sia

security

Gestin Avanzada de Identidades

IRENE - Enterprise Identity Management
Dada la creciente relevancia de la IT, la Gestin de Identidades es el catalizador clave necesario que ms claramente cumple con los objetivos de contencin de costes, control de riesgos, cumplimiento legal, eficiencia operacional y calidad de servicio para los usuarios. El Grupo SIA cuenta, desde el ao 2000, con ms de 40 proyectos de xito, en materia de Gestin de Identidades, implantados en las organizaciones ms representativas de nuestro pas. En cada uno de ellos, se ha aportado el conocimiento que otorga esta nica experiencia, relevando as algunas de las conclusiones y mejores prcticas para optimizar su desarrollo evitando la repeticin de errores. Igualmente, hay que facilitar un eficiente sistema de altas de nuevos empleados, clientes o partners. Es importante la rpida suspensin en el acceso a los sistemas de aquellos usuarios que han finalizado su relacin profesional con la compaa. Gestin de Contraseas La sincronizacin de contraseas evita los inconvenientes que sufren los usuarios que deben acceder a diferentes sistemas con mltiples cuentas y contraseas. De esta manera, los usuarios nicamente deben de cambiar su contrasea en uno de los sistemas. Un sistema de auto-reseteo de la contrasea evita, adems, la gran cantidad de llamadas que se reciben al help-desk de forma habitual, as como los tiempos de espera del usuario afectado. Gestin de Roles Un buen sistema de gestin de roles est considerado actualmente como un componente clave en los sistemas de Gestin de Identidades. Permite, de una forma muy efectiva, la creacin y asignacin de grupos de privilegios que deben corresponder con la estructura organizativa, puesto de trabajo, proceso de negocio, etc. Ya existen de forma implcita roles o grupos en nuestros Sistemas de Informacin que resultan alterados cada vez que se solicitan nuevos accesos, o la modificacin de los existentes. El conocimiento, identificacin y correlacin de estos roles (implcitos o explcitos) aporta una valiossima informacin para una correcta Gestin de Identidades, Anlisis de Riesgos y Cumplimiento de Normativas y Auditoras. Gestin de Peticiones, Administracin Delegada y Autoservicio (Workflow) Con una administracin delegada, las compaas pueden repartir la carga de trabajo en la gestin del usuario a los correspondientes responsables (por departamento, aplicacin, administracin delegada, localizacin geogrfica, o cualquier otro criterio). En todos los casos se debe garantizar el control de los derechos sobre los administradores delegados para visualizar, actualizar o borrar nicamente los datos sobre los que es responsable. La implementacin de un proceso de Workflow, permite establecer y automatizar un flujo de aprobaciones y acciones encadenadas acorde a la poltica y mtodo de trabajo de la compaa. Autenticacin y PKI El uso de Usuario/Contrasea es lo ms comn y extendido, pero existen otras opciones que fortalecen los mecanismos de autentificacin, proporcionando un mayor grado de seguridad (PINs, tokens, etc.). El uso de otro mecanismo, como el certificado digital, facilita y habilita la prestacin de otros servicios de seguridad como la firma digital, no repudio, cifrado, etc.

Gestin de Identidades
L o s s e r v i c i o s d e G I D i n c l u ye n l a automatizacin de los procesos de aprovisionamiento de cuentas, control de accesos y Single Sign On para usuarios. Pero, adems, deben de incluir, entre otros, componentes diferenciadores como la trazabilidad y herramientas de auditora para verificar el cumplimiento de polticas y normativas, la gestin de usuarios especiales (root, DBAdmin, Administrador), las pginas blancas de empresa y las tarjetas inteligentes. Los sntomas de una deficiente Gestin de Identidades son claros: tiempo perdido y burocracia hasta que se da acceso a los usuarios, gran cantidad de contraseas sin modificar, privilegios excesivos que se acumulan y no caducan, accesos que no se autorizan por la persona adecuada, cuentas fantasma de las que se desconoce el propietario y no se atreven a borrar, enormes dificultades para auditar los accesos de un usuario y determinar quin lo autoriz, etc. En paralelo, es importante dar a conocer y trasladar el valor que aporta la Gestin de Identidades a toda la organizacin, tanto para arrancar la iniciativa como para llevarla a buen puerto, justificando as la inversin y el cambio. Aprovisionamiento de Cuentas y Recursos Uno de los aspectos ms importantes en la Gestin de Identidades es la necesidad de gestionar usuarios, cuentas y polticas de acceso a un parque heterogneo de aplicaciones y servicios.

