso basados en la función y el rol Este usuario tiene permisos de acceso que realmente no se si los necesita por su función. Se los otorgó un administrador que ya no está Problemas de administración en ambientes multiplataforma Cada plataforma / sistema tiene un modelo de seguridad diferente Aumento de las tareas operativas de seguridad al tener diferentes formas de administrarlas Accesos con nivel de apertura adecuado hay usuarios que necesitan privilegios de root para poder utilizar los sistemas, lo cual implica darles mayores privilegios que los que necesitan Restricciones a los administradores los administradores pueden ver información confidencial, incluso pueden apagar los logs y las herramientas de seguridad! Cuentas Operativas Compartidas Existen usuarios que se logean con cuentas compartidas, lo cual me impide saber que hace quien, debilitando las capacidades de auditoría.
Visión Valor de Negocio El incremento del valor es alcanzado cuando de adoptan cada una de estas soluciones de identidad. El máximo valor es alcanzado cuando se han implementado todos los aspectos del mapa de identidad Repositorio de Identidades Consolidar identidades de un usuario en un repositorio centralizado. Fuente Autoritativa Llenar el repositorio de identidad con RH, CRM u otras fuentes de identidad. Roles de Identidad Definir roles y políticas de usuarios. Aprovisionami ento de cuentas de usuario Usa la identidad para aprovisionar aplicaciones y servicios. Administración de Acceso Portales Web Single sign-on habilitado por un portal que provee acceso a aplicaciones, contenidos y servicios web basado en identidad Autenticación fuerte. La incorporación de encripción, PKI, biométricos y smart cards provee niveles más fuertes de autenticación. Identidad Federada Permite la interoperabilidad de identidades a través de compañías y redes Administración de acceso que provee autenticación y autorización de usuarios.
Foco en la implementación Alineación Organizacional Confirmar y documentar los requerimientos Entender y adaptar los estándares (políticas y procedimientos). Alineación de Procesos Enfocarse en el cumplimiento de los requerimientos de los procesos Determinar reducciones en procesos manuales y automatizados Definición de Identidades Definir grupos de Identidad, fuentes y características creando Identidades basadas en la estructura de los datos y requerimientos de negocio Integración Tecnológica Apoyar en la selección de soluciones tecnológicas Implementar la solución en fases (Primero la de mayor valor) Puesta en Marcha Mantenimiento Implementar la solución en fases Transferir el control a las Unidades de negocio o funciones responsables Adherirse a las políticas y procedimientos del negocio después de la implementación Realizar análisis periódicamente para validar la adhesión a políticas 12
Factores críticos de éxito Una solución de IDM no es puramente un proyecto tecnológico; y se debe contemplar los siguientes factores para un IDM exitoso: Una visión completa de seguridad - Incluir soluciones de seguridad - Asegurar que la administración de procesos esté incluida en la solución Se necesita gente, métodos y enfoque para implementar soluciones - Equipos dedicados - Metodología (saber que hacer) - Herramientas y habilitadores (habilita implementaciones eficientes) Una implementación exitosa significa más que una tecnología funcional - Alineamiento organizacional - Integración de procesos y gente - Integración de datos - Integración técnica - Enfoque de despliegue y mantenimiento
Beneficios Efectividad Financiera Reducir costos de administración de accesos, identidades, aprovisionamiento y desaprovisionamiento Retornos de Inversión más rápidos y efectivos en los procesos de administración de identidades en aplicaciones existentes Tomar en cuenta las inversiones de software existentes Ventaja Competitiva. Incrementar la productividad del empleado Mejorar los servicios de la organización Alinear la tecnología con el negocio al tener una administración que permita definir roles de usuarios basados en los objetivos del negocio Administración de Riesgos. Reducir/eliminar el acceso a usuarios no autorizados Establecer la seguridad basada en identidades empresariales Mejorar la administración de segregación de funciones y el soporte efectivo en la administración de accesos
Conclusiones Es una iniciativa de negocio. La tecnología es importante, pero la definición de los roles es crítica El alineamiento con las áreas de control puede asegurar el éxito del proyecto. Auditoría, Control Interno, Riesgos, son áreas clave para poder establecer alianzas internas que permitan el patrocinio del proyecto El ROI es un elemento importante, pero no único Cuál es el valor de lo que quiero proteger? Cuánto me cuesta hacerlo? La adopción de una estrategia para la administración del riesgo es un factor clave