9/5/05 Identity, Access Management + Nuevo enfoque de gestión de accesos Deloitte Ana Torres - Gerente Senior Iván Campos - Socio Agenda Principales preocupaciones en la gestión de accesos Los retos en la gestión de acceso Modelo de integración IAM + Funcionalidad Clave IAM en Control de Accesos Funcionalidad Clave en Control de Accesos Beneficios del enfoque IAM + Factores críticos de éxito en la implementación Conclusiones Preguntas y respuestas
9/5/05 Principales preocupaciones en la gestión de accesos La visión de los profesionales de riesgos y control Cumplimiento regulatorio Que los accesos en los sistemas se encuentren delimitados y mitigar riesgo por conflictos de segregación de funciones y accesos amplios Identificación de riesgos de Segregación de Funciones y Accesos Críticos (súper usuarios) Riesgos de segregación identificados correctamente y preventivamente Visibilidad de riesgo e implementación de controles mitigantes (evaluación de su efectividad y reducción del riesgo) Procesos para mitigar riesgos asociados a segregación de funciones, aprovisionamiento, aprobaciones, re certificación de usuarios Trazabilidad ( reportes y pistas de auditoría) Principales preocupaciones en la gestión de accesos La Visión de TI y Seguridad de Información Automatizar procesos de gestión Disminuir operaciones de alto costo y bajo valor para el negocio (ej. reseteo de contraseñas) Reducir costos de operación de TI, ej. Licenciamiento Gestión de superusuarios Reducir el esfuerzo y observaciones de auditoría, enfocar esfuerzos a la evaluación recurrente de riesgos más que a la operación y evaluación de controles
9/5/05 Principales preocupaciones en la gestión de accesos La visión en las líneas de negocio Operar las líneas de negocio, no detener la operación por un tema de segregación de funciones Ser eficientes y productivos en la operación, otorgar y eliminar accesos a sistemas de información oportunamente. No tener que esperar a que alguien los atienda, contar con autoservicios que los hagan más eficientes. Proteger información sensible para el negocio Los retos en la gestión de accesos La identidad es creada como el primer paso de la entrada de nuevos empleados. Generalmente es creada en una Fuente Autoritativa, por ejemplo. una aplicación de HR Comienzo de Relaciones Finalización de la Relación Eliminación de los permisos de accesos de todos los recursos Coordinación de finalización del usuario Despidos no programados Almacenamiento de la identidad del usuario (auditoria) No cuentas fantasma No cuentas huérfanas Utilización de ROLES? Requerimiento de Acceso Término de Relación Controles a nivel de identidad en los sistemas conectados Auditoria Documentación Provisión De Acceso Mantenimiento de Acceso Las cuentas de usuarios son configuradas para cada recurso que el usuario accederá Los permisos de acceso iniciales y sus reglas son configuradas en cada recurso Se incluyen tanto los accesos/cuentas a sistemas, como otro tipo de recursos físicos (equipo cómputo, móvil). El usuario accede por primera vez a su maquina y sincroniza contraseñas (Ojo, aun no hay SSO) Es posible integrar módulo de SSO para facilitar el acceso a cada aplicación (Un usuario y contraseña para todos los aplicativos) Los perfiles de las identidades de los usuarios son actualizados en consecuencia de: Transferencias Promociones Ausencias Reseteo de contraseñas Incorporación de nuevos servicios El usuario necesita autogestionar aspectos de su identidad como pueden ser: Contraseñas Accesos Atributos
Us e r s D igita l ID U ser Id en tity: First Name, Last Nam e, Unique Identifier, Date of Birth Account Credentials: Login ID and password SecurID card, other strong authentication factors Common Profiles: Job Functional Roles Bus iness U nit Office Location Manager/Supervisor New N in W ind ow Li m i te d Contri-C t F ul l ReR e ad De sis i gn Sh ar epo int S er vic es Acc ess* but e Contro l (ve rs ion )? Application Profiles: Up d a te P er sona l W eb Par t s A dd/ Re mo ve Per son al Web P ar ts M anag e P er sona l V ie ws Perm ission levels A ppr ove Item s Ne w Delete Versions Ne w Access control items V ie w Ve rsi ons Ne w C ancel Che ckout Ne w Op en Items s Vi ew I te ms D el ete Item s 9/5/05 Modelo de integración IAM + Proceso Evidencia Usuario Sin Violación Acceso Autorizado Permisos de Acceso Política de Validación! Evidencia Violación Detectada Control Compensatorio Funcionalidad Clave IAM Gestión del ciclo de vida de usuarios y roles Request Access Terminate Access Maintain & Control Access Provision Access Gestión Delegada y flujos de autorización Deloitte AERS FAS Consulting Provisioning Tool Administrator Tax Gestión de contraseñas y autoservicio?? Jack forgets his password New Password Enterprise Security Station Auditoría y Re Certificación 5 Novell: xyz NT: xyz : xyz R/: xyz MVS: xyz AERS Admin User s FAS Admin User s Consulting Admin User s Tax Admin User s
9/5/05 Funcionalidad Clave en Control de Accesos. Identificar y atender riesgos. Detectar y remediar incumplimientos. Responder efectivamente a incidentes de SoD 0. Enviar Solicitud para: Rol Privilegios Cuenta de Usuario 5
9/5/05. Solicitud es enviada para aprobación a: Gerente Delegado Dueño de Rol Dueño de Aplicación. Solicitud aprobada 6
9/5/05. Enviar a análisis de riesgos a: Auditoría Interna Control Interno Riesgos Dueños de Procesos 5 5. Remediación de Riesgos Rechazar Aprobar Mitigar (Control Mitigante) Modificar solicitud 7
9/5/05 6 6.Aprovisionamien to a aplicaciones 5 7 6 6 8
9/5/05 Beneficios del enfoque IAM + Implementación de un modelo de gestión de riesgos de acceso y autorizaciones, colaborando con un Modelo de Gobierno entorno a la gestión de usuarios Simplifica la implementación de segregación de funciones a través de la simulación y remediación preaprovisionamiento Provee ventajas competitivas a través de la automatización y optimización de los procesos del negocio. Previene conflictos futuros al implementar flujo de autorización en caso de riesgos de acceso El negocio asume la responsabilidad de las aprobaciones de acceso Reduce los tiempos en la asignación de accesos, privilegios y recursos que los empleados requieren en base al need to know y least privilege. Reducción de tiempo en el manejo del Ciclo de Vida de las identidades digitales (Creación, Mantenimiento y Terminación) Mitiga el riesgo de accesos de usuarios privilegiados a través de flujos de aprobación Factores críticos de éxito en la implementación. Acceso basado en la estructura organizacional El usuario adquiere una posición (atributos que provienen de RH) Los accesos ya los tiene la posición (puesto del empleado). Determinar aprobadores (eficiencia vs control) Típicamente considerar: Gerente Dueño del Rol Compliance (Auditoría Interna, Control Interno, Riesgos) Algunas organizaciones tienen Dueños de Procesos, Dueños de Roles de Negocio, aprobaciones adicionales. Aprovisionamiento de Roles (Fuente Autoritativa) Fuente de Roles: Dónde se actualizarán los roles? preferentemente una sola Fuente (por ejemplo: ).. Requerimientos de Auditoría: Cumplimiento de requerimientos de auditoria para trazabilidad y logs (quién, cuándo y qué fue autorizado). 5. Evaluar el mejor escenario de integración: Solicitud a través de IDM o de, aprovisionamiento desde IDM o 6. Evaluar la tecnología más adecuada de integración: diferentes proveedores de soluciones IDM y de (para control de accesos), requerimientos de sistemas legados y estructura de seguridad 9
9/5/05 5 puntos a recordar. IAM + representa una transformación en las compañías y una alianza entre las áreas de TI y el negocio, no es sólo la solución, sino el Modelo de Gobierno que regula los procesos. Las organizaciones pueden mejorar la eficiencia y efectividad de sus procesos de control de acceso integrando IAM y.. IAM + provee procesos prácticos que van desde el requerimiento del acceso, el análisis de riesgos y segregación de funciones, hasta el aprovisionamiento del acceso de usuario.. IAM + reduce el costo de cumplimiento y mejora los niveles de eficiencia y servicio en el aprovisionamiento de accesos, obtener beneficios de ambas soluciones, no verlo como dos soluciones aisladas. 5. Es importante conocer y evaluar la estructura organizacional y el modelo de seguridad de los aplicativos para elegir el mejor escenario de integración. Preguntas y Respuestas 0