Logon reducido y Single Sign On Corporativo La necesidad de acceder a diferentes aplicaciones y servicios, normalmente con distintas credenciales y contraseas, conlleva grandes inconvenientes a los usuarios que se ven forzados a introducir sus distintas credenciales en cada uno de los sistemas/aplicacin a los que desean acceder, as como a mantener una lista de las mismas. Los mecanismos de SSO, ya sea para entornos WEB o de escritorio, mejoran la confortabilidad de los usuarios en el acceso a los diferentes sistemas y aplicaciones, debiendo recordar y usar una sola vez una nica credencial. Control de acceso Los sistemas de Gestin de Accesos, aplicaciones WEB, legacy o cualquier otro recurso, deben soportar y forzar el cumplimiento de las polticas y reglas que gobiernan el acceso a los recursos, tanto para los usuarios internos como para los externos. El sistema debe mantener, de forma consistente, la poltica de accesos de forma centralizada, evitando as la dispersin y la falta de control sobre las configuraciones. La poltica de accesos debe manetener un conjunto de reglas sobre quin tiene accesos a qu en base a su rol. Las consideraciones sobre la privacidad han de estar presentes. Auditora y Cumplimiento de Polticas El cumplimiento de las polticas de seguridad y regulaciones son siempre de obligado cumplimiento. La centralizacin sobre la gestin de los usuarios permite establecer los puntos de control ms adecuados para su seguimiento y auditabilidad. Se facilita el conocimiento sobre cambios de privilegios no autorizados, cuentas fantasma, contraseas dbiles, etc. La auditabilidad del sistema proporcionara toda la informacin necesaria para verificar el grado de cumplimiento y no conformidad sobre las normas, polticas o regulaciones procedentes, como ISO17799, Basilea II, PCI, Sabarnes Oxley y HIPAA. Usuarios privilegiados En todo el sistema GID, son de especial atencin los usuarios con privilegios especiales o Administradores de Sistemas que, en muchas ocasiones, son personal externo. Se hace necesario proteger y vigilar este tipo de accesos, al mismo tiempo que garantizar la identidad real de la persona que lo usa y su trazabilidad. Igual de importante es liberar a los Administradores de los sistemas de la tediosa gestin de las cuentas y contraseas que deben ofrecer a este tipo de usuarios (generacin de contrasea, custodia de la misma), proporcionando mecanismos de autoprovisin completamente auditados.

Valores y beneficios
- Reduccin de costes operacionales Reduccin de esfuerzo y tiempos de provisin y resolucin de incidencias Reduccin de errores e incremento de la productividad - Control de Riesgos Implantacin de polticas de seguridad Reduccin de impacto y probabilidad de incidentes motivados por suplantacin o abuso Cumplimiento legal Visibilidad centralizada de las autorizaciones e informacin de identidad y acceso - Mejora de la experiencia del usuario Una contrasea Autoservicio: Cambio de contrasea, peticiones de acceso nico punto de acceso - Ventaja competitiva Habilitador de relaciones de negocio

Federacin La Federacin extiende las capacidades de la Gestin de Identidades a diferentes dominios de seguridad, como podran ser los entornos B2B donde se podran aportar mecanismos de seguridad basados en la identidad. Los estndares de Servicios WEB de Seguridad, Liberty Alliance y otros, definen las especificaciones tcnicas y de negocio necesarios para habilitar la federacin. Adicionalmente, la federacin puede ser usada internamente para conseguir altos grados de interoperabilidad entre unidades de negocio descentralizadas y autnomas. Otra funcionalidad que aporta un sistema de Federacin es la obtencin de un SSO entre dominios de s e g u r i d a d independientes a los que un mismo usuario debe tener acceso.

Consultora, Integracin, Servicio

Es de gran importancia contar con el apoyo de un proveedor experimentado y comprometido, que permita abordar este tipo de proyectos por mdulos (consolidacin, single sign on, aprovisionamiento, autenticacin fuerte, ...) y que adems ofrezca a la organizacin beneficios a corto y medio plazo sin perder la visin y estrategia dirigida al logro de objetivos a largo plazo.

Funcionalidad
Aprovisionamiento en sistemas y aplicaciones

Caractersticas
Componente fundamental para dar de alta, baja y modificaciones a usuarios Integracin con los sistemas nativos de seguridad Despliegue con o sin agentes en los sistemas

