Documentos de Académico
Documentos de Profesional
Documentos de Cultura
security
Gestin de Identidades
L o s s e r v i c i o s d e G I D i n c l u ye n l a automatizacin de los procesos de aprovisionamiento de cuentas, control de accesos y Single Sign On para usuarios. Pero, adems, deben de incluir, entre otros, componentes diferenciadores como la trazabilidad y herramientas de auditora para verificar el cumplimiento de polticas y normativas, la gestin de usuarios especiales (root, DBAdmin, Administrador), las pginas blancas de empresa y las tarjetas inteligentes. Los sntomas de una deficiente Gestin de Identidades son claros: tiempo perdido y burocracia hasta que se da acceso a los usuarios, gran cantidad de contraseas sin modificar, privilegios excesivos que se acumulan y no caducan, accesos que no se autorizan por la persona adecuada, cuentas fantasma de las que se desconoce el propietario y no se atreven a borrar, enormes dificultades para auditar los accesos de un usuario y determinar quin lo autoriz, etc. En paralelo, es importante dar a conocer y trasladar el valor que aporta la Gestin de Identidades a toda la organizacin, tanto para arrancar la iniciativa como para llevarla a buen puerto, justificando as la inversin y el cambio. Aprovisionamiento de Cuentas y Recursos Uno de los aspectos ms importantes en la Gestin de Identidades es la necesidad de gestionar usuarios, cuentas y polticas de acceso a un parque heterogneo de aplicaciones y servicios.
Logon reducido y Single Sign On Corporativo La necesidad de acceder a diferentes aplicaciones y servicios, normalmente con distintas credenciales y contraseas, conlleva grandes inconvenientes a los usuarios que se ven forzados a introducir sus distintas credenciales en cada uno de los sistemas/aplicacin a los que desean acceder, as como a mantener una lista de las mismas. Los mecanismos de SSO, ya sea para entornos WEB o de escritorio, mejoran la confortabilidad de los usuarios en el acceso a los diferentes sistemas y aplicaciones, debiendo recordar y usar una sola vez una nica credencial. Control de acceso Los sistemas de Gestin de Accesos, aplicaciones WEB, legacy o cualquier otro recurso, deben soportar y forzar el cumplimiento de las polticas y reglas que gobiernan el acceso a los recursos, tanto para los usuarios internos como para los externos. El sistema debe mantener, de forma consistente, la poltica de accesos de forma centralizada, evitando as la dispersin y la falta de control sobre las configuraciones. La poltica de accesos debe manetener un conjunto de reglas sobre quin tiene accesos a qu en base a su rol. Las consideraciones sobre la privacidad han de estar presentes. Auditora y Cumplimiento de Polticas El cumplimiento de las polticas de seguridad y regulaciones son siempre de obligado cumplimiento. La centralizacin sobre la gestin de los usuarios permite establecer los puntos de control ms adecuados para su seguimiento y auditabilidad. Se facilita el conocimiento sobre cambios de privilegios no autorizados, cuentas fantasma, contraseas dbiles, etc. La auditabilidad del sistema proporcionara toda la informacin necesaria para verificar el grado de cumplimiento y no conformidad sobre las normas, polticas o regulaciones procedentes, como ISO17799, Basilea II, PCI, Sabarnes Oxley y HIPAA. Usuarios privilegiados En todo el sistema GID, son de especial atencin los usuarios con privilegios especiales o Administradores de Sistemas que, en muchas ocasiones, son personal externo. Se hace necesario proteger y vigilar este tipo de accesos, al mismo tiempo que garantizar la identidad real de la persona que lo usa y su trazabilidad. Igual de importante es liberar a los Administradores de los sistemas de la tediosa gestin de las cuentas y contraseas que deben ofrecer a este tipo de usuarios (generacin de contrasea, custodia de la misma), proporcionando mecanismos de autoprovisin completamente auditados.
Valores y beneficios
- Reduccin de costes operacionales Reduccin de esfuerzo y tiempos de provisin y resolucin de incidencias Reduccin de errores e incremento de la productividad - Control de Riesgos Implantacin de polticas de seguridad Reduccin de impacto y probabilidad de incidentes motivados por suplantacin o abuso Cumplimiento legal Visibilidad centralizada de las autorizaciones e informacin de identidad y acceso - Mejora de la experiencia del usuario Una contrasea Autoservicio: Cambio de contrasea, peticiones de acceso nico punto de acceso - Ventaja competitiva Habilitador de relaciones de negocio
Federacin La Federacin extiende las capacidades de la Gestin de Identidades a diferentes dominios de seguridad, como podran ser los entornos B2B donde se podran aportar mecanismos de seguridad basados en la identidad. Los estndares de Servicios WEB de Seguridad, Liberty Alliance y otros, definen las especificaciones tcnicas y de negocio necesarios para habilitar la federacin. Adicionalmente, la federacin puede ser usada internamente para conseguir altos grados de interoperabilidad entre unidades de negocio descentralizadas y autnomas. Otra funcionalidad que aporta un sistema de Federacin es la obtencin de un SSO entre dominios de s e g u r i d a d independientes a los que un mismo usuario debe tener acceso.
