9/15/2015. Identity, Access Management + GRC Nuevo enfoque de gestión de accesos. Agenda. Deloitte Ana Torres - Gerente Senior Iván Campos - Socio



Documentos relacionados
Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP

Privacidad y Protección de la Información, Mito o Realidad

Presentada por: Ricardo José Gadea Gerente General Assertiva S.A.

Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC

Identity & Access Management

Identity Management: Conceptos e implementaciones v3

José E. Quintero Forero CISM, CRISC

Webinar GRC. Jorge Merino/Solution Expert GRC

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

Venciendo a la Pesadilla de la Gestión de Usuarios

Procesos de negocio beneficiados con el CRM:

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

SISTEMA DE GESTIÓN DE RIESGOS

DIA 21, Gestión de la Identidad Digital en Red: Gestión de Identidades y Control de Acceso

Integración de las aplicaciones con el directorio LDAP: Oracle Internet Directory

PRODUCTIVIDAD EN TUS MANOS

ENFOQUE ISO 9000:2000

DOCUMENTO DE CONSTRUCCIÓN SOLUCIÓN DE NO CONFORMIDADES ISO 9000 Bizagi Process Modeler

Proceso: AI2 Adquirir y mantener software aplicativo

Principios de Privacidad y Confidencialidad de la Información

En la misma dirección. Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

Operational Support and Analysis (OSA) ITIL Nivel Intermedio, Service Capabilities

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

"ITIL: Cambiando el paradigma de la gestión de TI en las organizaciones. Luis Julian Salazar Vilchez

MANUAL DE USUARIO SIIDJ MÓDULO DE SEGURIDAD CAPÍTULO II ADMINISTRADOR DE SEGURIDAD DEL CLIENTE ÍNDICE

ESTÁNDAR DE GESTIÓN DE ACCESO DE USUARIOS ESTADO COPIA CONTROLADA 01 VERSION

Procedimiento de Sistemas de Información

Gestión del Servicio de Tecnología de la información

Recursos HELP DESK Biblioteca 2012

Bienvenido a CitiDirect BE GUÍA PARA EL ADMINISTRADOR DEL SISTEMA

Gestión de Oportunidades

CONTROL DE CAMBIOS Y MEJORAS

MODULO DE PRESUPUESTOS EN SISTEMA CONTABILIDAD

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Curso Fundamentos de ITIL

MANEJO DE QUEJAS Y RECLAMOS

Está creado como un organizador y gestor de tareas personalizables para generar equipos de alto desempeño en diferentes rubros de empresas.

MS_80545 Customer Service in Microsoft Dynamics CRM 2013

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Fecha Pregunta Respuesta. Necesitamos conocer cuál es el sistema de RRHH, en que está desarrollado y que base de datos utiliza.

Mejores prácticas para diseñar y gestionar servicios TI garantizando su entrega, medición, seguridad, disponibilidad y mejora continua.

MS_20346 Managing Office 365 Identities and Services

ENCUESTA BUENAS PRACTICAS EN TIC'S

Qué es SPIRO? Características

3ER FORO LATINOAMERICANO PRISM 17 Y 18 OCTUBRE 2013 CANCÚN, MÉXICO. Lic. Fernando Parada Gerente General Plumada SA Skype: ferparada1

Curso. Introducción a la Administracion de Proyectos

Patricio Sotomayor Jefe de Área Proyectos I+D Grupo SURA

Elementos requeridos para crearlos (ejemplo: el compilador)

Tema 1: Organización, funciones y responsabilidades de la función de TI.

PROGRAMA DE GESTIÓN DOCUMENTAL

IBM Tivoli Asset Management for IT. IBM Tivoli Service Request Manager

LICENCIA PLATAFORMA ERM

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

ISO/IEC Sistema de Gestión de Seguridad de la Información

Guía sobre los cambios del nuevo sitio Web de Central Directo

Master en Gestion de la Calidad

Resumen General del Manual de Organización y Funciones

iphone en la empresa Administración de dispositivos móviles

CRM Gestión de Oportunidades Documento de Construcción Bizagi Process Modeler

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

IBM Software Demos Integración de Tivoli Identity Manager y Directory Integrator

MS_10974 Deploying Windows Server

Control de Cambio Operacional. Saber. Knowledge Base Service Assurance de NetIQ

Standard Bank Argentina Reduce el Tiempo de Entrega de los Proyectos con CA Project & Portfolio Management

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Garantía de cumplimiento de los sistemas de información con la normativa actual

Corporación Megasuper: Acompañando el crecimiento con SAP

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Principales Cambios de la ISO 9001:2015

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

Metodología básica de gestión de proyectos. Octubre de 2003

PROCEDIMIENTO AUDITORÍA INTERNA

Proyecto CAT Centro Atención al Trabajador

Administración por Procesos contra Funciones

Retos Actuales de la Administración de Accesos e Identidades RSA AVEKSA. Sinue Botello sinue.botellogarcia@rsa.com Aveksa Systems Engineer RSA LATAM

