Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agenda
Introduccin Gestin de identidades Gestin de contraseas Gestin de accesos
2 de 61
Gestin de Identidades Es el proceso para administrar el ciclo de vida de identidades de personas, sistemas y servicios.
Gestin de acceso Es el proceso que permite identificar quien tiene acceso a que recursos.
3 de 61
4 de 61
Impulsores de negocio
5 de 61
6 de 61
7 de 61
8 de 61
RIESGOS INACEPTABLES
9 de 61
Por qu gestionar los accesos e identidades? Reduccin de costos operativo y de desarrollo Mejora de la eficiencia y transparencia operativa
10 de 61
12 de 61
13 de 61
GESTIN DE IDENTIDADES
14 de 61
PREGUNTAS CLAVES
Quin tiene acceso a que informacin? El acceso es adecuado para el trabajo que se est realizando? El acceso y la actividad se supervisan, se registran y se informan adecuadamente?
CMO SE LOGRA?
Polticas Procedimientos Actividades Uso de tecnologas
15 de 61
16 de 61
Identidad
Elemento o combinacin de elementos utilizados para describir de manera exclusiva a una persona, sistema o mquina. Factores de autentificacin Algo que usted conoce Algo que usted posee Algo propio de su persona
Potencialmente donde estoy
17 de 61
Cuentas personales
18 de 61
Cuentas laborales
19 de 61
Asociaciones profesionales
20 de 61
La autentificacin ms comn
Algo que usted conoce? Algo que usted posee?
21 de 61
22 de 61
Y en estos?
23 de 61
Por ltimo
Algo que usted conoce? Algo que usted posee? Algo propio de su persona?
24 de 61
Solicitudes
Partner Negocio Empleados Ejecutivos
Workflow Validaciones
Aprobaciones
RRHH
Propagacin
ERP
WEB
SIA
Password
25 de 61
Gestin de Contraseas
Perspectiva Tcnica
26 de 61
Ejemplos tpico:
Usuario: clobos clave:clobos clave:clobos123.
27 de 61
CONSIDERACIONES
Fcil de deducir el nombre de un usuario Por ejemplo, para Carlos Lobos Medina: Clobos Clobosm Carlos.lobos Calobos .. El nombre de usuario proporciona algn nivel de seguridad? El RUT es algo que poseo o es pblico?
28 de 61
CONSIDERACIONES
La seguridad en el acceso de sistemas que utilizan nombre de usuario y contrasea recae en un altsimo porcentaje en la contrasea. Luego se debe garantizar la calidad de est, de manera que no se vea comprometida bajo diversos tipos de ataques.
Diccionario
29 de 61
Qu caractersticas debe cumplir una contrasea para no ser vulnerables a este ataque? La contrasea no debe ser corta La contrasea debe utilizar la mayor cantidad de caracteres (letras, nmeros y smbolos)
30 de 61
Largo clave
+smbolos
6 8 10
31 de 61
ATAQUE DE DICCIONARIO
Este tipo de ataque consiste en intentar averiguar una contrasea probando todas las palabras de uno o ms diccionarios. Los diccionarios para la obtencin de contraseas se pueden obtener fcilmente desde Internet o ser generados.
Los diccionarios que usualmente se utilizan corresponden a: Palabras en distintos idiomas (espaol, ingles, ) Combinaciones de nmeros Especiales de combinaciones de teclas Listas de usuarios del sistemas a atacar Contraseas comunes Entre otros
32 de 61
Ataque de diccionario
Usualmente el software utilizado para dicho propsito ofrece una serie de alternativas a la hora de realizar el ataque, permitiendo mejorar la calidad de los ataques a realizar.
Por ejemplo, Can & Abel.
33 de 61
12345 (22 veces!) 123412 (19 veces) qwaszx (17 veces) felipe (5 veces) colocolo, juanito, soloyo, carlitos, 112233, waldo2
34 de 61
CONTRASEAS SEGURAS
Consideraciones
Si se utiliza el nombre de usuario y contrasea para acceder a un sistema, dicha informacin debe estar almacenada.
La gran mayora de los sistemas trabaja con bases de datos, lugar donde tambin es almacenada dicha informacin. Imaginemos que tenemos la informacin en la siguiente tabla:
Usuario Rmunoz Jpascual Msavron .. Contrasea gonzalo123 machote23 papito22
36 de 61
La solucin
Usuario Rmunoz Contrasea qertghjeqmusveefhj
Jpascual Msavron
..
Si es igual la combinacin nombre de usuario ms el hash almacenado v/s el obtenido. El usuario es vlido.
Usuario Contrasea
rmunoz gonzalo123
qertghjeqmusveefhj
37 de 61
38 de 61
39 de 61
40 de 61
Desvinculacin de identidad
Eliminar todos los accesos Sistemas Bases de datos Correo electrnico Permisos con terceros
Identificar potenciales riesgos de la desvinculacin Informacin confidencial Conocimiento de contraseas
41 de 61
GESTIN DE ACCESOS
42 de 61
ACCESO
Informacin que representa los derechos otorgados a una identidad. A que puede acceder Que puede realizar Generalmente se basan en grupos de trabajos, roles y perfiles para facilitar la gestin de usuarios
43 de 61
GESTION DE ROLES
Una misma funcin dentro de una organizacin puede ser desarrollada por muchas personas. La creacin de un rol o grupo de trabajo facilita la habilitacin de derechos de acceso a los usuarios.
Aplicacin 1 ANALISTA Ral Pedro Juan Ral Aplicacin 3 Aplicacin 4 Aplicacin 7 Aplicacin 18 Pedro Juan
44 de 61
GESTION DE ROLES
La gestin de roles es fundamental para una adecuada segregacin de funciones. Los elementos ms importantes de revisin son: La definicin inicial de los roles Los cambios en derechos de acceso Los cambios de internos de puestos de trabajo Estos procesos de generacin de generacin deben estar documentados y validados por los dueos de procesos
45 de 61
RECORDAR QUE
2008 Report to the Nation on Occupational Fraud & Abuse .February 2009
46 de 61
ELEMENTOS DE CONTROL
Revisin del proceso de creacin de accesos e identidades Revisin de cambios en los accesos Cuentas con ms de una persona asociada Revisin de cuentas privilegiadas Separacin de funciones Supervisin peridica de acceso
47 de 61
MINERIA DE PROCESOS
48 de 61
49 de 61
50 de 61
51 de 61
52 de 61
11.1 Requerimientos del negocio para el control de acceso 11.1.1 POLTICA DE CONTROL DE ACCESO Debe considerar: Requerimientos de seguridad Identificacin de informacin y riesgos asociados Legislacin relevante Perfiles de acceso Gestin de derechos de acceso Segregacin de funciones Requerimientos formales para solicitud de acceso Requerimientos para la revisin peridica Revocacin de derechos
54 de 61
11.2 Gestin de acceso del usuario 11.2.1 REGISTRO DEL USUARIO Debe considerar: Uso de IDs nicos Validar autorizacin para el uso del sistema Validar que el nivel de acceso sea consistente Necesidades del negocio y polticas Enunciado escrito de los derechos de acceso Los usuarios deben entenderlos No entregar accesos hasta que sea autorizado Mantener registros formales Eliminar o bloquear derechos frente a cambios Asegurar que no se emitan usuarios redundantes
55 de 61
11.2 Gestin de acceso del usuario 11.2.2 GESTIN DE PRIVILEGIOS Debe considerar: Los privilegios de acceso asociados a cada producto Asignar sobre la base solo lo que necesitan saber Mantener procesos de autorizacin y registro
56 de 61
11.2 Gestin de acceso del usuario 11.2.3 GESTIN DE CLAVES SECRETAS Debe considerar: Acuerdos de confidencialidad Uso de claves temporales en la creacin Entrega de claves temporales de manera segura En forma personal La clave debe ser generada aleatoriamente Los usuarios deben reconocer la recepcin Las claves secretas nunca debieran ser almacenadas sin proteccin Las claves secretas predeterminadas por el vendedor deben ser cambiadas
57 de 61
11.2 Gestin de acceso del usuario 11.2.4 REVISIN DE LOS DERECHOS DE ACCESO Debe considerar: Revisiones regulares En el tiempo Cambios significativos en el negocio Despus de cualquier cambio Revisiones cuando hay cambio de puesto Revisiones ms rigurosas en cuentas privilegiadas Chequear la asignacin de privilegios a intervalos regulares Se debe chequear los cambios en cuentas privilegiadas
58 de 61
11.3 Responsabilidad del usuario 11.3.1 USO DE CLAVES SECRETAS Debe considerar: Mantener la confidencialidad Evitar mantener un registro Cambiarlas frente al menor riesgo Seleccionar claves con un largo mnimo: Fciles de recordar No se basen en cosas que puedan adivinarse No se puedan detectar con ataques de diccionario Cambiar a intervalos regulares Cambiar la clave temporal de registro No incluirlas en procesos automatizados No compartir claves secretas individuales
59 de 61
11.3 Responsabilidad del usuario 11.3.2 EQUIPO DEL USUARIO DESATENDIDO Debe considerar: Cerrar sesiones activas cuando no se esta trabajando Bloqueo frente a periodos de inactividad 11.3.2 EQUIPO DEL USUARIO DESATENDIDO Debe considerar: Cerrar sesiones activas cuando no se esta trabajando Bloqueo frente a periodos de inactividad
60 de 61
carlos.lobosm@mail.udp.cl
61 de 61