Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso José E. Quintero Forero CISM, CRISC Consultor San Juan de Puerto Rico, Octubre 6 de 2011
Agenda Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 2
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 3
Entorno actual de negocios Fortalecimiento del Gobierno Corporativo Tecnología de la Información Seguridad de la Información Riesgo Conciencia en la gestión de riesgos: Tecnología de la Información Seguridad de la Información Operativo Lavado de activos Financiación del terrorismo Cumplimiento regulatorio más exigente. 4
Estrategia del negocio Manejo integral de la relación con el cliente. Integración al proceso de globalización. Enfoque a cliente y no a producto. Procesos centrados en la calidad. Mayor utilidad a menores costos. Gestión de riesgos. 5
Tecnologías aplicadas Día a día se desarrollan múltiples recursos de TI para soportar negocios. Smart Phones Servicios en la nube Redes sociales Tablets Wireless Digitalización Virtualización Hosting Tercerización 6
Gobierno de Seguridad de la información* Alineación estratégica con la estrategia t de negocio. Entrega de valor optimizando las inversiones en seguridad. Gestión de recursos utilizando la infraestructura con eficiencia y efectividad. Gestión de riesgos para proteger los recursos de información. Medición del desempeño monitoreando y garantizando el logro de los objetivos. Integración de todos los factores de aseguramiento para asegurar la correcta operación. *ISACA Gobierno de Seguridad de la Información 7
Gestión de riesgos Existe mayor conciencia de gestión de riesgos en la organización. Beneficios Riesgos Políticas de Seguridad de la Información 8
Multi usuario/multi plataforma usuario/multi Múltiples Usuarios Usuario 1 Usuario 2 Usuario 3 Usuario 4 Usuario 5 Usuario 6 RRHH CRM Crédito Consumo Credito Hipotecario Financiera Cobranza Múltiples Aplicaciones 9
Multi ID / Multi contraseña Múltiples ID Usuario RRHH CRM Crédito Consumo Credito Hipotecario Financiera Cobranza Múltiples ID con su contraseña respectiva 1 0
Multi contraseña / Multi políticas Políticas de contraseña* Longitud mímina y máxima Vigencia Complejidad d Histórico Múltiples políticas de contraseñas * Por limitantes tecnológicos 1 1
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 1 2
Qué es identidad Identidad, d esell identificador d que utiliza un usuario para registrarse ante un sistema al cual están asociados unos derechos y permisos de acceso a la información. 1 3
Conceptos generales de IAM Identificación, es la verificación que una cuenta de usuario existe en un sistema de información. Autenticación, es la verificación que un usuario es quien dice ser. Existen 3 factores de autenticación. Autorización, es la verificación del nivel de acceso de un usuario en un sistema de información. El nivel puede ser R,W, U,D. 1 4
Qué es Identity and Access Management IAM - Identity and Access Management Es un proceso de seguridad que integra Personas, Procesos y Tecnología og con el finde gestionar el ciclo c de vida de las identidades de los usuarios y sus derechos de acceso a los sistemas de información. 1 5
Lineamientos de la Norma ISO 27001 acerca de IAM A.11 Control de acceso A11.2 Gestión del acceso de los usuarios Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información. Objetivos de Control: Registro de usuarios, gestión de privilegios, gestión de contraseñas de usuarios y revisión de derechos de acceso de los usuarios. 1 6
Lineamientos de la Norma ISO 27001 acerca de IAM A.11 Control de acceso A11.3 Responsabilidades de los usuarios Objetivo: Prevenir el acceso de usuarios y el compro no autorizados a los sistemas de información. Objetivos de Control: Registro de usuarios, gestión de privilegios, gestión de contraseñas de usuarios y revisión de derechos de acceso. 1 7
Lineamientos de la Norma ISO 27002 acerca de IAM A.11 Control de acceso A11.1 Requisitos del negocio para el control de acceso Objetivo: Controlar el acceso a la información Control: establecer, documentar y revisar la política de control de acceso, con base en los requisitos del negocio y dela seguridad para el acceso. 1 8
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones o 1 9
Desafíos de IAM en la organización Fortalecer la seguridad Incrementar la productividad Ampliar los niveles de servicio Sincronizar la información de identidad Apoyar el cumplimiento regulatorio Proveer retorno de la inversión 2 0
Fortalecer la seguridad de la información Se requiere saber quién tiene acceso a qué recursos de información en la organización y reaccionar rápidamente ante posibles riesgos de seguridad de la información. 2 1
Incrementar la productividad Es necesario automatizar procesos de gestión ejecutados manualmente y delegar actividades a los usuarios sin perder la autoridad central. 2 2
Ampliar los niveles de servicio Gestionar oportunamente los continuos cambios en los roles y responsabilidades de los usuarios de manera que ellos inicien rápidamente su trabajo productivo. 2 3
Sincronizar la información de identidad Se requiere disponer de información exacta, integra y persistente acerca de los usuarios y sus privilegios de acceso sin importar la cantidad y frecuencia de sus cambios. 2 4
Apoyar el cumplimiento regulatorio Debe apoyar el cumplimiento de la regulación relacionada con el control de acceso a la información, el manejo de roles y perfiles y la gestión de usuarios. 2 5
Proveer retorno de inversión Se debe evidenciar el retorno de la inversión en tecnología de seguridad presentando resultados en corto tiempo que indiquen mejora en la gestión con menos recursos. 2 6
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones o 2 7
Hoja de ruta de IAM Repositorio corporativo Fuente Roles y Aprovisiona Administración Autenticación Identidad de identidades autoritativa. Perfiles miento de accesos robusta federada Componentes de la hoja de ruta para la implantación de un sistema de gestión de identidades 2 8
Repositorio corporativo de identidades Consolidar las identidades d en un repositorio centralizado con información personal, cuentas de usuario y permisos de acceso a los sistemas de información. 2 9
Fuente autoritativa RRHH Definir una fuente única, valida y centralizada de información como origen para poblar el repositorio corporativo de identidades. Generalmente, la fuente autoritativa es recursos humanos. 3 0
Roles y Perfiles Establecer los roles de negocio que soportan la operación y que debe estar alineados a los roles configurados en las aplicaciones. 3 1
Aprovisionamiento Crear Dar de alta Asignar permisos Aplicar novedades dd Gestionar el ciclo de vida de las identidades, desde la creación hasta su dada de alta,, pasando por bloqueo, desbloqueo, activación, inactivación, asignación y derogación de roles y mantenimiento de información general como: cargo, ubicación, identificación. 3 2
Administración de accesos Definir los procedimientos relacionados con el control de acceso a la información aplicando el mínimo privilegio y la necesidad de conocer (Need to Know). 3 3
Autenticación robusta Factor 1 Algo que conozco Factor 2 Algo que conozco + algo que tengo Mediante tecnologías como: pki, biométricos, smart card, aplicar esquemas de autenticación factor 2 o superior. Factor 3 Algo que soy + algo que conozco 3 4
Identidad federada Empresa 2 Empresa 1 Empresa 3 Permitir la interoperabilidad de identidades entre compañías y redes con un mismo identificador. 3 5
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 3 6
Hitos en la implementación de un sistema IAM Factores claves a tener en cuenta para el éxito de un proyecto de IAM Compromiso Alcance Estrategia Arquitectura Implementación Entrenamiento Continuidad Roles Responsabilidades Funcional Operativo Usuarios Aplicaciones Áreas Hardware Software Fases Concienciación Capacitación Alta disponibilidad 3 7
Compromiso El proyecto debe ser socializado con responsables de las áreas críticas involucradas involucradas. los 3 8
Alcance Es clave definir los servicios suministrados. Auto servicio Single Sign On Aprovisionamiento ii i 3 9
Estrategia Agrega menos valor Agrega más valor Qué brinda resultados visibles más rápidamente + Usuarios Perfiles + Usuarios x área + Usuarios x aplicación + Aplicaciones críticas Es necesario establecer qué más conveniente para el negocio. 4 0
Arquitectura Alineación con la directriz tecnológica de la organización. 4 1
Implementación El esquema de implementación debe tener un impacto mínimo en la operación. Cubrir todas las estaciones, usuarios y roles de un área operativa. Proseguir con otra estación con un tercer usuario con un segundo rol. Continuar con otra estación con un segundo usuario con igual rol. Tomar una estación con un usuario con determinado rol. 4 2
Entrenamiento Se conciencia a los usuarios en el fortalecimiento de la seguridad y se entrena en la interacción con el sistema. Mayor protección de los activos de información Menor complejidad en el manejo de cuentas de usuario y contraseñas. 4 3
Continuidad El acceso a los sistemas de información siempre debe estar habilitado y soportado en componentes en alta disponibilidad. A nivel de: Servidor de aplicaciones Servidor de Base de datos Agente cliente 4 4
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 4 5
Beneficios Apoya la estrategia de la organización para el logro de los objetivos de negocio. Fortalece la protección de los activos de información de la organización, clientes y socios de negocio. Mejora la eficiencia, oportunidad y control de la gestión de identidades y accesos. Disminuye los costos administrativos del soporte a la gestión de identidades y accesos. Aumento de la productividad. Apoya el cumplimiento regulatorio. 4 6
Apoya la estrategia corporativa IAM debe apalancar los procesos de negocio y debe convertirse en un facilitador para llevarlos a cabo. 4 7
Proteje de los activos de información A partir de las políticas de seguridad de la información, se deben aplicar las normas y procedimientos definidos por la organización en relación con el proceso de control de acceso. 4 8
Mejora la eficiencia y el control de IAM La gestión de identidades y accesos oportuna y precisa permite incrementar la productividad al reducir tiempos muertos para la operación de los usuarios. 4 9
Disminuye costos administrativos Los costos asociados al soporte de los usuarios a través de la Mesa de Ayuda decrecen significativamente a partir de opciones como SSO y Auto-servicio. 5 0
Aumenta la productividad La disminución del Tiempo Muerto de un usuario por no tener disponible el acceso a los sistemas it de información ió que soportan la operación, genera aumento en la productividad. id d 5 1
Apoya el cumplimiento regulatorio La automatización de controles relacionados con la gestión de identidades y accesos apoya el cumplimiento regulatorio asociado con el proceso de control de acceso a la información. 5 2
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 5 3
Riesgos del proyecto Humanos Originados en la manera en que los usuarios se integran con el sistema Técnicos Generados por ser el sistema front de los usuarios ante los sistemas de información Operativos Presentados por la operación errada del sistema por parte de los usuarios Operativos Tecnológicos Humanos 5 4
Riesgos del proyecto Operativos Alcance no acordado y formalizado Roles y perfiles no identificados y establecidos claramente Entrenamiento inadecuadofallas de servicio de infraestructura tecnológica 5 5
Riesgos del proyecto Tecnológicos Inconsistencias en la interacción con otras plataformas Soporte técnico inadecuado. Fallas de servicio de infraestructura tecnológica 5 6
Riesgos del proyecto Humanos Resistencia al cambio Débil conciencia en seguridad Percepción errada de fallas de servicio 5 7
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 5 8
Qué debo tener en cuenta al evaluar. Consideraciones i Técnicas Funcionales Para establecer criterios de selección de una solución de IAM es necesario tener en cuenta estos dos aspectos generales, y detallarlos en la medida requerida por el proceso de evaluación. 5 9
Qué evaluar a nivel técnico Rapidez de implementación Capacidad de procesos de mapeo de cuentas de usuario Facilidades de interacción con otros recursos Disponibilidad de un tool kit para efectos de desarrollos rápidos Inteligencia para gestionar identidades con otros repositorios Adherencias a estándares de la industria 6 0
Qué evaluar a nivel funcional Provisión automática de cuentas de usuario Administración delegada Autoservicio Gestión automática de perfiles Auditoría de identidades d Conexiones 6 1
Gestión de Identidades y Accesos: Factores clave para implementación de un proyecto exitoso Generalidades Conceptos generales Desafíos Hoja de ruta Desarrollo del proyecto Beneficios Riesgos del proyecto Evaluación de soluciones Conclusiones 6 2
Conclusiones Apoyan el logro de los objetivos de negocio. Fortalecen la protección de los activos de información de la organzación, clientes y socios de negocio. Colaboran con el cumplimiento regulatorio 6 3
Muchas gracias por su atención José E. Quintero Forero CISM, CRISC jquinterof@gmail.com jquinterof@hotmail.com 6 4