Condiciones de servicio de Portal Expreso RSA

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Copyright bizagi. Gestión de Cambios Documento de Construcción Bizagi Process Modeler

Solución de No conformidades

Resumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones

MS_20413 Designing and Implementing a Server Infrastructure

7197 Managing Enterprise Desktops Using the Microsoft Desktop Optimization Pack

Acciones Correctivas y Preventivas. Universidad Autónoma del Estado de México

Debido a que Internet ha llegado a ser aceptado rápidamente en toda esta revolución tecnológica, por encima de los demás medios de comunicación como

Norma ISO 14001: 2004

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

REGISTRO DE PEDIDOS DE CLIENTES MÓDULO DE TOMA DE PEDIDOS E INTEGRACIÓN CON ERP

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

SOLUCIÓN SITUACIÓN ACTUAL

Gestione toda la documentación de sus proyectos/programas desde un entorno centralizado y seguro.

SAP BusinessObjects Edge BI Standard Package La solución de BI preferida para. Empresas en Crecimiento

Fecha 24 julio Sr. Harold Maringuer S. - Socio Gerente General Grupo SCI en alianza con Deloitte

Brindamos asesorías que involucran tecnología y personal calificado, estos hacen de DOCTUM su mejor aliado.

Manual Terabox. Manual del usuario. Versión Telefónica. Todos los derechos reservados.

Transcripción:

9/5/05 Identity, Access Management + Nuevo enfoque de gestión de accesos Deloitte Ana Torres - Gerente Senior Iván Campos - Socio Agenda Principales preocupaciones en la gestión de accesos Los retos en la gestión de acceso Modelo de integración IAM + Funcionalidad Clave IAM en Control de Accesos Funcionalidad Clave en Control de Accesos Beneficios del enfoque IAM + Factores críticos de éxito en la implementación Conclusiones Preguntas y respuestas

9/5/05 Principales preocupaciones en la gestión de accesos La visión de los profesionales de riesgos y control Cumplimiento regulatorio Que los accesos en los sistemas se encuentren delimitados y mitigar riesgo por conflictos de segregación de funciones y accesos amplios Identificación de riesgos de Segregación de Funciones y Accesos Críticos (súper usuarios) Riesgos de segregación identificados correctamente y preventivamente Visibilidad de riesgo e implementación de controles mitigantes (evaluación de su efectividad y reducción del riesgo) Procesos para mitigar riesgos asociados a segregación de funciones, aprovisionamiento, aprobaciones, re certificación de usuarios Trazabilidad ( reportes y pistas de auditoría) Principales preocupaciones en la gestión de accesos La Visión de TI y Seguridad de Información Automatizar procesos de gestión Disminuir operaciones de alto costo y bajo valor para el negocio (ej. reseteo de contraseñas) Reducir costos de operación de TI, ej. Licenciamiento Gestión de superusuarios Reducir el esfuerzo y observaciones de auditoría, enfocar esfuerzos a la evaluación recurrente de riesgos más que a la operación y evaluación de controles

9/5/05 Principales preocupaciones en la gestión de accesos La visión en las líneas de negocio Operar las líneas de negocio, no detener la operación por un tema de segregación de funciones Ser eficientes y productivos en la operación, otorgar y eliminar accesos a sistemas de información oportunamente. No tener que esperar a que alguien los atienda, contar con autoservicios que los hagan más eficientes. Proteger información sensible para el negocio Los retos en la gestión de accesos La identidad es creada como el primer paso de la entrada de nuevos empleados. Generalmente es creada en una Fuente Autoritativa, por ejemplo. una aplicación de HR Comienzo de Relaciones Finalización de la Relación Eliminación de los permisos de accesos de todos los recursos Coordinación de finalización del usuario Despidos no programados Almacenamiento de la identidad del usuario (auditoria) No cuentas fantasma No cuentas huérfanas Utilización de ROLES? Requerimiento de Acceso Término de Relación Controles a nivel de identidad en los sistemas conectados Auditoria Documentación Provisión De Acceso Mantenimiento de Acceso Las cuentas de usuarios son configuradas para cada recurso que el usuario accederá Los permisos de acceso iniciales y sus reglas son configuradas en cada recurso Se incluyen tanto los accesos/cuentas a sistemas, como otro tipo de recursos físicos (equipo cómputo, móvil). El usuario accede por primera vez a su maquina y sincroniza contraseñas (Ojo, aun no hay SSO) Es posible integrar módulo de SSO para facilitar el acceso a cada aplicación (Un usuario y contraseña para todos los aplicativos) Los perfiles de las identidades de los usuarios son actualizados en consecuencia de: Transferencias Promociones Ausencias Reseteo de contraseñas Incorporación de nuevos servicios El usuario necesita autogestionar aspectos de su identidad como pueden ser: Contraseñas Accesos Atributos

