Empresa: Identidad internacional de Fischer

Módulo: Gestión de identidad

Glosario

FERPA: La Ley de privacidad y derechos educativos de la familia de 1974 es una ley

federal de los Estados Unidos que rige el acceso a la información y los registros
educativos por parte de entidades públicas como posibles empleadores, instituciones
educativas financiadas con fondos públicos y gobiernos extranjeros

IAM: Un sistema de administración de accesos e identidades (IAM, por sus siglas en

inglés) es un marco para los procesos de negocio que facilita la gestión de las identidades
electrónicas. El marco incluye la tecnología necesaria para apoyar la gestión de identidad.

Actividad 1

La entrega uno considera los siguientes puntos a desarrollar:

1. Indicar los mecanismos de identificación que se encuentran en el caso estudio.

Mencione cuales son los problemas que identifica frente a estos mecanismos (si los hay)
y que cambios realizaría para mejorar los procesos de identificación realizados en el caso
estudio. En las mejoras planteadas debe considerar si aplica adquisiciones, nuevos
desarrollos, entre otros, debe plantear el análisis económico que sustente la mejora que
propone, así como el análisis de tiempos de implementación que puedan ser requeridos.

2. Describir el(los) modelo(s) de control de acceso que identifica en el caso estudio,

presentando en qué situación identifica el modelo de control de acceso (especificar
la parte del caso estudio donde identifica cada modelo) y la justificación de porque lo
clasifica como el modelo de control de acceso que seleccione (esto se refiere a DAC,
MAC, RBAC o BR-RBAC). Para cada situación donde identifica un modelo de control de
acceso, explique las ventajas y desventajas que identifica de ese modelo que encuentra
aplicado en la situación. Si identifica posibles mejoras en la aplicación del modelo
indíquelas igualmente.

3. Realizar la definición de las políticas de control de acceso que considere pertinentes

para responder a los requerimientos de seguridad del caso estudio. La definición de las
políticas debe considerar las tres frases: política de alto nivel, planteamiento de las reglas
(representación formal) y la descripción de la implementación técnica.

Punto 1. Mecanismos

Denominación de cuentas. Como parte de su proceso de aprovisionamiento de

usuarios, MICA ha tenido una política de larga data para permitir la entrada de usuarios
con respecto a sus propios nombres de cuenta. Por ejemplo, si alguien llamado Edward
fuera conocido como Ted, los nombres de sus cuentas reflejarían cómo se llamaba en
realidad. Sin embargo, para respaldar esta política cuando el nombre de alguien
cambiaba, varias personas requerían muchos procesos manuales. Los retrasos se
debieron a que MICA no tenía un buen sistema de notificación para saber cuándo cada
persona necesitaba tomar medidas.

La cuenta de usuarios no contaba con un ID único por cada usuario y eso conllevaba a
que no tenía un proceso estándar para desaprovisionar cuentas de usuario y, por lo
general, no se notificaba a TI cuando un miembro del personal dejaba la institución y
permite ser reutilizada, lo que generaba 3500 cuentas huérfanas y no deshabilitaba todas
las cuentas de un usuario saliente.

problemas:

1. Restablecimiento de contraseñas. por qué el 90% de soporte en la mesa de

ayuda en las 3 primera semana fueron para presentar este tipo de apoyo, debido a
que no había un control en parámetros en la creación y actualización de las
contraseñas de los usuarios (estudiantes, padres de familia, docentes de planta,
contratistas y administrativos)
2. Acceso a red no era seguro y no tenía disponibilidad en la continuidad de servicio
e ingreso a la misma por parte de los usuarios.
3. Política de control de acceso. en este caso no cuenta con una política definida
que permita la parametrización de la información del usuario y que establezca
controles para conservar los principios de la seguridad de la información como la
integridad, confiabilidad y disponibilidad
4. Riesgo de violaciones de FERPA (ley de Derechos Educacionales y
Privacidad de la Familia del 1974). La distribución de credenciales a nuevos
usuarios era un proceso de combinación de correspondencia propenso a errores.
MICA enfrentó un riesgo continuo de violaciones de FERPA si las cartas de
credenciales se perdían, se entregaban incorrectamente o se compartían con la
persona equivocada.
5. Proceso de Auditorias. MICA requirió una gran cantidad de tiempo durante las
auditorías financieras para responder preguntas sobre el acceso a TI.

Mejora propuesta
Implementar una política clara en donde se puede identificar como se garantizará
el control de acceso.

Punto 2. Control de acceso

A: distribución de cuentas nuevas. MICA ya no distribuye contraseñas de

cuentas nuevas. En su lugar, los usuarios crean de forma segura sus propias
contraseñas iniciales que son más fáciles de recordar que las contraseñas
generadas.

 Justificación: El equipo de mesa de ayuda ya no tiene que crear las

contraseñas de los usuarios finales.
 Ventajas: El usuario quien es el dueño de la información puede crear su
propia contraseña de forma segura para el mismo.
 Desventajas: El equipo de mesa de ayuda no tendría dirigencia en la
parametrización de las contraseñas de los usuarios finales para tener una
mejor eficacia en soporte técnico cuando se requiera.