Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP

Documentos relacionados
Privacidad y Protección de la Información, Mito o Realidad

Identity Management: Conceptos e implementaciones v3

Venciendo a la Pesadilla de la Gestión de Usuarios

PLATAFORMA AUTOMATIZADA PARA EL CONTROL DE SEGURIDAD. Network Access Control Mobile Security Endpoint Compliance Threat Prevention!!

Sistema Automático de Recepción

Garantía de cumplimiento de los sistemas de información con la normativa actual

Presentada por: Óscar Caballero, CISSP Director, Sales Engineering Latin America NetIQ

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

SOLUCIÓN IMPLEMENTADA:

PROCESO DE CUENTAS A PAGAR

MANUAL DE CALIDAD ISO 9001:2008

Proceso: AI2 Adquirir y mantener software aplicativo

PRODUCTIVIDAD EN TUS MANOS

POLITICA DE SISTEMA DE CONTROL INTERNO

Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD

Hoja Informativa ISO 9001 Comprendiendo los cambios

Firma: Fecha: Marzo de 2008

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

Presentación de la Aplicación de Gestión de Incidencias. 22 de Marzo de 2006 Versión 1.3

MINING SOLUTIONS LIMITADA

Security Health Check

Basado en la ISO 27001:2013. Seguridad de la Información

Retos Actuales de la Administración de Accesos e Identidades RSA AVEKSA. Sinue Botello sinue.botellogarcia@rsa.com Aveksa Systems Engineer RSA LATAM

Implementando un ERP La Gestión del Cambio

GUÍA GESTIÓN DE RIESGOS DE FRAUDE GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Implementación Portal aprovisionamiento PROAPP (Integra ProAPP)

Simplificación de la seguridad para sucursales

8. MEDICIÓN, ANÁLISIS Y MEJORA

La Seguridad de la Información en la Gestión del Negocio Financiero

Identity & Access Management

Julio César Ardita 17 de Diciembre de 2013 Asunción - Paraguay

Presentada por: Ricardo José Gadea Gerente General Assertiva S.A.

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

TEDESCO NEXT EL EXITO DE SU GESTION SE REFLEJA EN EL CRECIMIENTO DE SU EMPRESA

Cómo organizar el Departamento de Seguridad

Resumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

Guía práctica para implementar un Sistema de Gestión en su empresa

Mesa de Ayuda Interna

Riesgo: Se puede llegar al destino sin información veraz y oportuna?

Guía General Central Directo Seguridad

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

CÓMO ADMINISTRAR LOS DINEROS DE UNA ORGANIZACIÓN COMUNITARIA?

Comunicación interna: Intranets

Control de Cambio Operacional. Saber. Knowledge Base Service Assurance de NetIQ

Ciberdefensa Desafíos tecnológicos. Hugo Carrión G. Junio, 2014

Gestione identidades y el acceso para una continua conformidad y una reducción de riesgos

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

LV54-MIA - MONITOREO DEL PROGRAMA DE ANALISIS Y VIGILANCIA CONTINUA - PAVC

Política de Control de Hojas de Cálculo. Prorrectoría

Procedimiento de Gestión de Incidentes de Seguridad de la Información

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

IBM Tivoli Asset Management for IT. IBM Tivoli Service Request Manager

Anexo I. Politicas Generales de Seguridad del proyecto CAT

POLÍTICAS DE TRATAMIENTO, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DEL GRUPO TERRANUM

E-learning: E-learning:

67% tendrán un smartphone en el 2016 NOSOTROS NECESITA SOLUCIONES A PROBLEMAS COMPLEJOS?

ERPUP (Pequeñas y Medianas Empresas)

PRU. Fundamento Institucional. Objetivos. Alcance

CAUSA& EFECTO: Los Servicios cloud contratados sin la supervisión de TI pueden traer problemas

PROGRAMA DE GESTIÓN DOCUMENTAL

Necesita un sistema para entregar servicios de TI consistentes, eficaces y confiables? Utilice un sistema de gestión en conformidad con ISO/IEC 20000

ESTÁNDAR DE GESTIÓN DE ACCESO DE USUARIOS ESTADO COPIA CONTROLADA 01 VERSION

Gestión de Oportunidades

8 pasos para garantizar el éxito en tu implementación de CRM

Marco Normativo de IT

Inter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre:

