Identidad

internacional de
Fischer
Gestió n de identidad
Proyecto módulo gestión de identidad

Especialización Seguridad de la
Información
Leidy Yohana Torres
Carlos Andrés Cruz Quiza
Javier Orlando Olaya Varón
Robert Manuel Pulido Castellanos

31/10/2022
Tabla de contenido
Glosario............................................................................................................................... 2
Introducción......................................................................................................................... 3
Mecanismos de identificación..............................................................................................4
Modelos de control de accesos...........................................................................................6
Definición de las políticas de control de acceso..................................................................9
Bibliografía........................................................................................................................ 14
Glosario

Gestión de identidad: La gestión de identidades y accesos, o IAM, es la disciplina de

seguridad que hace posible que las entidades correctas (personas o cosas) usen los
recursos correctos (aplicaciones o datos) cuando los necesitan, sin interferencias, usando
los dispositivos que quieran utilizar. IAM se compone de los sistemas y procesos que
permiten a los administradores de TI asignar una identidad digital única a cada entidad,
autenticarlos cuando inician sesión, autorizarlos para acceder a recursos específicos y
monitorear y administrar esas identidades a lo largo de su ciclo de vida.

Control de acceso: El control de acceso consiste en la verificación de si una entidad (una

persona, ordenador, etc…) solicitando acceso a un recurso tiene los derechos necesarios
para hacerlo. Un control de acceso ofrece la posibilidad de acceder a recursos físicos (por
ejemplo, a un edificio, a un local, a un país) o lógicos (por ejemplo, a un sistema operativo
o a una aplicación informática específica).

Roles: Un rol de seguridad representa un determinado nivel de autorización e incluye el

conjunto de acciones que los usuarios o grupos pueden realizar en un conjunto de tipos
de objetos.

FERPA: La Ley de privacidad y derechos educativos de la familia de 1974 es una ley

federal de los Estados Unidos que rige el acceso a la información y los registros
educativos por parte de entidades públicas como posibles empleadores, instituciones
educativas financiadas con fondos públicos y gobiernos extranjeros

IAM: Un sistema de administración de accesos e identidades (IAM, por sus siglas en

inglés) es un marco para los procesos de negocio que facilita la gestión de las identidades
electrónicas. El marco incluye la tecnología necesaria para apoyar la gestión de identidad.
 Introducción

La gestión de identidades representa para todas las organizaciones una actividad

extensa, debido a que la ejecución incorrecta de este proceso puede generar a la
organización afectación a la información en términos de integridad, confidencialidad y
disponibilidad. Como consecuencia de accesos no autorizados, usuarios con permisos no
permitidos y aplicación de cambios en los sistemas.

De lo anterior se puede identificar la importancia de gestionar correctamente el control de

identidad dentro de cualquier tipo de organización, en este caso el estudio de análisis de
gestión de identidad se efectuara al Colegio de Arte del Instituto de Maryland (MICA).
Donde se presentaron múltiples inconvenientes con la administración de usuarios y sus
solicitudes, por lo cual la organización decide identificar los factores críticos y se
implementa herramienta para gestionar los usuarios correctamente.
 Mecanismos de identificación

Con la herramienta de solución propia, MICA asignaba el usuario teniendo en cuenta la

inicial del primer nombre y apellido. Por ejemplo John Smith con usuario JSMITH
generaba conflicto con nombres que se ajusten a la combinación seleccionada, o en los
casos que el usuario era eliminado y se requería la creación de un nuevo usuario con la
misma información se restauraba con los permisos del usuario anterior.

En la denominación de cuentas como parte del proceso de aprovisionamiento de

usuarios, MICA ha tenido una política de larga data para permitir la entrada de usuarios
con respecto a sus propios nombres de cuenta. Por ejemplo, si alguien llamado Edward
fuera conocido como Ted, los nombres de sus cuentas reflejarían cómo se llamaba en
realidad. Sin embargo, para respaldar esta política cuando el nombre de alguien
cambiaba, varias personas requerían muchos procesos manuales. Los retrasos se
debieron a que MICA no tenía un buen sistema de notificación para saber cuándo cada
persona necesitaba tomar medidas.

Las cuentas de usuarios no contaban con un ID único por cada usuario y eso conllevaba a
que no tenía un proceso estándar para desaprovisionar cuentas de usuario y, por lo
general, no se notificaba a TI cuando un miembro del personal dejaba la institución y
permite ser reutilizada, lo que generaba 3500 cuentas huérfanas y no deshabilitaba todas
las cuentas de un usuario saliente.

Problemas identificados:

1. Restablecimiento de contraseñas. por qué el 90% de soporte en la mesa de ayuda

en las 3 primeras semanas fueron para presentar este tipo de apoyo, debido a que
no había un control en parámetros en la creación y actualización de las
contraseñas de los usuarios (estudiantes, padres de familia, docentes de planta,
contratistas y administrativos).
2. Acceso a red no era seguro y no tenía disponibilidad en la continuidad de servicio
e ingreso a la misma por parte de los usuarios.
3. Política de control de acceso. en este caso no cuenta con una política definida que
permita la parametrización de la información del usuario y que establezca
controles para conservar los principios de la seguridad de la información como la
integridad, confiabilidad y disponibilidad.
4. Riesgo de violaciones de FERPA (ley de Derechos Educacionales y Privacidad de
la Familia del 1974). La distribución de credenciales a nuevos usuarios era un
proceso de combinación de correspondencia propenso a errores. MICA enfrentó
un riesgo continuo de violaciones de FERPA si las cartas de credenciales se
perdían, se entregaban incorrectamente o se compartían con la persona
equivocada.
5. Proceso de Auditorias. MICA requirió una gran cantidad de tiempo durante las
auditorías financieras para responder preguntas sobre el acceso a TI.
Mejora propuesta

Con la adquisición del servicio de Identify as a service, los ID para los usuarios son
únicos y con vigencia de un año antes de ser eliminados, en caso que se requiera activar
antes del periodo estipulado, como recomendación se debe implementar una política clara
en donde se pueda identificar como se garantizará el control de acceso.
 Modelos de control de accesos

 Control de acceso: Role Base Access Control (RBAC)

 Situación del estudio: Restablecimientos de contraseña ineficientes y propensos a
errores. La mesa de ayuda requirió capacitación para realizar restablecimientos de
contraseña en múltiples sistemas. Los procesos que se desarrollaron eran
ineficientes y tenían tasas de error significativas, ya que el personal tenía que
iniciar sesión en varios sistemas para realizar una sola acción: un sistema
proporcionaba información para garantizar que estaban trabajando con las cuentas
correctas y luego administraban las cuentas con otro sistema.
 Justificación: El equipo de mesa de ayuda desde su rol administraba varios
sistemas para realizar soporte al usuario.
 Ventajas: El servicio de restablecimiento de contraseñas era centralizado y
asignado
 Desventajas: El equipo de mesa de ayuda ingresaba a varias sesiones para
ejecutar el proceso.

 Control de acceso: Access Control List (ACL)

 Situación del estudio: No se abordaron algunos requisitos. La solución no logró
administrar el acceso de los contratistas y necesitaba un programador que
escribiera el código para realizar las acciones requeridas.
 Justificación: Un usuario administrador asigna los permisos a contratistas, debido
a la política de seguridad en la identidad del sistema con la cuenta.
 Ventajas: Se controla por el usuario el acceso exclusivo al usuario definido, se
mitiga el riesgo de asignar el rol inadecuado.
 Desventajas: Proceso manual que genera demoras en tiempo y gestión del
recurso asignado.

 Control de acceso: MAC (Mandatory Access Control)

 Situación del estudio: El portal de identidad de Fischer permite a los usuarios
finales restablecer de forma segura sus propias contraseñas olvidadas y los
usuarios finales autorizados pueden solicitar/ aprobar el acceso a los recursos.
 Justificación: El usuario valida las opciones habilitadas y configura las requeridas o
inactiva las opciones que no desea utilizar, todo esto bajo la política de gestión de
identidad que tiene su rol.
 Ventajas: El usuario personaliza el acceso de acuerdo a su necesidad.
 Desventajas: El usuario puede omitir y/o no habilitar opciones útiles.

 Control de acceso: Attribute Based Access Control (ABAC)

 Situación del estudio: El portal de autoservicio proporcionó la contraseña
restableció las capacidades y permitió a los usuarios autorizados solicitar recursos
adicionales. MICA optó por no automatizar el aprovisionamiento de aplicaciones
 que tienen pocos usuarios o aplicaciones que rara vez se utilizan. Fischer realizó
la implementación y MICA probó la solución antes de ponerla en producción.
 Justificación: Los usuarios finales pueden gestionar accesos y contraseñas, esto
de acuerdo a la política que identifica los permisos del usuario.
 Ventajas: El usuario no requiere apoyo adicional y administra los recursos de
acuerdo a sus permisos.
 Desventajas: La política de acceso se puede aplicar incorrectamente generando
accesos no permitidos o negación del servicio.

 Control de acceso: Role Base Access Control (RBAC)

 Situación del estudio: Gestión de contraseñas Calidad de servicio mejorada. MICA
ha tenido una tasa de adopción de usuarios del 100 % con Fischer. Los usuarios
restablecen de forma segura sus propias contraseñas olvidadas en un par de
minutos en lugar de esperar a la mesa de ayuda.
 Justificación: El rol asignado a los usuarios cuentan con los privilegios para
gestionar el restablecimiento de contraseñas.
 Ventajas: Los usuarios no requieren efectuar solicitudes o radicar casos para
gestionar contraseñas, lo que les permite un acceso más ágil.
 Desventajas: Se puede asignar un rol errado permitiendo accesos y privilegios a
información confidencial.

 Control de acceso: Role Base Access Control (RBAC)

 Situación del estudio: “Tiempo de espera” reducido para los usuarios finales. El
aprovisionamiento automatizado de usuarios mejora aún más la calidad del
servicio al reducir los tiempos de espera para que los profesores, los estudiantes y
el personal reciban las cuentas y los privilegios requeridos.
 Justificación: Se asignan roles de acuerdo al perfil de los usuarios, de forma
automática y rápida.
 Ventajas: El usuario accede a los servicios oportunamente.
 Desventajas: Error en el procesamiento de la información para asignar el rol.

 Control de acceso: Discretionary Access Control (DAC)

 Situación del estudio: Los patrocinadores utilizan la interfaz de autoservicio para
solicitar acceso a los contratistas y especificar la fecha de terminación modificable
del contratista; además, las solicitudes deben ser aprobadas antes de su
cumplimiento.
 Justificación: Los patrocinadores tienen mediante la política tienen acceso a
asignar y definir usuarios en el sistema.
 Ventajas: El usuario patrocinador gestiona los usuarios que requiere en el sistema.
 Desventajas: Mitigación de controles, permitiendo que se ingresé un usuario no
permitido.
 Control de acceso: Role Based Access Control – RBAC
 Situación del estudio: Restablecimientos de contraseña ineficientes: La mesa de
ayuda requirió capacitación para realizar restablecimientos de contraseña en
múltiples sistemas. Los procesos que se desarrollaron eran ineficientes y tenían
tasas de error significativas, ya que el personal tenía que iniciar sesión en varios
sistemas para realizar una sola acción.
 Justificación: El equipo de mesa administraba realizar el restablecimiento de
contraseña en múltiples sistemas. Las políticas de control de acceso son
determinadas por el sistema, pero el acceso se evalúa en función de permisos de
clase o rol y no en permisos individuales. A los roles se asignan los privilegios y
los roles son asignados a los usuarios.
 Ventajas: El servicio de restablecimiento de contraseñas esta administrado en
punto central.
 Desventajas: Se vuelve más extenso el proceso de soporte por parte de mesa de
ayuda y desarrolladores y se pierde el análisis de requisitos de integridad y
disponibilidad.

 Control de acceso: MAC (Mandatory Access Control)

 Situación del estudio: Distribución de cuentas nuevas. MICA ya no distribuye
contraseñas de cuentas nuevas. En su lugar, los usuarios crean de forma segura
sus propias contraseñas iniciales que son más fáciles de recordar que las
contraseñas generadas.
 Justificación: El equipo de mesa de ayuda ya no tiene que crear las contraseñas
de los usuarios finales. Parte de una política de control de acceso que es
determinada por el sistema no por el usuario. Este tipo de control de acceso
clasifica a sujetos y objetos en niveles de seguridad. Los sujetos no pueden
redefinir políticas y para que un sujeto pueda acceder a un objeto es necesario
que pertenezca a una clase igual o superior. Este tipo de modelo se asemeja a un
esquema militar.
 Ventajas: El usuario quien es el dueño de la información puede crear su propia
contraseña de forma segura para el mismo.
 Desventajas: El equipo de mesa de ayuda no tendría dirigencia en la
parametrización de las contraseñas de los usuarios finales para tener una mejor
eficacia en soporte técnico cuando se requiera.
 Definición de las políticas de control de acceso

Introducción

En este documento se define la política de control de acceso para funcionarios,

contratistas o terceros del Colegio de Arte del Instituto de Maryland (MICA), el cual
indicara las pautas para acceder de forma correcta sin que se afecte la confidencialidad,
disponibilidad e integridad de la información.

Alcance

La política de control de acceso aplica para todos los colaboradores y terceros de MICA
que cuenten con accesos a la información y a los servicios de tecnología (Red, Servicios
asociados, sistemas de información, esta política esta alineada de acuerdo con el
estándar ISO/IEC 27001 y el sistema de control propuesto en la norma ISO/IEC 27002.
Los lineamientos bajo la ley de privacidad y derechos educativos de la familia de 1974 de
FERPA.

Objetivos

 Comprender la importancia de crear contraseñas y aprender a gestionarlas de

manera segura.

 Concientizar sobre los riesgos de seguridad de la información a los cuales está

expuesta MICA, por fallas en la Gestión de Identidad y Accesos.

 Sensibilizar a los usuarios respecto a su responsabilidad en el cumplimiento de las

políticas de gestión de acceso.

 Reforzar la divulgación de las políticas asociadas a la Gestión de Identidad y

Acceso.

 Sensibilizar sobre la importancia del rol de administrador en las plataformas y las

medidas establecidas para minimizar los riesgos.

 Restringir y limitar el acceso según la necesidad a los componentes del sistema y

a aquellos individuos cuyas tareas necesitan de ese acceso.

Controles

Se describen los siguientes controles de acuerdo con el nivel de complejidad:

Básico (B): El esfuerzo y los recursos necesarios para implantarlo es asumible. Se puede
aplicar a través del uso de funcionalidades sencillas, ya incorporadas en las aplicaciones
más comunes y se previenen ataques mediante la instalación de herramientas de
seguridad elementales.

Avanzado (A): El esfuerzo y los recursos necesarios para implantarlo son considerables.
Se necesitan programas que requieren configuraciones complejas, se pueden precisar
mecanismos de recuperación ante fallos.

Los controles que se deben tener para cumplir con el alcance:

Procesos (PRO): Aplica a la dirección o al personal de gestión.

Tecnología (TEC): Aplica al personal técnico especializado.

Personas (PER): Aplica a todo el personal.

Respuesta
Nivel Alcance Control SI / NO
Política de usuarios y grupos. Se definen los roles de
B PRO usuarios y de grupos en función del tipo de
información al que podrán acceder.
Asignación de permisos. Son asignados los permisos
necesarios para que cada usuario o grupo de usuarios
B PRO
solo puedan realizar las acciones oportunas sobre la
información a la que tienen acceso.

Creación/modificación/borrado de cuentas de usuario

B TEC con permisos. Define y aplica un procedimiento para
dar de alta/baja o modificar las cuentas de usuario.

Cuentas de administración. Se gestiona las cuentas de

B TEC administración de sistemas y aplicaciones teniendo en
cuenta su criticidad.

Mecanismos de autenticación. Se Determina e

A TEC implanta las técnicas de autenticación más apropiados
para permitir el acceso a la información de tu empresa.

Registro de eventos. Son establecidos los

mecanismos necesarios para registrar todos los
A TEC
eventos relevantes en el manejo de la información de
tu empresa.
Revisión de permisos. Se realiza revisión cada cierto
B TEC tiempo que los permisos concedidos a los usuarios
son los adecuados.
Revocación de permisos y eliminación de cuentas. Se
realiza la desactivación de permisos de acceso y son
B TEC
eliminadas las cuentas de usuario una vez finalizada la
relación contractual.
Marco Legal y Normativo

Ley de privacidad y derechos educativos de la familia de 1974 de FERPA.

Política

MICA se compromete a salvaguardar la información que se genera en la ejecución de

funciones empleadas por todos los usuarios que incluye a funcionarios, contratistas o
terceros que este autorizados a dar uso dentro del marco legal y normativo del SGSI.

Para dar cumplimiento al control de acceso a la información y poder operar y mejorar de

forma continua un Sistema de gestión de Seguridad de la Informacion, todos los
involucrados en el alcance deberán acatar los siguientes lineamientos

 Contraseñas y Usuarios

- Se deberá asignar un nombre de usuario para conceder el acceso a los

sistemas de información.
- Las contraseñas de acceso deberán cumplir con un mínimo de 8 caracteres y
la combinación de números, letras mayúsculas y minúsculas, en lo posible
utilizar mínimo un carácter especial.
- Todos los empleados deberán cambiar su contraseña de acceso a los
diferentes sistemas de información con una frecuencia mínima de 1 mes.
- Los sistemas de información deberán bloquear por 30 minutos al usuario luego
de 5 intentos fallidos de autenticación si se evidencia que la cuenta es
bloqueada más de 2 veces será bloqueada permanentemente y deberá escalar
el caso al área de Soporte tecnológico.
- las contraseñas no estén basadas en algún dato que otra persona pueda
adivinar u obtener fácilmente mediante información relacionada con la persona,
por ejemplo: nombres, número de cédula, números de teléfono, fecha de
nacimiento.
 Registro y cancelación del registro de usuarios

- Las cuentas de usuario del personal de MICA que se encuentre ausente

tendrán que realizar el bloqueo por el tiempo que esta permanezca fuera de la
institución.
- Los usuarios que se retiren de la institución y que sean reportados por el área
de talento humano será bloqueado permanentemente por un tiempo de 6
meses luego de este tiempo se procede a realizar eliminación de la cuenta de
usuario.

 Subministro de acceso a usuarios y Gestión de altas y bajas

- La Asignación de credenciales: usuarios (Login o UserID) y contraseñas (Clave

o Password) a los diferentes funcionarios, contratistas o terceros, así como su
desactivación de los sistemas se realizará de acuerdo con los procedimientos
 establecidos y de acuerdo este solicitada por los jefes de área, grupos de
talento humano.
- Las cuentas de usuario son de responsabilidad del funcionario, contratista o
tercero al que se le asigne. Cuenta es de uso personal e intransferible.
- Si es necesario la divulgación de credenciales asociadas, se debe realizar una
solicitud con aprobación del jefe de are o líder de proceso al grupo de soporte
tecnológico.

 Acceso privilegiado

- Todo acceso requerido a sistemas de información con permisos de uso

privilegiado debe ser autorizado por los jefes de área o líderes de proyectos
por un tiempo definido no mayor a 6 meses.
- Se debe revisar periódicamente y cada vez que se realicen cambios de
personal en los procesos o grupos de trabajo los derechos de acceso de los
usuarios a la Infraestructura Tecnológica.

 Informacion de autenticación secreta de usuarios

- Pedir a los usuarios que firmen una declaración para mantener confidencial la
información de autenticación secreta personal, y mantener la información de
autenticación secreta del grupo (es decir, compartida) únicamente dentro de
los miembros del grupo; esta declaración firmada se puede incluir en los
términos y condiciones del empleo.

 Dispositivos de almacenamiento externo

- El uso de almacenamiento externo esta permitido en MICA para los

funcionarios, contratistas o terceros, con el objetivo de facilitar compartir y
transportar la información.
- El acceso a unidades virtuales Online que no estén regulados por la compañía
está prohibido.

 Acceso a la red

- Los usuarios de MICA únicamente deben tener permiso de acceso directo a las
aplicaciones y bases de datos para cuyo uso están específicamente
autorizados, si se requiere autorización debe solicitar por medio de la
herramienta de gestión y estar autorizado por los jefes de área o líderes de
proyecto
- Todos los accesos de los usuarios remotos a sistemas y aplicaciones de
información de MICA deben se deben acceder por medio de autenticación,
este se encuentra monitoreado por el área de Soporte tecnológico
Responsables

 Soporte Tecnológico
Poner a disposición los recursos necesarios y garantizar el buen funcionamiento,
para el cumplimiento de los lineamientos descritos en la presente política.

 Seguridad de la información

Velar por el cumplimiento de la presente política para garantizar el adecuado

control de acceso lógico y físico.

 Propietarios de la información

Evaluar los riesgos a los cuales se expone la información con el objeto de:
- Clasificar la información
- Determinar los controles de acceso, autenticación y utilización a ser
implementados en cada caso.
- Aprobar y solicitar la asignación de privilegios a usuarios.
- Revisar periódicamente los procesos de acceso a la información.
-
 Funcionarios administrativos y docentes

Reportar cualquier irregularidad que se llegaré a presentar con cada una de

las bases de datos de MICA a Seguridad de la Informacion
Personales, abstenerse de compartir la información con terceros no autorizados,
dando así cumplimiento al deber de confidencialidad.

 Contratistas y practicantes usuarios de la información

No deberán acceder a los sistemas de información sin autorización, a excepción

que sea en cumplimiento de sus obligaciones deberá requerirlo de manera
inmediata con la aprobación de los lideres de procesos, jefes de Area, gerencia de
infraestructura o soporte tecnológico de MICA. Dar cumplimiento a esta política.

 Líderes de procesos o jefes de área

Autorizar el trabajo remoto del personal a su cargo, en los casos en que se

verifique que son adoptadas todas las medidas que correspondan en materia de
seguridad de la información, acatando las normas vigentes.

Así mismo autorizarán el acceso de los usuarios a su cargo a los servicios y

recursos de red, Internet, acceso al archivo físico, correo electrónico institucional y
les herramientas colaborativas para labores explícitas del cumplimiento de sus
funciones.
Modelo RBAC

USUARIO ROL
Admisiones
Funcionarios Tecnología
Administrativo
Estudiantes Estudiantes
Docentes Docentes

Matriz de Accesos

USUARIO ROL PERFIL ROL OPCIONES ROL

Login
Admisiones Administración de usuarios Clave
Cambio de Clave
Información General
Información de Usuarios
Configuración
Restauración de Usuarios
Tecnología Bitácoras
Login
Funcionarios
Administración de usuarios Clave
Cambio de Clave
Usuarios
Reportes Notas
Administrativ Calificaciones
o Login
Administración de usuarios Clave
Cambio de Clave
Login
Administración de usuarios Clave
Estudiantes Estudiantes Cambio de Clave
Plataforma Exámenes
Reportes Calificaciones
Login
Administración de usuarios Clave
Cambio de Clave
Docentes Docentes
Reportes Calificaciones
Exámenes
Plataforma
Resultados
Mecanismos y técnicas de autenticación y autorización

1. Contraseñas y Passphrase.

 Caso de estudio: El alto volumen de la mesa de ayuda provocó niveles de

servicio deficientes. Inicialmente, con su solución local, el 65-70 % de las
llamadas a la mesa de ayuda de MICA eran para restablecer contraseñas

 Problemas identificados: Los usuarios a veces escribieron contraseñas difíciles

de recordar en lugares no seguros. Muchos usuarios finales
continuaron usando la contraseña generada aleatoriamente por el sistema

 Cambios a realizar: El portal de identidad de Fischer permite a los

usuarios finales restablecer de forma segura sus propias contraseñas olvidadas y
los usuarios finales autorizados pueden solicitar/
aprobar el acceso a los recursos. Todas las actividades de administración de
contraseñas y aprovisionamiento en la solución se
registran con fines de auditoría e informes

2. Certificados Electrónicos:

 Caso de estudio: No se encuentra en el caso de estudio


 Problemas identificados: Falta de medidas de autenticación en envió de
información en medio digitales como correo electrónico.

 Cambios a realizar: Los certificados digitales garantizan su seguridad al estar
formados por una clave pública y una clave privada. La clave pública está
vinculada a la identidad de la persona física o empresa y es la que conoce todo el
mundo. En cambio, la clave privada solo debe estar en posesión del titular del
certificado. Para garantizar la seguridad digital es esencial la custodia de la clave
privada, ya que quién posee esta clave puede suplantar la identidad del titular.

3. Dispositivos para Autenticación:

 Caso de estudio: Reutilización de Cuentas Creadas Problemas de Seguridad y

Cumplimiento.

 Problemas identificados: Alrededor de una cuarta parte del personal y los

estudiantes que partieron regresaron a la universidad meses después y esperaban
usar las mismas cuentas, pero eso a menudo no era posible: cuando se eliminaba
una cuenta, a veces se reutilizaba para otra persona,
 Cambios a realizar: El portal de identidad de Fischer permite a los usuarios
finales restablecer de forma segura sus propias contraseñas olvidadas y los
usuarios finales autorizados pueden solicitar/aprobar el acceso a los recursos.
Todas las actividades de administración de contraseñas

4. Biométricos:

 Caso de estudio: No se encuentra en el caso de estudio

 Problemas identificados: acceso sin control a los datos personales referidos a

las características físicas, fisiológicas o conductuales de una persona que
posibiliten o aseguren su identificación única.

 Cambios a realizar: El dato biométrico también gira en torno a garantías en

cuestiones de seguridad. El segundo pilar para un efectivo sistema de protección
de datos personales es la seguridad de esos datos biométricos, es decir, la
implementación de medidas para garantizar y velar por la integridad,
confidencialidad y disponibilidad de los datos personales.

5. Single Sign-On (SSO):

 Caso de estudio: Reutilización de Cuentas Creadas Problemas de Seguridad y

Cumplimiento.

 Problemas identificados: Los estudiantes que partieron regresaron a la

universidad meses después y esperaban usar las mismas cuentas, pero eso a
menudo no era posible: cuando se eliminaba una cuenta, a veces se reutilizaba
para otra persona,

 Cambios a realizar: Este sistema de autenticación mejora la seguridad de la red y

de las aplicaciones. Single Sign On puede identificar inequívocamente a un
usuario por lo que cumple con normas más exigentes respecto a la seguridad.
 Bibliografía

 Documento: Fischer_CampusTechnologyWhitepaper_IdentityManagement
 Material escenarios.
 https://www.ibm.com/co-es/topics/identity-access-management
 https://www.tangoid.com.ar/control-de-acceso-definicion
 https://www.computerweekly.com/es/definicion/IAM-o-Sistema-de-gestion-de-
accesos-e-identidades
 https://en.wikipedia.org/wiki/Family_Educational_Rights_and_Privacy_Act
 https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/control-de-
acceso.pdf
 https://sig.mineducacion.gov.co/lib/download.php?
nivel1=a054VmZRbHVsejE2bHJsTHlMUUlEY3pIMDhCR0lBTkpFRDE5TmJWSFB
aYnR1SmIzcGJ3MFpnOW9OUXBnMUR0bzBWZ0FqdzM5SGpnbk1RSVJxdCtKW
Hc9PQ==&nivel2=SkhMMlhGVk1GZ1E3SGY4R09sR25JSDNRU0dOQkR6a3d5V
DRPWVNER3MvMD0=