Us e r s D igita l ID U ser Id en tity: First Name, Last Nam e, Unique Identifier, Date of Birth Account Credentials: Login ID and password SecurID card, other strong authentication factors Common Profiles: Job Functional Roles Bus iness U nit Office Location Manager/Supervisor New N in W ind ow Li m i te d Contri-C t F ul l ReR e ad De sis i gn Sh ar epo int S er vic es Acc ess* but e Contro l (ve rs ion )? Application Profiles: Up d a te P er sona l W eb Par t s A dd/ Re mo ve Per son al Web P ar ts M anag e P er sona l V ie ws Perm ission levels A ppr ove Item s Ne w Delete Versions Ne w Access control items V ie w Ve rsi ons Ne w C ancel Che ckout Ne w Op en Items s Vi ew I te ms D el ete Item s 9/5/05 Modelo de integración IAM + Proceso Evidencia Usuario Sin Violación Acceso Autorizado Permisos de Acceso Política de Validación! Evidencia Violación Detectada Control Compensatorio Funcionalidad Clave IAM Gestión del ciclo de vida de usuarios y roles Request Access Terminate Access Maintain & Control Access Provision Access Gestión Delegada y flujos de autorización Deloitte AERS FAS Consulting Provisioning Tool Administrator Tax Gestión de contraseñas y autoservicio?? Jack forgets his password New Password Enterprise Security Station Auditoría y Re Certificación 5 Novell: xyz NT: xyz : xyz R/: xyz MVS: xyz AERS Admin User s FAS Admin User s Consulting Admin User s Tax Admin User s

9/5/05 Funcionalidad Clave en Control de Accesos. Identificar y atender riesgos. Detectar y remediar incumplimientos. Responder efectivamente a incidentes de SoD 0. Enviar Solicitud para: Rol Privilegios Cuenta de Usuario 5

9/5/05. Solicitud es enviada para aprobación a: Gerente Delegado Dueño de Rol Dueño de Aplicación. Solicitud aprobada 6

9/5/05. Enviar a análisis de riesgos a: Auditoría Interna Control Interno Riesgos Dueños de Procesos 5 5. Remediación de Riesgos Rechazar Aprobar Mitigar (Control Mitigante) Modificar solicitud 7

9/5/05 6 6.Aprovisionamien to a aplicaciones 5 7 6 6 8

9/5/05 Beneficios del enfoque IAM + Implementación de un modelo de gestión de riesgos de acceso y autorizaciones, colaborando con un Modelo de Gobierno entorno a la gestión de usuarios Simplifica la implementación de segregación de funciones a través de la simulación y remediación preaprovisionamiento Provee ventajas competitivas a través de la automatización y optimización de los procesos del negocio. Previene conflictos futuros al implementar flujo de autorización en caso de riesgos de acceso El negocio asume la responsabilidad de las aprobaciones de acceso Reduce los tiempos en la asignación de accesos, privilegios y recursos que los empleados requieren en base al need to know y least privilege. Reducción de tiempo en el manejo del Ciclo de Vida de las identidades digitales (Creación, Mantenimiento y Terminación) Mitiga el riesgo de accesos de usuarios privilegiados a través de flujos de aprobación Factores críticos de éxito en la implementación. Acceso basado en la estructura organizacional El usuario adquiere una posición (atributos que provienen de RH) Los accesos ya los tiene la posición (puesto del empleado). Determinar aprobadores (eficiencia vs control) Típicamente considerar: Gerente Dueño del Rol Compliance (Auditoría Interna, Control Interno, Riesgos) Algunas organizaciones tienen Dueños de Procesos, Dueños de Roles de Negocio, aprobaciones adicionales. Aprovisionamiento de Roles (Fuente Autoritativa) Fuente de Roles: Dónde se actualizarán los roles? preferentemente una sola Fuente (por ejemplo: ).. Requerimientos de Auditoría: Cumplimiento de requerimientos de auditoria para trazabilidad y logs (quién, cuándo y qué fue autorizado). 5. Evaluar el mejor escenario de integración: Solicitud a través de IDM o de, aprovisionamiento desde IDM o 6. Evaluar la tecnología más adecuada de integración: diferentes proveedores de soluciones IDM y de (para control de accesos), requerimientos de sistemas legados y estructura de seguridad 9

9/5/05 5 puntos a recordar. IAM + representa una transformación en las compañías y una alianza entre las áreas de TI y el negocio, no es sólo la solución, sino el Modelo de Gobierno que regula los procesos. Las organizaciones pueden mejorar la eficiencia y efectividad de sus procesos de control de acceso integrando IAM y.. IAM + provee procesos prácticos que van desde el requerimiento del acceso, el análisis de riesgos y segregación de funciones, hasta el aprovisionamiento del acceso de usuario.. IAM + reduce el costo de cumplimiento y mejora los niveles de eficiencia y servicio en el aprovisionamiento de accesos, obtener beneficios de ambas soluciones, no verlo como dos soluciones aisladas. 5. Es importante conocer y evaluar la estructura organizacional y el modelo de seguridad de los aplicativos para elegir el mejor escenario de integración. Preguntas y Respuestas 0

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback