Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP Gerente de Desarrollo de Negocios ocaballero@novell.com
Le resultan familiares estas notas? 2 Riesgo, Costo y Exposición Significativa
Leyes y normativas en todo el mundo hacen eco de esta realidad PCI-DSS FISMA Gramm-Leach-Bliley Basel II Sarbanes-Oxley Capítulo X CNBV HIPAA HSPD-12 3 Ley Federal de Protección de Datos Personales
Regulaciones = mayor presión Están las regulaciones presionando a su empresa para una orientación a seguridad más estructurada? Encuesta de Seguridad de Información de 2,540 profesionales de seguridad y tecnología de negocios en USA 4
El costo de esta presión Lo que las compañías gastaron en seguridad y cumplimiento durante el 2010 U$15.5 Billones Compañías de $1B - $4B 5
El costo de esta presión Media de tiempo requerido por personal interno para cumplir con la Sección 404 de SOX: Reportes ejecutivos en controles internos 46,500 Horas Compañías de $1B - $4B 6
El costo de esta presión Costos externos estimados necesarios para cumplir con SOX la Sección 404 de (sin incluir cuotas de auditoría por confirmación del cumplimiento) $3 Millones Compañías de $1B - $4B 7
El costo de esta presión Empleados presentes y pasados siguen suponiendo el mayor riesgo. 7,100 ejecutivos de seguridad de TI entrevistados Quién nos atacó? 2009 2010 Empleados 48% 34% Ex-empleados 21% 16% Hackers 29% 28% 8
Pero aún así, el negocio continúa operando... Usuarios Finales Clientes Staff TI Proveedores Socios Auditores Ex-empleados Mis usuarios tienen demasiadas contraseñas a recordar Clientes y proveedores necesitan acceso seguro a nuestros sistemas Mis usuarios necesitan acceso inmediato a recursos para poder ser productivos Ex-empleados pueden tener aún acceso a sistemas y recursos de la organización Necesito saber a qué sistemas tiene acceso cada usuario Necesitamos tomar acción inmediata cuando amenazas potenciales de seguridad aparecen Información de usuarios debe mantenerse actualizada a través de todos los sistemas Necesitamos reducir el costo y los esfuerzos empleados para cumplir requerimientos regulatorios 9 RH E-mail Portales Seguridad física ERPs Colaboración Apliaciones externas
Cómo pasa todo esto? Seguridad Amenazas de seguridad provenientes de fuentes internas y externas Procesos manuales y sujetos a error, que conllevan vulnerabilidades Usuarios tienen acceso en exceso Complejidad La gestión manual de privilegios de acceso y las tareas para demostrar el cumplimiento son costosas y no sustentables Las organizaciones carecen en muchos casos de la infraestructura para monitorear quien está accediendo qué Cuando ocurre actividad anómala, pasa desapercibida o es descubierta meses posteriores al hecho Cumplimiento Las organizaciones tienen que cumplir con una larga y creciente lista de regulaciones Cuando el cumplimiento es subestimado, agrega capas de complejidad en la operación y administración de rutina Las organizaciones piensan que están en cumplimiento hasta que auditorías demuestran lo contrario Remedios temporales hacen costoso el proceso de documentar y probar el cumplimiento 10
La solución tal vez 11
...pero, automatización y validación en tiempo real, es la respuesta! Usuarios Finales Clientes Staff TI Proveedores Socios Auditores Ex-empleados 12 RH E-mail Portales Seguridad física ERPs Colaboración Apliaciones externas
Tecnología y negocio trabajando juntos y en armonía Negocio Manejo de roles Mantenimiento y descubrimiento de roles Certificaciones de accesos Habilita la pertenencia de los accesos asignados a usuarios Administración de Manejo de Identidades Personas Colaboración y responsabilidad en el negocio Proceso Visibilidad, revisión, certificación y corrección Políticas Automatización Manejo de riesgos Evidencia para regulaciones Vistas integradas de usuarios, roles y accesos Auditoría interna y Compliance Análisis de riesgo Análisis de la seguridad y control del riesgo Políticas y controles automáticos Refuerza el cumplimiento de las políticas de acceso Recursos de la organización 13
para una solución integral de administración de cumplimiento Negocio Administración de Manejo de Identidades Auditoría interna y Compliance Políticas y procesos de negocio Manejo de Identidades Roles, reglas y flujos de trabajo Administración del ciclo de vida de identidades y sus integraciones Autenticación y autorización SSO Automatización Integración Validación Administración de eventos de seguridad Auditoría y reporteo Monitoreo Correlación de eventos Validación y corrección Bases de datos Aplicaciones hechas en casa Sistemas de autorización Sistemas Legados Servicios de red ERPs Directorios 14
Caso de Uso #1 Mejora la experiencia y eficiencia del usuario Maximiza la eficiencia del usuario automatizando solicitudes de acceso basado en el contexto y acciones del usuario Aprobador Usuario La solicitud es aprobada El usuario es aprovisionado al recurso El usuario es notificado, y accede satisfactoriamente al recurso Usuario trata de acceder a un recurso Como el usuario no ha sido aprovisionado, el acceso es denegado 15 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes Bases de Datos
Caso de Uso #1 Mejora la experiencia y eficiencia del usuario Maximiza la eficiencia del usuario automatizando solicitudes de acceso basado en el contexto y acciones del usuario Aprobador Usuario La solicitud es aprobada El usuario es aprovisionado al recurso El usuario es notificado, y accede satisfactoriamente al recurso Procesos de validación automática comprueban contra las políticas corporativas si el usuario pudiera tener acceso al recurso solicitado, y en su caso, automatizan la creación de un flujo de aprobación 16 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes Bases de Datos
Caso de Uso #2 Cambios administrativos no autorizados Cómo evitar que sus administradores continúen haciendo cambios en sus sistemas que puedan violar políticas corporativas definidas? Josh Usuario de Finanzas Brad Administrador TI Josh está aprovisionado apropiadamente a una aplicación de Finanzas El acceso inapropiado otorgado a Josh es automáticamente eliminado Brad, de manera inapropiada, otorga acceso adicional a la aplicación de Finanzas a través del Directorio Corporativo 17 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes App. de Finanzas
Caso de Uso #2 Cambios administrativos no autorizados Cómo evitar que sus administradores continúen haciendo cambios en sus sistemas que puedan violar políticas corporativas definidas? Josh Usuario de Finanzas Brad Administrador TI Josh está aprovisionado apropiadamente a una aplicación de Finanzas El acceso inapropiado otorgado a Josh es automáticamente eliminado Monitoreo de eventos de, indican quién otorgó el acseguridad enriquecidos con la identidadceso inapropiado y alertan a los administradores de seguridad 18 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes App. de Finanzas
Beneficios y ahorros comprobados Promedio de ahorros anuales al implementar soluciones Administración del Cumplimiento (por 100 usuarios) Ahorro en gastos operativos: US$13,646 Ahorro en gastos de capital humano US$7,951 Productividad de Usuarios: US$27,677 Productividad IT: US$10,936 19 Total = US$60,210 por 100 Usuarios Fuente: IDC
Voces de la Industria Las Organizaciones de hoy en día deberían sin lugar a dudas considerar el uso de productos de Identity and Security Management como componentes clave en cualquier estrategia de seguridad y cumplimiento. Fuente: Sally Hudson, IDC 20