Funcionalidad
Aprovisionamiento en sistemas y aplicaciones
Caractersticas
Componente fundamental para dar de alta, baja y modificaciones a usuarios Integracin con los sistemas nativos de seguridad Despliegue con o sin agentes en los sistemas
Beneficios
Automatizacin del trabajo de Administradores de Sistemas. Reduccin de los tiempos de aprovisionamiento de recursos a empleados, socios y clientes Homologacin de polticas de acceso a recursos Unificacin de repositorios de usuarios Facilidad para el usuario, reduciendo el nmero de identificadores y claves de acceso que necesita para trabajar Mejora la seguridad evitando que se compartan usuarios o se apunten las claves Reduccin de incidencias con el CAU relacionadas con olvidos de contraseas o reseteo de usuarios Facilidad para el usuario, porque slo se autentica una vez y obtiene acceso transparente a las aplicaciones y sistemas en que trabaja Mejora de la seguridad evitando que se compartan usuarios o se apunten las claves Reduccin de incidencias con el CAU relacionadas con olvidos de contraseas o reseteo de usuarios Reduccin del nmero de contraseas requeridas Menor coste por incidencias con el CAU en relacin con olvidos de contraseas o reseteo de usuarios Flexibilidad para combinar distintos mecanismos de autenticacin permitiendo adaptar el nivel de seguridad en funcin del tipo de acceso o activo Permite integrar en el sistema el DNIe (u otros certificados o tarjetas inteligentes) y la Incorporacin de Firma Digital Muy importante en los nuevos entornos SOAWeb Services Permite la combinacin de dominios distintos de gestin de identidades en caso de fusin de organizaciones Implementa los nodos de IdP (Identity Provider) y SP (Service Provider). Permite la generacin de los token SAML para autenticacin en otros entornos (Web Services Single Sing On)
Logon reducido
Single Sign On
Slo se suministra una vez la identificacin de usuario y contrasea, y se conecta de forma transparente a las aplicaciones
Sincronizacin de contraseas
Autenticacin fuerte
Federacin
Integracin de dominios distintos de gestin de identidades Integracin en entornos SOA - Web Services Soporte SAML, Liberty
Funcionalidad
Gestin de Peticiones - Autoservicio
Caractersticas
Workflow de Peticiones y Autorizaciones Delegacin de Autorizaciones Autoservicio de recursos autorizados Recuperacin automtica de contraseas
Beneficios
Permite implantar procesos de administracin distribuida, donde los que necesitan los recursos pueden solicitarlos y la autorizacin depende de los responsables de los activos. Permite flexibilizar la administracin mediante la delegacin de las autorizaciones y habilita el autoservicio de peticiones simples o repetitivas (como el reseteo de la cuenta para recuperar la contrasea)
Perfilado de usuarios
Descubrimiento e identificacin de roles tcnicos Ingeniera y gestin de roles Identificacin de colectores de recursos y separacin de responsabilidades
Simplifica la administracin y la operacin del da a da Permite mantener el nivel adecuado de seguridad Permite identificar las agrupaciones ms comunes de derechos, o asignar recursos por analoga con otros usuarios La ingeniera de roles es un proceso dinmico que permite la identificacin de usuarios colectores de derechos, usuarios que infringen la separacin de responsabilidades y tambin la identificacin de recursos utilizados (o no utilizados) La informacin del sistema de Gestin de Identidades dispone de gran cantidad de informacin sobre usuarios, recursos, departamentos, roles, etc., de utilidad para compartir con el fin de mantener organigramas actualizados, directorios de recursos (pginas blancas), geolocalizacin Permite la generacin automtica de informes de auditora sobre asignacin de recursos Permite la elaboracin de contrastes de cumplimiento con distintas normativas y polticas internas Permite la generacin de alertas en caso de incumplimientos, como la separacin de responsabilidades El Portal de Administrador permite la identificacin y autenticacin de cada administrador o usuario privilegiado, para evitar que actan como super-usuarios (root, Administrador, ...) annimos Permite la asignacin temporal de estos privilegios, lo que es esencial en los casos de subcontratacin de la administracin de sistemas Guarda registro de todas las asignaciones para anlisis forenses en situaciones de problemas o fraudes
Gestin de la organizacin
Auditora y cumplimiento
Registro de autorizaciones, quin, qu, cundo Auditora de acceso a recursos Contraste de cumplimiento de normativas y polticas Alertas sobre incumplimientos
Usuarios privilegiados
Control de usuarios privilegiados (root, admin., super-usuarios, DBA) Identificacin obligatoria de usuarios privilegiados Auditora de asignacin de privilegios
www.sia.es Avda. de Europa, 2 Alcor Plaza . Edificio B Parque Oeste Alcorcn 28922 Alcorcn Tel: +34 902 480 580 Fax: +34 913 077 980 Roger de Llria, n 50 08009 Barcelona Tel: +34 902 480 580 Fax: +34 93 467 58 30