Publicidad a terceros PANTALLAS

Windows Server 2012: Infraestructura de Escritorio Virtual

Norma de uso Identificación y autentificación Ministerio del Interior N02

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

Esri Partner Network. Preguntas Fecuentes Julio de Programa para Partners que desarrollan soluciones y servicios GIS sobre la plataforma Esri

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

- 1 - Pauta de Administración del Sitio

Evaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros. Universidad Técnica Federico Santa María

Guía de Apoyo Project Web Access. (Jefe de Proyectos)

Introducción a la Firma Electrónica en MIDAS

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Tecnologías para Centros de Contacto

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

PROGRAMA DE GESTIÓN DE USUARIOS, PROYECTOS Y SOLICITUDES DEL SERVICIO GENERAL DE APOYO A LA INVESTIGACIÓN SAI

CENTRO DE CONTACTO CON EL CLIENTE MÓDULO DE GESTIÓN DE ACTIVIDADES E INTERACCIONES

La Nueva Visión de Microsoft - IO. Omar Crespo Gerente de Soluciones Microsoft Perú

Norma ISO 9001: Sistema de Gestión de la Calidad

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema

SCGDoc. SisConGes & Estrategia

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA


Índice. Quiénes Somos? Nuestra Razón de Ser. Nuestros Valores. Nuestra visión. Catálogo de Servicios. Por qué elegirnos

Dónde pueden encontrar más información sobre el tema de seguridad de claves?

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE

GESTIÓN DE IDENTIDAD CORPORATIVA DE LA CC.AA. DE MURCIA

Transcripción:

Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP Gerente de Desarrollo de Negocios ocaballero@novell.com

Le resultan familiares estas notas? 2 Riesgo, Costo y Exposición Significativa

Leyes y normativas en todo el mundo hacen eco de esta realidad PCI-DSS FISMA Gramm-Leach-Bliley Basel II Sarbanes-Oxley Capítulo X CNBV HIPAA HSPD-12 3 Ley Federal de Protección de Datos Personales

Regulaciones = mayor presión Están las regulaciones presionando a su empresa para una orientación a seguridad más estructurada? Encuesta de Seguridad de Información de 2,540 profesionales de seguridad y tecnología de negocios en USA 4

El costo de esta presión Lo que las compañías gastaron en seguridad y cumplimiento durante el 2010 U$15.5 Billones Compañías de $1B - $4B 5

El costo de esta presión Media de tiempo requerido por personal interno para cumplir con la Sección 404 de SOX: Reportes ejecutivos en controles internos 46,500 Horas Compañías de $1B - $4B 6

El costo de esta presión Costos externos estimados necesarios para cumplir con SOX la Sección 404 de (sin incluir cuotas de auditoría por confirmación del cumplimiento) $3 Millones Compañías de $1B - $4B 7

El costo de esta presión Empleados presentes y pasados siguen suponiendo el mayor riesgo. 7,100 ejecutivos de seguridad de TI entrevistados Quién nos atacó? 2009 2010 Empleados 48% 34% Ex-empleados 21% 16% Hackers 29% 28% 8

Pero aún así, el negocio continúa operando... Usuarios Finales Clientes Staff TI Proveedores Socios Auditores Ex-empleados Mis usuarios tienen demasiadas contraseñas a recordar Clientes y proveedores necesitan acceso seguro a nuestros sistemas Mis usuarios necesitan acceso inmediato a recursos para poder ser productivos Ex-empleados pueden tener aún acceso a sistemas y recursos de la organización Necesito saber a qué sistemas tiene acceso cada usuario Necesitamos tomar acción inmediata cuando amenazas potenciales de seguridad aparecen Información de usuarios debe mantenerse actualizada a través de todos los sistemas Necesitamos reducir el costo y los esfuerzos empleados para cumplir requerimientos regulatorios 9 RH E-mail Portales Seguridad física ERPs Colaboración Apliaciones externas

Cómo pasa todo esto? Seguridad Amenazas de seguridad provenientes de fuentes internas y externas Procesos manuales y sujetos a error, que conllevan vulnerabilidades Usuarios tienen acceso en exceso Complejidad La gestión manual de privilegios de acceso y las tareas para demostrar el cumplimiento son costosas y no sustentables Las organizaciones carecen en muchos casos de la infraestructura para monitorear quien está accediendo qué Cuando ocurre actividad anómala, pasa desapercibida o es descubierta meses posteriores al hecho Cumplimiento Las organizaciones tienen que cumplir con una larga y creciente lista de regulaciones Cuando el cumplimiento es subestimado, agrega capas de complejidad en la operación y administración de rutina Las organizaciones piensan que están en cumplimiento hasta que auditorías demuestran lo contrario Remedios temporales hacen costoso el proceso de documentar y probar el cumplimiento 10