Beneficios
Automatizacin del trabajo de Administradores de Sistemas. Reduccin de los tiempos de aprovisionamiento de recursos a empleados, socios y clientes Homologacin de polticas de acceso a recursos Unificacin de repositorios de usuarios Facilidad para el usuario, reduciendo el nmero de identificadores y claves de acceso que necesita para trabajar Mejora la seguridad evitando que se compartan usuarios o se apunten las claves Reduccin de incidencias con el CAU relacionadas con olvidos de contraseas o reseteo de usuarios Facilidad para el usuario, porque slo se autentica una vez y obtiene acceso transparente a las aplicaciones y sistemas en que trabaja Mejora de la seguridad evitando que se compartan usuarios o se apunten las claves Reduccin de incidencias con el CAU relacionadas con olvidos de contraseas o reseteo de usuarios Reduccin del nmero de contraseas requeridas Menor coste por incidencias con el CAU en relacin con olvidos de contraseas o reseteo de usuarios Flexibilidad para combinar distintos mecanismos de autenticacin permitiendo adaptar el nivel de seguridad en funcin del tipo de acceso o activo Permite integrar en el sistema el DNIe (u otros certificados o tarjetas inteligentes) y la Incorporacin de Firma Digital Muy importante en los nuevos entornos SOAWeb Services Permite la combinacin de dominios distintos de gestin de identidades en caso de fusin de organizaciones Implementa los nodos de IdP (Identity Provider) y SP (Service Provider). Permite la generacin de los token SAML para autenticacin en otros entornos (Web Services Single Sing On)

Logon reducido

Utilizacin del mismo identificador de usuario y contrasea en los distintos entornos

Single Sign On

Slo se suministra una vez la identificacin de usuario y contrasea, y se conecta de forma transparente a las aplicaciones

Sincronizacin de contraseas

Cambio automtico de las contraseas en las plataformas sincronizadas

Autenticacin fuerte

Combinacin de mtodos de autenticacin Id usuario/contrasea Certificados digitales Tarjetas inteligentes Biomtricos

Federacin

Integracin de dominios distintos de gestin de identidades Integracin en entornos SOA - Web Services Soporte SAML, Liberty

Funcionalidad
Gestin de Peticiones - Autoservicio

Caractersticas
Workflow de Peticiones y Autorizaciones Delegacin de Autorizaciones Autoservicio de recursos autorizados Recuperacin automtica de contraseas

Beneficios
Permite implantar procesos de administracin distribuida, donde los que necesitan los recursos pueden solicitarlos y la autorizacin depende de los responsables de los activos. Permite flexibilizar la administracin mediante la delegacin de las autorizaciones y habilita el autoservicio de peticiones simples o repetitivas (como el reseteo de la cuenta para recuperar la contrasea)

Perfilado de usuarios

Descubrimiento e identificacin de roles tcnicos Ingeniera y gestin de roles Identificacin de colectores de recursos y separacin de responsabilidades

Simplifica la administracin y la operacin del da a da Permite mantener el nivel adecuado de seguridad Permite identificar las agrupaciones ms comunes de derechos, o asignar recursos por analoga con otros usuarios La ingeniera de roles es un proceso dinmico que permite la identificacin de usuarios colectores de derechos, usuarios que infringen la separacin de responsabilidades y tambin la identificacin de recursos utilizados (o no utilizados) La informacin del sistema de Gestin de Identidades dispone de gran cantidad de informacin sobre usuarios, recursos, departamentos, roles, etc., de utilidad para compartir con el fin de mantener organigramas actualizados, directorios de recursos (pginas blancas), geolocalizacin Permite la generacin automtica de informes de auditora sobre asignacin de recursos Permite la elaboracin de contrastes de cumplimiento con distintas normativas y polticas internas Permite la generacin de alertas en caso de incumplimientos, como la separacin de responsabilidades El Portal de Administrador permite la identificacin y autenticacin de cada administrador o usuario privilegiado, para evitar que actan como super-usuarios (root, Administrador, ...) annimos Permite la asignacin temporal de estos privilegios, lo que es esencial en los casos de subcontratacin de la administracin de sistemas Guarda registro de todas las asignaciones para anlisis forenses en situaciones de problemas o fraudes

Gestin de la organizacin

Uso social de usuarios, recursos y organizacin Geolocalozacin Pginas Blancas

Auditora y cumplimiento

Registro de autorizaciones, quin, qu, cundo Auditora de acceso a recursos Contraste de cumplimiento de normativas y polticas Alertas sobre incumplimientos

Usuarios privilegiados

Control de usuarios privilegiados (root, admin., super-usuarios, DBA) Identificacin obligatoria de usuarios privilegiados Auditora de asignacin de privilegios

Otras soluciones de seguridad

SIA, como proveedor global de Seguridad, consciente de la importancia y trascendencia que una adecuada Gestin de Identidades tiene para sus clientes, dispone de una serie de soluciones relacionadas que la complementan y facilitan: Consultora de perfilado de usuarios Elaboracin de Polticas Servicios Gestionados de Administracin de Usuarios Accesos Remotos

www.sia.es Avda. de Europa, 2 Alcor Plaza . Edificio B Parque Oeste Alcorcn 28922 Alcorcn Tel: +34 902 480 580 Fax: +34 913 077 980 Roger de Llria, n 50 08009 Barcelona Tel: +34 902 480 580 Fax: +34 93 467 58 30