La solución tal vez 11

...pero, automatización y validación en tiempo real, es la respuesta! Usuarios Finales Clientes Staff TI Proveedores Socios Auditores Ex-empleados 12 RH E-mail Portales Seguridad física ERPs Colaboración Apliaciones externas

Tecnología y negocio trabajando juntos y en armonía Negocio Manejo de roles Mantenimiento y descubrimiento de roles Certificaciones de accesos Habilita la pertenencia de los accesos asignados a usuarios Administración de Manejo de Identidades Personas Colaboración y responsabilidad en el negocio Proceso Visibilidad, revisión, certificación y corrección Políticas Automatización Manejo de riesgos Evidencia para regulaciones Vistas integradas de usuarios, roles y accesos Auditoría interna y Compliance Análisis de riesgo Análisis de la seguridad y control del riesgo Políticas y controles automáticos Refuerza el cumplimiento de las políticas de acceso Recursos de la organización 13

para una solución integral de administración de cumplimiento Negocio Administración de Manejo de Identidades Auditoría interna y Compliance Políticas y procesos de negocio Manejo de Identidades Roles, reglas y flujos de trabajo Administración del ciclo de vida de identidades y sus integraciones Autenticación y autorización SSO Automatización Integración Validación Administración de eventos de seguridad Auditoría y reporteo Monitoreo Correlación de eventos Validación y corrección Bases de datos Aplicaciones hechas en casa Sistemas de autorización Sistemas Legados Servicios de red ERPs Directorios 14

Caso de Uso #1 Mejora la experiencia y eficiencia del usuario Maximiza la eficiencia del usuario automatizando solicitudes de acceso basado en el contexto y acciones del usuario Aprobador Usuario La solicitud es aprobada El usuario es aprovisionado al recurso El usuario es notificado, y accede satisfactoriamente al recurso Usuario trata de acceder a un recurso Como el usuario no ha sido aprovisionado, el acceso es denegado 15 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes Bases de Datos

Caso de Uso #1 Mejora la experiencia y eficiencia del usuario Maximiza la eficiencia del usuario automatizando solicitudes de acceso basado en el contexto y acciones del usuario Aprobador Usuario La solicitud es aprobada El usuario es aprovisionado al recurso El usuario es notificado, y accede satisfactoriamente al recurso Procesos de validación automática comprueban contra las políticas corporativas si el usuario pudiera tener acceso al recurso solicitado, y en su caso, automatizan la creación de un flujo de aprobación 16 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes Bases de Datos

Caso de Uso #2 Cambios administrativos no autorizados Cómo evitar que sus administradores continúen haciendo cambios en sus sistemas que puedan violar políticas corporativas definidas? Josh Usuario de Finanzas Brad Administrador TI Josh está aprovisionado apropiadamente a una aplicación de Finanzas El acceso inapropiado otorgado a Josh es automáticamente eliminado Brad, de manera inapropiada, otorga acceso adicional a la aplicación de Finanzas a través del Directorio Corporativo 17 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes App. de Finanzas

Caso de Uso #2 Cambios administrativos no autorizados Cómo evitar que sus administradores continúen haciendo cambios en sus sistemas que puedan violar políticas corporativas definidas? Josh Usuario de Finanzas Brad Administrador TI Josh está aprovisionado apropiadamente a una aplicación de Finanzas El acceso inapropiado otorgado a Josh es automáticamente eliminado Monitoreo de eventos de, indican quién otorgó el acseguridad enriquecidos con la identidadceso inapropiado y alertan a los administradores de seguridad 18 Directorio Corporativo App. Servers Dispositivos de Seguridad Mainframes App. de Finanzas

Beneficios y ahorros comprobados Promedio de ahorros anuales al implementar soluciones Administración del Cumplimiento (por 100 usuarios) Ahorro en gastos operativos: US$13,646 Ahorro en gastos de capital humano US$7,951 Productividad de Usuarios: US$27,677 Productividad IT: US$10,936 19 Total = US$60,210 por 100 Usuarios Fuente: IDC

Voces de la Industria Las Organizaciones de hoy en día deberían sin lugar a dudas considerar el uso de productos de Identity and Security Management como componentes clave en cualquier estrategia de seguridad y cumplimiento. Fuente: Sally Hudson, IDC 20

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback