Machine Translated by Google

Motivación empresarial y técnica

mike pequeño
asociados de informática,
Parque Ditton, Datchet,
SL3 9LL
Mike es director de estrategia
de eTrust en Computer
Associates International, Inc.
(CALIFORNIA). En este
puesto, es responsable de
definir y comunicar la estrategia
técnica para la línea de
productos eTrust de CA en Europa.
Mike desarrolló la estrategia de
gestión de acceso e
identidad de CA y, antes
de ocupar su puesto
actual, fue
responsable de su
implementación. Mike se unió
a CA en 1995 procedente
de ICL, donde fue líder y
arquitecto de una serie
de proyectos de desarrollo de
software que iban
desde software de
sistemas hasta inteligencia
artificial. Mike es ingeniero
colegiado, miembro de la
para la gestión de identidades.
1. Introducción Debido a las control; y aprovisionamiento. El panorama tecnológico
también está evolucionando, con la llegada de servicios
preocupaciones de seguridad posteriores al 11 de
web destinados a permitir
septiembre, la identidad se ha convertido en un tema
interoperabilidad entre sistemas y servicios distribuidos
candente. En enero de este año, el gobierno de Estados
creados e implementados por diferentes proveedores u
Unidos introdujo el requisito de que ciertas
organizaciones. ¿Cómo impactarán estas nuevas
categorías de visitantes a Estados Unidos se
tecnologías en este problema?
sometan a que se les tomen las huellas digitales y se les tomen fotografías al ingresar.
Esto es indicativo de la importancia de la identidad
para ayudar a gestionar el riesgo y brindar protección 2. ¿Qué es la identidad?
contra el crimen. ¿Pero qué tan efectivo será esto? Saber con quién está tratando es fundamental para la
forma en que hacemos negocios hoy. Ser capaz de
reconocer a otras personas es algo que, como seres
Las organizaciones están evolucionando para convertirse
humanos, damos por sentado. El beneficio evolutivo de
más accesible para clientes, socios, vendedores,
poder distinguir a la familia de los forasteros y a los amigos
proveedores y empleados. Sin embargo, los controles,
de los enemigos es obvio; de ahí que el cerebro humano
donde lo que puedes hacer depende de quién eres, son
sea muy hábil para identificar a las personas. Sin
fundamentales para gestionar el riesgo. El título de
embargo, reconocer quién accede a un sistema de
'Gestión de identidad' se ha desarrollado con el tiempo para
información no es nada fácil. Incluso puede
describir los procesos y tecnologías involucrados en la
resultar complicado estar seguro de que es una persona y
implementación de estos controles. De hecho, 'Gestión
no otra máquina la que realiza el acceso.
de identidad y acceso' es un título más apropiado ya que
es esencial controlar el acceso basándose en la gestión

Sociedad Británica de de la identidad.

Computación y miembro de la Institución de Ingenieros Electrónicos.
Dado que los sistemas de información no
estaban estructurados originalmente para gestionar el
acceso de esta amplia gama de usuarios diferentes,
muchas organizaciones han adoptado un enfoque
poco sistemático para la gestión de
identidades y accesos. Este enfoque fragmentado ha dado
lugar a costes superiores a los necesarios y, al
mismo tiempo, a una mala aplicación de los controles.
La creciente cantidad de datos personales o sensibles
contenidos en los sistemas de información ha llevado a los
gobiernos y organismos reguladores a responder con
directivas relacionadas con la privacidad y
confidencialidad de los datos. Por eso las
organizaciones se encuentran atrapadas entre el control
de costos y el cumplimiento normativo. ¿Cómo se
puede resolver este conflicto?
Varias tecnologías son relevantes para
gestión de identidad y acceso. Estos incluyen:
tecnologías de autenticación sólidas; directorio de Servicios;
sincronización de contraseñas; inicio
de sesión único; acceso web
Para hacer frente a este problema, las personas
Se les asignan credenciales que pueden ser
procesadas por los sistemas de información y así
brindarles formas de demostrar quiénes son. Este proceso
de demostrar la identidad se llama autenticación. Hay tres
básicos
enfoques basados en: 'lo que sabes', 'lo que tienes' y
'lo que eres'.
Un número de identificación personal o PIN
es un ejemplo de "lo que sabes", similar a un nombre de
usuario y contraseña. Una tarjeta de crédito, una tarjeta
inteligente, un permiso de conducir o un
pasaporte son ejemplos de "lo que tienes".
Los datos biométricos, como las huellas dactilares, las
huellas de las palmas, la geometría de las manos, los
rasgos faciales y las características del ojo, como el iris, son
ejemplos de "lo que eres". En muchos casos, la
autenticación de la identidad se logra mediante una
combinación de estos factores, como una tarjeta
y PIN. Esto se conoce como multifactor.
autenticación.
Sin embargo, demostrar la identidad mediante
credenciales conduce al problema de la identidad.

6 1363­4127/04/© 2004, Elsevier Ltd.

Machine Translated by Google

Mike Small Business y la motivación técnica para la gestión de identidades

robo. Las credenciales pueden perderse y ser robadas, cartas credenciales. Fue el acceso insuficiente

y de hecho lo hacen. Los nombres de usuario, las controles que les permitieron abordar el

contraseñas y los PIN se anotan y las tarjetas se aviones con armas y para acceder a la cabina del piloto.
pierden y se utilizan de forma indebida. Las
credenciales pueden interceptarse durante la
Los sistemas de información generalmente proporcionan
transmisión y el almacenamiento o mediante
instalaciones de control de acceso y auditoría para
ingeniería social. Los recientes ataques de
satisfacer estas necesidades. Lamentablemente,
'phishing' son un ejemplo: en ellos los piratas
estas funciones no son consistentes en toda la gama de
informáticos envían correos electrónicos que
plataformas y aplicaciones de uso común. La
supuestamente provienen de un banco pidiendo
información que una persona puede ver, las tareas que
al destinatario que se conecte a un sitio web, que
puede realizar, los momentos en que puede realizar
aparentemente pertenece al banco, donde se le pide que confirme sus credenciales de identidad.
estas tareas y desde qué ubicación suelen estar
Por lo tanto, es necesario tomar medidas para protegerse
relacionados con el trabajo (o función) que desempeña
contra estas contingencias.
la persona.
Esta forma de identidad es tan confiable Por lo tanto, tiene sentido que los controles de

como el proceso que asigna las credenciales. Si las
credenciales sólo se van a utilizar dentro de una
organización, puede ser suficiente con que se
emitan internamente, por ejemplo, en función de que una
persona esté en nómina. Sin embargo, si las
credenciales van a utilizarse más allá de los límites
organizacionales, puede ser necesario un enfoque más
sólido. Un enfoque es que las organizaciones
exijan que un tercero de confianza emita las credenciales,
como ocurre con un pasaporte o un permiso de
conducir. El lado negativo es que esto es caro y otro
enfoque, que está ganando adeptos, es que las
organizaciones acepten la identidad electrónica
de las personas tal como lo establecen los
sistemas de información de sus socios.
Cuando se aceptan credenciales externas también
surgen cuestiones legales, por ejemplo, ¿dónde
recaerá la responsabilidad si una identidad se ha
utilizado de manera fraudulenta? En la práctica, estas
cuestiones legales pueden resultar más costosas de
resolver que las tecnológicas.
3. ¿Qué puedo hacer?
Establecer la identidad es importante, pero no puede
estar solo; además, es necesario poder controlar lo que
identifican los
a la persona se le permite hacer y llevar un registro de lo
que realmente ha hecho. Como ejemplo de
esto, todos los perpetradores de los ataques del 11
de septiembre tenían una identidad válida.
acceso se especifiquen y asignen de forma
relacionada. Reconociendo esto, para ayudar a evaluar
y comparar los diferentes enfoques, el Instituto Nacional
de Estándares y Tecnología (NIST) de EE. UU. ha
desarrollado un estándar para el control de acceso
basado en roles [1].
Cuando la identidad se ha determinado dentro
del sistema que se está asegurando, los controles de
acceso también se pueden implementar internamente.
Este es generalmente el caso de los sistemas
operativos. Sin embargo, si la identidad se ha
establecido externamente, se necesita una forma de
poder intercambiar de forma segura
información de seguridad, incluidos los derechos de
acceso. La Organización para el Avance de los
Estándares de Información Estructurada (OASIS) ha
desarrollado SAML (Security Assertion Markup
Language) para proporcionar esta capacidad
en un entorno de servicios web [2].
4. ¿Por qué es necesario gestionar
las identidades?
Los impulsores comerciales clave que hacen que la
gestión de identidades sea importante son la
disciplina financiera, el riesgo operativo y el cumplimiento
de los requisitos legales y reglamentarios.
4.1. Disciplina financiera El entorno
empresarial competitivo hace que la disciplina
financiera sea una prioridad para

Informe Técnico de Seguridad de la Información. vol. 9, n° 1 7

Machine Translated by Google
Gestión de identidad
organizaciones. La disciplina financiera no se trata
sólo de ahorrar costos sino también de hacer las cosas
de manera más inteligente. Las organizaciones que
logren alcanzar la disciplina financiera serán
aquellas que sobrevivan y crezcan proporcionando
sus productos y servicios de manera más eficiente y
efectiva que sus competidores.
En relación con la gestión de identidad, este
Significa que las organizaciones saben quiénes son
sus clientes, qué quieren y les facilitan la obtención de
los productos y servicios que desean de ellos.
Al hacer negocios en Internet, el número de clientes
puede ser tan grande que los procesos manuales de
administración de seguridad no pueden proporcionar
el servicio requerido a un costo realista.
Mediante la automatización, por ejemplo mediante el
autorregistro de clientes, es posible descargar
los costes a las unidades de negocio o a los clientes.
El costo de conseguir nuevos clientes es mayor que el
de retener a los existentes. Por eso, las tecnologías
que reconocen a los individuos y sus preferencias son
importantes, ya que facilitan a los clientes hacer negocios
con ellos.
su organización en lugar de con sus competidores.
La disciplina financiera también significa gestionar
operaciones de manera más efectiva, haciendo
que los empleados sean más eficientes y
reduciendo los gastos administrativos. En una
organización típica, los problemas de bloqueo de
contraseñas y cuentas pueden representar una gran
proporción (a menudo más del 50%) de la carga de la
mesa de ayuda. La necesidad de iniciar sesión
individualmente en varias aplicaciones es una
pérdida de tiempo. Los costos y demoras que implica
brindar acceso a nuevos empleados pueden ser un
problema importante en industrias con alta rotación
potencialmente superar esta dificultad, pero muchas
de personal (los centros de llamadas y el comercio minorista son buenos ejemplos).
organizaciones no pueden permitirse los cambios
4.2. Riesgo operativo Las
organizaciones sobreviven frente a muchos riesgos,
incluidos el riesgo de mercado y el riesgo operativo. El
riesgo de mercado incluye, por ejemplo, invertir en
productos que no cumplen con los
8 Informe Técnico de Seguridad de la Información. vol. 9, n° 1
necesidades de los clientes o donde
Los competidores ofrecen productos mejores o
más baratos. El riesgo operativo cubre aspectos
como que los procesos sean vulnerables al robo, fraude,
interrupción o mala gestión. Mejor gestión de la forma en
que se identifican a los empleados, socios
y clientes y se controla y controla su acceso.
auditados pueden mitigar algunos de estos
riesgos operativos.
Aunque los ataques de hackers y virus son
Bien publicitado, el insider sigue siendo la mayor
amenaza para una organización en términos de potencial
de causar pérdidas financieras. Una de las principales
razones de esto es que la información privilegiada
entiende los sistemas de la organización y, por lo tanto,
es capaz de detectar y explotar cualquier debilidad.
Otra es que tienen acceso físico a los sistemas y
esto suele estar mal gestionado. Ha habido muchos
incidentes reportados por personas internas, un
ejemplo infame es el de Geoffrey Osowski y Wilson
Tang, ex contables de Cisco Systems Inc, quienes
en 2001 fueron condenados por estafar a la empresa
por 7,8 millones de dólares utilizando los sistemas
informáticos de la empresa para otorgarse
fraudulentamente opciones sobre acciones [3].
Para reducir el riesgo de que las credenciales
de identidad sean robadas y utilizadas por personas
distintas a su legítimo propietario, muchas
organizaciones tienen políticas de seguridad que
exigen el uso de contraseñas que se cambian con
frecuencia, por ejemplo cada 30 días, y que siguen
reglas complejas.
Estas contraseñas son difíciles de memorizar y, dado
que los usuarios pueden necesitar acceder a varias
aplicaciones, esto a su vez lleva a que los usuarios
las escriban, lo que niega todo el punto. Las
tecnologías de autenticación sólidas pueden
necesarios en sus aplicaciones para lograrlo.
Los derechos de acceso normalmente los establece la seguridad.
política según el rol del individuo. Sin embargo, a
medida que los individuos avanzan
Machine Translated by Google
Mike Small Business y la motivación técnica para la gestión de identidades
En la organización suele ocurrir que se añaden nuevos
derechos. Lamentablemente, los derechos existentes
que ya no son necesarios no siempre se retiran con
prontitud. Esto suele deberse a que es difícil ver qué
derechos tiene realmente un individuo y cómo se
relacionan con la política de seguridad. Por lo tanto, el
personal administrativo se muestra reacio a eliminar
derechos para evitar tomar medidas que podrían
incapacitar a un individuo para realizar su trabajo.
Este aumento de los derechos de acceso aumenta el riesgo
operativo.
Deshabilitar rápidamente todos los derechos de acceso de
Los usuarios que han abandonado la organización
es otro tema crítico. A menudo las organizaciones no
pueden conciliar los derechos de acceso con las
personas. Esto dificulta garantizar que cuando una persona
abandona la organización se le eliminen sus derechos de
acceso. Estos derechos residuales plantean un riesgo
claro.
4.3. Cumplimiento normativo Otro aspecto se
refiere al cumplimiento de la normativa y la ley. En algunos
sectores existe actualmente regulación relativa a la
seguridad de la información y de los sistemas de
información. Esto incluye, por ejemplo, la industria
bancaria (Basilea II) y la Ley Graham Leach Billey
(GBLA), y la Ley de Responsabilidad y Portabilidad del
Seguro Médico (HIPAA) en EE.UU.
En el caso de Basilea II, esto proporciona
una relación entre el riesgo (incluidos los
riesgos operativos) evaluado para un banco y la cantidad de
capital de trabajo que debe reservarse para cubrir ese
riesgo. Por lo tanto, reducir el riesgo evaluado libera
capital y, por lo tanto, Basilea II proporciona un
incentivo para que los bancos evalúen y
reducir el riesgo.
En el caso de HIPAA, la información de salud
Los proveedores están obligados por ley a garantizar que
la información del paciente se mantenga
confidencial. Dado que gran parte de la información
del paciente se guarda electrónicamente, existe una clara
necesidad de autenticar y controlar quién
es capaz de acceder a los datos.
Informe Técnico de Seguridad de la Información. vol. 9, n° 1
Más de 45 países cuentan con sistemas integrales
leyes nacionales de protección de datos (las
excepciones notables son China y EE. UU.). En
Europa, la Directiva de la UE 95/46/EC proporciona algunas
de las reglas más estrictas del mundo que rigen
cómo las empresas y los gobiernos pueden
tratar los datos personales.
Directiva UE 2002/58/CE Directiva sobre
La privacidad y las comunicaciones electrónicas rigen la
forma en que los proveedores de comunicaciones
electrónicas disponibles públicamente
Los servicios deben salvaguardar la seguridad y
confidencialidad de las comunicaciones en sus
servicios.
Gestionar quién puede acceder a qué información
es fundamental para cumplir con estas regulaciones y
reducir el riesgo.
Mejorar el proceso de gestión de identidades, incluidos los
procesos de aprovisionamiento, autenticación y control
de acceso, puede reducir los costos y mejorar la
eficiencia. Abrir la organización para permitir que los socios y
clientes accedan a la información y
Comprar productos de forma segura puede
proporcionar ventajas competitivas y mejoras valiosas
en la eficiencia.
5. Identidades múltiples En un mundo
ideal, una persona tendría una identidad que podría usarse
para obtener un acceso apropiado según el
contexto. Sin embargo, en la práctica esto está lejos
de ser la norma. Los empleados suelen tener varias
credenciales de inicio de sesión para acceder a las
diferentes aplicaciones dentro de su organización y los
consumidores necesitan diferentes conjuntos
de credenciales para acceder a las distintas organizaciones
con las que desean tratar a través de Internet. Estas
múltiples identidades impactan en las tres áreas descritas
anteriormente al aumentar los costos, aumentar el
riesgo y dificultar el cumplimiento de las regulaciones.
Proveedores de sistemas de información reconocidos
la importancia de poder controlar el acceso en función de
la identidad. Si bien hay un número
9
Machine Translated by Google
Gestión de identidad
de estándares en esta área, la necesidad de que
los sistemas y aplicaciones puedan funcionar de forma
independiente, ha llevado a muchos a proporcionar su
propio almacén de identidades y mecanismo de control
de acceso. Como resultado, una gran organización típica,
como un banco minorista, puede tener entre 60 y 100
sistemas de seguridad distintos y separados,
relacionados únicamente con sus propios empleados. Esta
proliferación de mecanismos de control de identidad y
acceso genera muchos problemas.
Desde la perspectiva del consumidor, es necesario
tener varios conjuntos de credenciales, lo cual resulta
inconveniente. Con el fin de ser capaz
Para realizar sus tareas normales, los usuarios finales
deben iniciar sesión individualmente en cada uno de los
sistemas y aplicaciones, lo que lleva mucho tiempo
y es propenso a errores. El motivo principal de las
llamadas al servicio de asistencia técnica en
muchas organizaciones es el bloqueo de cuentas
debido a credenciales incorrectas. Esto es a menudo
exacerbado por los intentos de aumentar la seguridad
exigiendo que las contraseñas sean largas, crípticas y
cambiadas con frecuencia, como se describió
anteriormente. Esto lleva a que los usuarios escriban
las contraseñas en 'notas adhesivas' escondidas debajo
de los teclados o incluso en pizarras blancas de su oficina.
10 Informe Técnico de Seguridad de la Información. vol. 9, n° 1
Cada uno de los sistemas de seguridad debe
gestionarse individualmente y esta duplicación de
esfuerzos es costosa. Muchos estudios han demostrado
que el tiempo entre la llegada de un nuevo empleado
a una organización y el acceso de ese empleado
a los sistemas necesarios para ser productivo puede
ser de varios días, y esto conduce a una pérdida de
productividad.
La gestión de los diferentes sistemas de identidad
puede no realizarse de forma coherente y esto puede
generar mayores riesgos. A menudo no hay manera de
determinar cuántos accesos tiene un individuo o quién
es el propietario de un
cuenta particular. Por lo tanto, las cuentas a menudo
no se desactivan cuando los empleados
despiden su contrato, lo que aumenta el riesgo operativo
al dejar agujeros de seguridad.
De la misma manera, las organizaciones
reconocen la necesidad de proteger el acceso a
sus sitios de Internet y cada sitio puede protegerse de
una manera diferente. Por lo tanto, un consumidor
necesitará un conjunto diferente de credenciales para
acceder al sitio de cada organización. Esto es
inconveniente y propenso a errores sin proporcionar
realmente al consumidor una mayor seguridad.
6. Retorno de la negligencia Muchas
organizaciones han optado por ignorar las cuestiones de
gestión de identidad y acceso. Muchos de
los costos están ocultos y es más fácil no hacer nada que
afrontarlos – ver [4]. Para ilustrar esto, hemos
desarrollado la noción de 'Retorno de la
Negligencia' adaptando el modelo de retorno de la inversión
descrito por Datamonitor [5].
Los siguientes paneles establecen el rendimiento de
la negligencia que sería típico de una organización de
8.000 empleados con acceso a siete aplicaciones diferentes,
cada una con su propio sistema de seguridad. Estos
se centran en costes tangibles y se basan en la
experiencia práctica:
Machine Translated by Google
Mike Small Business y la motivación técnica para la gestión de identidades

Costos de inicio de sesión Costos de aprovisionamiento

Costos de la mesa de ayuda Productividad perdida

1,2 llamadas/usuario/mes 10.800 llamadas Números de empleados 10.000

Duración de la llamada 10 minutos 5% de crecimiento, 17% de facturación anual

Nuevos empleados por mes 183

Costo del personal de la mesa de ayuda 24 horas

Esperando acceso (4 días) 32 horas

Total 518.400/año
Costo del personal 20

Productividad perdida
Productividad total perdida 1.405.440/Anual
Costo del personal 20/hora
Costo de administración
Inicios de sesión/Mes (15 seg) 155

Nuevos empleados por mes 183

Inicios de sesión incorrectos (2 min) 23,25/mes

Cambios de cuenta por mes 732

Necesita mesa de ayuda (10min) 4,65/mes

Tiempo de administración empleado por cambio 30 minutos

Costo de inicio de sesión/agente 527/año

Costo del personal de administración 50/hora

Total 4.743.000/año
Costo total de administración 219.600/año
Total 5.261.400/año
Total 1.625.040/año

7. Poblaciones de usuarios Retorno por negligencia

A los efectos de describir su identidad.

y usuarios de requisitos de gestión de acceso Costos evitables de la mesa de ayuda

se puede dividir en tres categorías diferentes,

SSO 85% de reducción en problemas de contraseñas
insiders, socios comerciales y consumidores. Costos evitables 440.640

Insiders, que incluyen empleados y

Pérdida de productividad evitable
contratistas que trabajan dentro de la organización,
SSO Reducción del 75 % en los costos de inicio de sesión
representan a los usuarios tradicionales gestionados por
Costos evitables 3.557.250
el departamento de TI. Estos usuarios tienen la
Aprovisionamiento Reducción del 75% en el tiempo de espera
siguientes características y necesidades:
Costos evitables 1.054.080

• Un número relativamente pequeño de personas –

Costos de administración evitables
normalmente decenas de miles.

• Necesidad de acceder a una cantidad comparativamente grande Aprovisionamiento Reducción del 80% en costos de administración
número de aplicaciones. Costos evitables 449,280

• El acceso y la administración tienen un costo.

Costos totales evitables 5.501.250
gastos generales y el problema es el ahorro de costos

en lugar de generar ingresos.

• Necesidad de asegurar la separación de funciones
• La identidad está fuertemente establecida por el ser humano.
de los empleados.
prácticas de contratación de recursos.
• Se puede solucionar el uso inadecuado
• La autenticación la realiza internamente
internamente y puede ser gobernado por
sistemas.
ley de Empleo.
• La organización tiene la responsabilidad de

cumplimiento de las leyes y regulaciones Los socios comerciales incluyen empleados.

relativas a la privacidad de la información. dentro de organizaciones que hacen negocios

Informe Técnico de Seguridad de la Información. vol. 9, n° 1 11

Machine Translated by Google

Gestión de identidad

juntos electrónicamente. Estos suelen incluir • La identidad de las personas no es directamente

compradores y vendedores corporativos, por ejemplo, conocidos por la organización que proporciona el
organizaciones minoristas que realizan pedidos a proveedores servicio de información.

de fabricación. Estos usuarios tienen las siguientes • El costo de establecer su identidad es demasiado
características y necesidades: elevado en relación con el valor de la mercancía.
• Se puede invitar a los usuarios a registrarse por sí
mismos. • Se podrá aceptar la identidad establecida por un
• Un número reducido de personas. •
socio comercial. • La
Acceso a un número comparativamente pequeño de
autorización final de la transacción se basa
aplicaciones. •
en los datos de la tarjeta de
Realizar transacciones con un valor monetario total muy
crédito. • Se necesita un marco legal entre las
elevado.
organizaciones asociadas. •
• La identidad la establece externamente la organización
Necesidad de controlar los intentos de defraudación
asociada o un tercero de confianza. • Posibilidad
del crimen organizado. • Necesidad de
de una gran
cumplir con las regulaciones relacionadas con la privacidad
pérdida financiera debido a
una transacción fraudulenta. de la información personal y los detalles de las tarjetas
de crédito.
• Por lo tanto, la cuestión es el no repudio de la identidad de
la persona que realiza una
transacción.
8. Gestión de la seguridad de la información
• La autenticación puede involucrar a terceros externos. • Es Se necesita un enfoque
necesario común para permitir a las organizaciones gestionar el
acordar un marco legal entre las organizaciones. riesgo operativo y ayudar a lograr el cumplimiento de las
regulaciones relacionadas con la seguridad. La

Los consumidores son los usuarios finales individuales. gestión de la identidad y el acceso debe encajar
dentro de una estrategia completa de gestión de la
que deseen acceder a páginas web corporativas para
obtener información o adquirir productos. Estas seguridad de la información. Las organizaciones utilizan

personas pueden actuar de forma independiente o cada vez más la BS 7799 [6] o la ISO 17799 [7] como

pueden ser empleados de organizaciones que pueden estándar en el que basar la gestión de la seguridad de

acceder a servicios corporativos proporcionados por la información.

otra organización.
Este último grupo está aumentando a medida
BS 7799­1 se produjo por primera vez en 1995 para
que las organizaciones subcontratan servicios
Proporcionar un conjunto integral de controles que
como viajes corporativos y administración
comprenden las mejores prácticas en seguridad de la
de pensiones. Estos usuarios tienen la
información. Posteriormente fue revisada en 1999, y en
siguientes características y necesidades:
diciembre de 2000, ISO/IEC adoptó la Parte 1 como

• Un número muy grande de personas. • Un Norma Internacional ISO/IEC 17799:2000. En 1998, la

Parte 2 complementó la BS 7799 Parte 1, y mientras que la
gran número de aplicaciones en
total. Parte 1 brinda orientación sobre los controles, la Parte 2

• Cada consumidor individualmente sólo necesita acceder describe un Sistema de gestión de seguridad de la

a un número relativamente pequeño de aplicaciones. información para gestionar esos controles. En

• Realizar una 2002, BS 7799 Parte 2 fue revisada drásticamente y

gran cantidad de transacciones en total. ahora contiene orientación sobre implementación

y cumple con las directrices de la OCDE sobre

• Cada transacción tiene un valor monetario relativamente seguridad de la información.

pequeño pero el valor total es importante.

12 Informe Técnico de Seguridad de la Información. vol. 9, n° 1

Machine Translated by Google

Mike Small Business y la motivación técnica para la gestión de identidades

Un Sistema de Gestión de Seguridad de la

Información es un proceso de trabajo documentado
que cubre todas las actividades de planificación,
implementación y revisión. Este proceso, que se
ilustra a continuación, se basa en una política de
seguridad. El proceso implica realizar una
evaluación de riesgos para identificar los activos valiosos
y las vulnerabilidades y

amenazas relacionadas con estos. Luego,

dependiendo del enfoque de riesgo de la organización
y del grado de seguridad requerido, se definen los
procesos y herramientas necesarios para gestionar
estos riesgos. Finalmente se especifica la forma en
que se monitoreará y revisará la aplicación de estos
procesos . El concepto básico de los Servicios Web es

Medir el cumplimiento es importante; el bastante simple, y se refleja en la siguiente

definición tomada del
La British Standards Organization ha publicado
Enciclopedia TechWeb [11]:
una serie de libros, [8] incluido uno sobre la auditoría
de los controles BS7799, pero no describe un marco • Servicio web: una aplicación basada en web
de auditoría. Sin embargo, la Organización Europea de
que puede interactuar dinámicamente con otras
Acreditación proporciona orientación sobre cómo aplicaciones web utilizando un protocolo de mensajes
realizar dichas auditorías [9]. También las pautas de XML como SOAP.
auditoría Cobit [10] para DS5.2 (Identificación,
La base tecnológica de la Web
Autenticación y Acceso) son útiles para realizar una
Los servicios se basan en:
auditoría del cumplimiento de BS7799.

• Intercambio de información neutral en la plataforma

vía XML

9. Problemas tecnológicos • Transporte de datos ubicuo mediante HTTP

(y otros protocolos)
9.1. Servicios web • Estándares formales para definir interacciones
Los servicios web son una de las tecnologías
Todos los principales proveedores de
más populares de la industria. La promesa de los
plataformas han respaldado los estándares formales involucrados en
servicios web es ofrecer un servicio basado en estándares.
Servicios Web, lo que refleja una
vehículo para abordar uno de los problemas más
convergencia única de intereses en la industria.
desconcertantes que enfrenta la industria de TI en la
Existen varios estándares clave que funcionan en conjunto
actualidad: cómo hacer que sistemas heterogéneos se
para habilitar los servicios web:
comuniquen entre sí. A nivel empresarial, los
Servicios Web buscan posibilitar la integración de • XML: lenguaje de marcado extensible, el formato
clientes, empleados y socios a través de Internet. Gran universal para documentos y datos

parte de la cobertura mediática sobre los servicios estructurados en la Web. • SOAP –

web se ha centrado en el uso de servicios web en Protocolo simple de acceso a objetos, un protocolo ligero
soluciones centradas en el consumidor. para el intercambio de información en un
Sin embargo, la mayoría de las organizaciones de TI entorno distribuido.

tienen la intención de aprovechar el poder de los ambiente. •

servicios web para integrar sistemas y procesos WSDL – Definición de servicios web
internos y luego extender estas soluciones a Idioma, el formato XML que describe los servicios
socios comerciales confiables. de red.

Informe Técnico de Seguridad de la Información. vol. 9, n° 1 13

Machine Translated by Google

Gestión de identidad

• UDDI – Descripción, Descubrimiento e Integración Universal, Las políticas de confianza son políticas distribuidas que

una iniciativa industrial para permitir a las empresas se aplican a la seguridad del entorno de la otra parte en una

encontrar e interactuar con servicios web de forma rápida, interacción. Un consumidor necesita 'confiar' en el

fácil y dinámica . [dieciséis] medio ambiente

de un proveedor y el proveedor necesita "confiar" en el

entorno del consumidor.
Los servicios web tienen requisitos de seguridad

especiales que no se encuentran en la informática El lenguaje de marcado de afirmación de seguridad

empresarial. Tanto los consumidores de servicios como los (SAML) [2] se utiliza para afirmar declaraciones y condiciones

proveedores de servicios pueden poseer identidades frente a una autoridad de seguridad y las políticas que gestiona.
distribuidas. Podrían haber varios SAML también se puede utilizar en interacciones entre

identidades de diferentes dominios de seguridad (p. ej., autoridades de seguridad.

pública: Microsoft Passport, Liberty Alliance, etc.; corporativa:

LDAP, cuenta de dominio de Windows, cuenta NIS, cuenta

El lenguaje de marcado de aprovisionamiento de servicios
de usuario del Portal, etc.). Un consumidor utiliza una
(SPML) [12] se puede utilizar para interactuar con un agente de
identidad para obtener acceso al servicio que necesita.
seguridad o una plataforma misma para permitir el control y la
Un proveedor y un consumidor pueden utilizar sus
configuración de la seguridad.
identidades para cifrar y firmar los mensajes que intercambian.

El proveedor y el consumidor pueden intercambiar

9.2. Computación de utilidad o bajo demanda
credenciales de identidad dentro de un contexto de mensajes
En el clima
iniciales (apretón de manos). Esto se utiliza para
económico actual, las empresas están examinando
permitir más interacciones confiables. El
cuidadosamente todos los gastos en TI.

Muchas empresas están descubriendo que su

infraestructura de TI es demasiado ineficiente y no
La identidad del proveedor de servicios es opcional y es
responde para satisfacer las necesidades de un
perfectamente posible implementar un servicio
negocio dinámico y no está alineada con las necesidades
empresarial sin identidad si siempre actúa en nombre de un
del negocio. El concepto de informática bajo demanda es
cliente. No tener la identidad del cliente se traduce en
proporcionar a TI las herramientas para aplicar los recursos
un acceso anónimo que rara vez se permite para los
informáticos más como un servicio público (electricidad,
servicios empresariales.
teléfono, agua, etc.). En este modelo impulsado por servicios,

los recursos informáticos se asignan dinámicamente

WS­Security define un portador de credenciales para satisfacer la demanda y los sistemas son cada vez más

de identidad y otra información relacionada con la autogestionados para maximizar la flexibilidad y la facilidad
seguridad en interacciones con un de administración.
Servicio web. Las políticas distribuidas son
asociado con todas las partes involucradas:
Podemos definir la computación bajo demanda como
consumidor, proveedor y mecanismo de
la capacidad de gestionar la infraestructura
descubrimiento. Estas políticas son un conjunto
corporativa como un servicio informático interno, similar a
distribuido de reglas que definen si una
una utilidad. El entorno informático bajo demanda debe estar
El consumidor puede solicitar una función a un proveedor y
impulsado por definiciones formales de nivel de servicio e
si un proveedor puede responder a dicha solicitud. Cada parte
incluir
en una interacción valida sus propias políticas.
estas capacidades clave:
Por ejemplo, un consumidor puede no permitir la interacción

con un objeto descubierto anteriormente. • Aprovisionamiento dinámico, donde el objetivo es asignar

recursos informáticos dinámicamente para

proveedor que consume mucho ancho de banda cuando satisfacer las necesidades actuales y

el consumidor está en roaming. proyectadas. Esta es una variable

14 Informe Técnico de Seguridad de la Información. vol. 9, n° 1

Machine Translated by Google
Mike Small Business y la motivación técnica para la gestión de identidades
modelo de consumo; usas solo lo que necesitas. Un
beneficio adicional interesante de este enfoque es que
también proporciona una gran resiliencia en caso
de falla.
Los recursos pueden reasignarse para cumplir
necesita cuando falla un nodo o sistema.
• Sistemas Autogestionados, donde
la automatización y la inteligencia permiten la
flexibilidad para abordar las condiciones cambiantes y
garantizar la escalabilidad administrativa. Cualquier
recurso modificado debe descubrirse y administrarse
automáticamente según los requisitos del nivel de
servicio.
La seguridad es un componente crítico de cualquier
infraestructura empresarial. En el entorno informático
dinámico y bajo demanda, donde los servidores se
reconfiguran e implementan dinámicamente, es aún más
importante garantizar que las políticas de seguridad
se implementen y mantengan adecuadamente. En este
entorno es fundamental garantizar que el
usuario
las identidades se proporcionan adecuadamente y los usuarios
tienen un acceso cómodo y seguro a sus aplicaciones.
9.3. Convergencia de la seguridad física y de TI El control
de acceso
físico es fundamental para la seguridad y se implementa
cada vez más mediante tecnología de microcomputadoras.
Como consecuencia de ello, los problemas
de aprovisionamiento, autenticación, supervisión, generación
de informes y desaprovisionamiento ahora incluyen el
acceso físico así como el acceso a los sistemas de TI. Los
empleados y contratistas necesitan acceso a una amplia
gama de activos corporativos, desde edificios de oficinas y
laboratorios de pruebas seguros hasta sistemas informáticos,
archivos, directorios, bases de datos y PC. Además, se les
podrán asignar computadoras portátiles, tarjetas telefónicas
y tarjetas de crédito corporativas.
También es útil si se puede utilizar una única credencial.
ser utilizado para la autenticación para ambos
recursos físicos y acceso cibernético.
Especificaciones, como la ISO 7816, intentan cumplir la
promesa de las aplicaciones de tarjetas inteligentes
independientes de la plataforma.
Informe Técnico de Seguridad de la Información. vol. 9, n° 1
Las organizaciones necesitan gestionar la identidad digital
en organizaciones enteras, autenticándose en
todos los activos corporativos con una sola credencial,
aprovisionando todos los sistemas de TI, servicios
web, dispositivos e insignias de entrada y asegurando el
acceso a archivos, directorios y bases de datos
mientras se monitorean todas estas actividades. Open
Security Exchange (OSE) [17] es una organización que
promueve estándares abiertos para la convergencia de
la gestión física y de TI.
10. Requisitos funcionales La solución ideal de gestión
de identidades y accesos es completa,
integrada y abierta. Combina aprovisionamiento,
aplicación de políticas y auditoría de extremo
a extremo para ayudar a garantizar que todos los aspectos
del ciclo de vida de la identidad se gestionen de forma
segura y eficiente, incluido el impacto de la actividad de la
identidad en el acceso a los activos críticos para el
negocio. Reunir una colección de productos puntuales
es costoso, incluye funcionalidades superpuestas y
podría generar lagunas de seguridad. Una solución
integrada reduce los costos, facilita la implementación
y la administración, acomoda y correlaciona
múltiples directorios de identidad y ayuda a garantizar una
auditoría coherente de todas las
actividades relacionadas con la identidad y el
acceso.
Se necesita apertura para garantizar que la solución
pueda construirse sobre la infraestructura y los
componentes existentes.
Las características clave necesarias en una solución
de gestión de identidades y accesos son: aprovisionamiento
de empleados, socios y clientes basado en roles y reglas;
control de acceso basado en roles desde el mainframe a
la Web; y auditoría de la administración, actividad de la
cuenta y privilegios de acceso. La solución integrada
debe incluir interfaces abiertas para la
integración con la infraestructura existente. No deberían
ser necesarios cambios en las aplicaciones o sistemas
existentes.
15
Machine Translated by Google
Gestión de identidad
10.1. Integrado y modular Para obtener el
máximo valor empresarial, los componentes funcionales
de una solución de gestión de acceso e identidad
deben estar integrados y, al mismo tiempo, ser
interoperables con componentes de otros
proveedores o con aplicaciones desarrolladas a
medida. Esto permite a las organizaciones elegir una
solución totalmente integrada de un único proveedor,
combinar componentes seleccionados de
diferentes proveedores que funcionarán juntos o
incorporar gradualmente las piezas de una solución
completa de gestión de acceso e identidad a lo largo
del tiempo. De manera óptima, las soluciones deberían
compartir una infraestructura, un almacén de datos y
una interfaz de usuario comunes. No debería haber
necesidad de cambiar las aplicaciones
empresariales y los sistemas de información existentes.
10.2. Autenticación flexible Proporciona
autenticación de usuario con mecanismos flexibles
en cada autenticación.
Punto donde se autentica un usuario o
administrador, incluidos los recursos web,
dieciséis
Informe Técnico de Seguridad de la Información. vol. 9, n° 1
inicio de sesión único, interfaces de autoservicio e
inicios de sesión de administrador y administrador
delegado. Debería proporcionar una forma de
conectar la autenticación de contraseña, la
autenticación de token de seguridad, la autenticación
biométrica, la autenticación de certificado digital o
métodos de autenticación personalizados. Debería
admitir estándares de autenticación, incluidos PKCS
11, SAML, Liberty Alliance y la API criptográfica de
Microsoft (MS­CAPI).
10.3. Aprovisionamiento basado en
roles y reglas Esto
automatiza los procesos para la creación,
administración y eliminación de derechos de
acceso en todos los diferentes entornos de
seguridad. Los derechos de acceso deben basarse
en el rol de la persona a la que se les otorgan.
Debería haber integración entre el sistema
de aprovisionamiento y el sistema de recursos humanos
siempre que sea posible. Esto es para automatizar
el proceso de dar acceso a nuevos miembros de la
organización, automatizar el cambio de
derechos de acceso cuando cambia su función y
automatizar la eliminación de derechos de acceso
cuando se van. Como consecuencia, esto debería
garantizar que sea posible conciliar las personas
con derechos de acceso con la lista de personas
de la organización.
El sistema de aprovisionamiento debe proporcionar
o integrarse con sistemas de pedidos para que las
solicitudes de cambios en los derechos de acceso
puedan realizarse, aprobarse e implementarse
de manera rastreable. Esto es importante para
proporcionar una separación de funciones entre
las personas que tienen derecho a realizar cambios
y las personas que tienen derecho a utilizar los
sistemas. Esto ayuda a reducir la posibilidad de que
los administradores se otorguen unilateralmente
los privilegios necesarios para utilizar los sistemas de
forma inadecuada.
El sistema de aprovisionamiento debe proporcionar
para delegación de administración y para
autoadministración limitada. La administración
delegada proporciona una manera de difundir la
Machine Translated by Google

Mike Small Business y la motivación técnica para la gestión de identidades

carga de trabajo administrativa y auto
La administración puede ayudar a reducir costos al
permitir que los usuarios finales aborden
directamente problemas menores como bloqueos de
cuentas. Para admitir la autoadministración
delegada y la autoadministración, el sistema de
aprovisionamiento debe admitir controles de
acceso administrativo que limiten las operaciones
que un administrador puede realizar y los objetos que
se pueden administrar.
El sistema de aprovisionamiento debe satisfacer
las necesidades de administración de usuarios fuera
de una organización, así como de aquellos dentro de
ella. Ejemplos de esto incluyen bancos que ofrecen
servicios comerciales exóticos a otras
organizaciones y fabricantes que permiten a sus
distribuidores acceder a la central.
sistemas. En el caso de que una
organización ofrezca a otra acceso a sus sistemas,
las políticas de aprovisionamiento deben definirse a
nivel organizacional en función del contrato entre las
y se puede asignar un único rol a muchos permisos.
También existe un requisito para la revisión de roles de
usuario, mediante el cual se pueden determinar los
roles asignados a un usuario específico, así como los
usuarios asignados a un rol específico.
Este control de acceso debe ser capaz
de ser utilizado para controlar el acceso a toda
la gama de recursos del sistema de
información, desde un conjunto de datos de mainframe hasta un
servicio web de manera consistente. Debe
proporcionar control y rendición de cuentas por el uso
de las cuentas administrativas.
(raíz). Estas cuentas tienen acceso prácticamente
ilimitado a los archivos y pueden eludir los controles
de acceso a las aplicaciones. Debería ser posible
limitar el alcance de las personas y rastrear la
identidad de la persona que utiliza estas cuentas.
Tenga en cuenta que existe una diferencia entre
Control de acceso basado en roles y aprovisionamiento
basado en roles. Para una discusión sobre esto, ver

organizaciones. El aprovisionamiento delegado lo [13]. La solución ideal debería admitir ambos de

realizan las propias organizaciones dentro de estas manera consistente (como se muestra en el

políticas y el proveedor de servicios central no diagrama).

conoce a los usuarios finales. Cuando los usuarios

que pertenecen a varias organizaciones se 10.5. Inicio de sesión único

suministran a través de una única Este es un caso especial de control de acceso basado

infraestructura, debe ser posible garantizar que cada en roles que proporciona al usuario final la

organización sólo pueda ver la información que le

pertenece a sí misma y no la que pertenece a las
demás.

10.4. Control de acceso basado en roles

Proporciona control de acceso a los diversos sistemas,

aplicaciones y transacciones de manera consistente
en función de roles preidentificados.
El concepto básico es que a los usuarios se les asignan
roles, los permisos se asignan a roles y los usuarios
adquieren permisos al ser miembros de roles. La
asignación de roles de usuario y permisos puede ser
de muchos a muchos. Por tanto, al mismo usuario se le
pueden asignar muchos roles y un único rol puede tener
muchos usuarios.
De manera similar, para los permisos, se
puede asignar un único permiso a muchos roles.

Informe Técnico de Seguridad de la Información. vol. 9, núm. 1 17

Machine Translated by Google
Gestión de identidad
capacidad de autenticarse una vez para obtener
acceso a todos los sistemas, aplicaciones
y transacciones a las que tienen derecho.
El derecho debe basarse en el rol del usuario
final. Debería ser posible especificar el método de
autenticación principal independientemente de
los métodos de autenticación
admitidos por los sistemas en los que se
realiza el inicio de sesión. No debería ser
necesario alinear las credenciales de usuario
para los diferentes sistemas. Tampoco
debería ser necesario realizar ningún cambio en
los sistemas en los que se está firmando.
10.6. Identidad federada
Federación de identidades entre dominios
permite que aplicaciones web o productos de
diferentes proveedores compartan información
sobre el usuario autenticado en todo el
múltiples partes de una transacción comercial,
eliminando la necesidad de que el individuo se
vuelva a autenticar en cada aplicación o servicio
web. Se define como la relación de confianza
segura entre múltiples sistemas de seguridad
diferentes en los que una o varias partes de confianza
pueden revisar y aceptar la autenticación.
Por ejemplo, un proveedor de hotel puede
tener tarifas de habitación preferidas para los
empleados de una determinada organización.
Como parte del flujo de identidad federado, es muy
útil para el proveedor del hotel poder comprobar
que la persona que solicita la tarifa de la habitación
del hotel realmente trabaja para la organización.
La verificación automatizada respaldada por
la identidad federada ayuda a reducir los
costos administrativos. También proporciona inicio
de sesión único y cierre de sesión único sin la
necesidad de recordar varios nombres de
usuario y contraseñas.
10.7. Protección de servicios web
Esto proporciona una infraestructura segura para
publicar servicios web escritos en los
servidores de aplicaciones web populares y
aplica políticas para los servicios web dirigidos.
18 Informe Técnico de Seguridad de la Información. vol. 9, n° 1
a través de servidores proxy. Debería proporcionar
integración con una variedad de mecanismos para
autenticar a los usuarios de estos servicios. Él
También debe proporcionar protección para evitar
la piratería de los servicios o los servidores en los
que residen, y auditar toda la actividad o una
actividad seleccionada en torno a los servicios
web.
10.8. Revisión de cuentas
Es esencial que todas las actividades y accesos
Los derechos pueden ser auditados y las herramientas y la
información de auditoría deben encajar dentro de un
metodología de auditoría reconocida. Las actividades
incluyen tanto las de administradores como las de
usuarios, y cubren las plataformas, aplicaciones y
herramientas de administración. Debería ser
posible vincular acciones a la identidad de las
personas que realizan la actividad en lugar de
cuentas anónimas del sistema. También debería ser
posible ver los derechos de acceso de
cada individuo y rastrear cómo se adquirieron
esos derechos y bajo qué autoridad.
El proceso de recolección debe ser a prueba de
manipulaciones. Por ejemplo, no se debe permitir a
los administradores desactivar la auditoría de sus
actividades o alterar el registro de lo que hicieron.
La información de auditoría debe ser
transmitidos a través de la red y almacenados de
forma segura. Deben ser accesibles los informes
sobre las actividades para los diferentes usos. Debería
Será posible generar alertas en tiempo real cuando
se detecten determinadas acciones (por ejemplo,
repetidos intentos fallidos de acceso).
10.9. Interoperabilidad Las
organizaciones necesitan una solución de gestión
de identidades y accesos que facilite de
forma segura el flujo de negocios a través
de barreras tradicionales, tanto externas como
internas. El establecimiento de identidades y su
relación con el negocio debe lograrse fácilmente a
través de una amplia gama de tecnologías de
diferentes proveedores.
Machine Translated by Google
Mike Small Business y la motivación técnica para la gestión de identidades
Por lo tanto, la solución de gestión de
identidad y acceso debe utilizar interfaces estándar
para evitar la duplicación innecesaria de la
infraestructura y el desarrollo de los sistemas
de información y reducir el costo de integrar subsistemas
de diferentes proveedores. Algunas de las
principales normas relevantes son:
• LDAP (Acceso ligero a directorios
Protocolo [5]); •
SPML (Marcado de aprovisionamiento de servicios
Idioma [12]);
• SAML (lenguaje de marcado de afirmación de
seguridad [2]); •
XACML (Lenguaje de marcado de control de
acceso extensible [15]).
10.10. Escalabilidad La
solución de gestión de identidades y accesos
debe ser escalable. Debe admitir cualquier cantidad de
identidades y derechos de acceso, y debe
proteger cualquier cantidad de sistemas, archivos,
bases de datos o servicios web.
Por lo tanto, debe ser capaz de soportar una arquitectura
distribuida que proporcione servicios comunes,
como directorios, informes o auditorías, que
funcionen a escala de Internet.
11. Tecnologías de solución Hay una serie de
tecnologías en el mercado que forman parte de la
solución al desafío de la gestión de identidades y
accesos. Éstas incluyen:
• Sincronización de contraseñas: los agentes de
interceptación detectan un cambio de contraseña
realizado por el usuario en una plataforma y
este cambio se propaga automáticamente a
otras aplicaciones y plataformas.
Esto proporciona al usuario una única
contraseña.
• Directorio y Metadirectorio: los directorios LDAP
como Active Directory de Microsoft proporcionan
un repositorio único para la información del usuario.
Metadirectorio
Informe Técnico de Seguridad de la Información. vol. 9, núm. 1 19
La tecnología amplía un directorio
proporcionando conectores para incorporar
datos de usuario de fuentes externas existentes.
Además de los conectores, la
tecnología debe proporcionar
mecanismos para sincronizar los cambios.
El metadirectorio proporciona una interfaz
única sobre la cual se pueden crear herramientas
de administración, pero no las herramientas.
ellos mismos.
• Tecnologías de autenticación sólidas: incluyen
tarjetas inteligentes, certificados y dispositivos
biométricos. Proporcionan una autenticación más
sólida de la identidad del usuario que un simple
nombre de usuario y contraseña. • Inicio de
sesión único
y acceso a extranet
Control. Hay una serie de diferentes
sistemas que permiten al usuario acceder a
múltiples aplicaciones con un único conjunto de
credenciales. Aquí consideramos aquellas
tecnologías que interceptan los intentos de
acceso a las aplicaciones. Si el usuario ya está
autenticado, el acceso se controla
mediante políticas predefinidas. De lo contrario, se
cuestiona la identidad del usuario. • Sistemas
de
aprovisionamiento y flujo de trabajo: proporcionan
automatización de los procesos
relacionados con la concesión de derechos de
acceso, cambios en los derechos de acceso y
terminación.
La siguiente tabla proporciona una
evaluación de estos sistemas que muestra cómo
cumplen con los requisitos de autenticación,
control de acceso, administración y
practicidad. Por lo tanto, de esto se desprende
claramente que ninguna tecnología por sí sola
proporciona una solución completa.
Lo que se requiere es una solución que
integre estas tecnologías basadas en estándares
abiertos, de modo que no sea necesario reemplazar
la infraestructura existente. Un ejemplo de una solución
de este tipo es eTrust Identity and Access
Management Suite de Computer Associates
[18].
Machine Translated by Google

Gestión de identidad

Contraseña Directorio/ Fuerte Inicio de sesión único, Aprovisionamiento

Sincronizar
Meta­ Autenticación Acceso extranet y

Directorio Tecnologías Control Flujo de trabajo

Contraseña única Sí Necesita cambios en Necesita cambios en Sí No

la aplicación la aplicación

Fuerte No No por si solo Sí Debería proporcionar esto Debería soportar el

Autenticación como una opción como principal aprovisionamiento de
método de autentificación estas credenciales

Credenciales Cuenta de usuario Necesita cambios en Necesita cambios en Sí, sin cambios en las No
de usuario único para acceder los nombres deben la aplicación la aplicación aplicaciones.
múltiples sistemas estar alineado

Inicio de sesión único web No Sí Sí Sí No

Basado en roles No Sí No Sí No
Control de acceso

Provisión de derechos de No Solo proporciona una única No Sí

acceso de usuarios interfaz o repositorio.

Proceso de aprobación No No No No Sí

de los derechos de acceso

Integración con No No No No Sí

sistemas de recursos humanos

Autoadministrador Sí No No No Sí

Administrador delegado No No No No Sí

La gestión debe ser parte de un completo

12. Conclusiones
La identidad es un tema candente y es importante en
ayudando a gestionar el riesgo y prevenir la delincuencia.
Las organizaciones están bajo presión para reducir
riesgo operacional, cumplir con la normativa
mientras ahorra costos y trabaja de manera más inteligente.
La gestión de identidad es clave para gestionar
estos, pero sólo si están vinculados al acceso
gestión. Individuos que tienen múltiples
identidades y malas prácticas de aprovisionamiento
aumentar los costos y el riesgo operativo.
La gestión de los controles de acceso físico a menudo
se separa de la gestión del control de acceso a los
sistemas de información.
Muchas organizaciones no están haciendo nada
para gestionar la identidad y el acceso, y la
El costo de esta inacción es alto. Usuario
Las poblaciones no son homogéneas y
Hay tres poblaciones distintas con
diferentes requisitos que deben ser
tenido en cuenta. Identidad y acceso
sistema de gestión de seguridad de la información.
BS7799 describe un sistema de este tipo que proporciona
directrices útiles para gestionar las operaciones
riesgo y cubre la identidad y el acceso
gestión. Cuestiones tecnológicas que necesitan
a tener en cuenta se incluyen los
crecimiento esperado de los servicios web y
computando utilidad. Una identidad y un acceso
la solución de gestión debe ser completa,
integrado y abierto. El funcional
Los requisitos para ello incluyen rol y regla.
aprovisionamiento basado y acceso basado en roles
control, sin necesidad de cambiar
infraestructura existente. Una identidad completa
y la solución de gestión de acceso implica
la integración de múltiples tecnologías
y los compradores deben tener cuidado con el único
proveedor de tecnología. Una serie de estándares
ahora están ganando aceptación haciéndolo
posible crear un sistema tan integrado
solución.

20 Informe Técnico de Seguridad de la Información. vol. 9, n° 1

Machine Translated by Google
Mike Small Business y la motivación técnica para la gestión de identidades
14 referencias
[1] DF Ferraiolo y DR Kuhn, Control de acceso basado
en roles, 15ª Conferencia Nacional de Seguridad Informática
(1992). Consulte http://csrc.nist.gov/rbac/.
[2] Organización de Estándares de Información Estructurada,
Conjunto de especificaciones SAML 1.0 (5 de noviembre de
2002). Ver http://www.oasis­open.org/
[3] Redirigido: Ex contadores de Cisco enviados río arriba.
Steven Taub, (28 de noviembre de 2001). Ver
http://www.cfo.com
[4] Butler Group, Gestión de identidades y accesos,
septiembre de 2003
[5] Inicio de sesión único: acceso empresarial seguro y sencillo.
Datamonitor julio de 2001. Véase http://
www.datamonitor.com
[6] BS7799 Gestión de la seguridad de la información;
consulte http://bsi­global.com
[7] ISO17799 ver http://www.iso.ch
[8] Organización Británica de Normalización, véase http://
www.c­cure.org/serv.htm
[9] EA­7/03 Organización Europea de Acreditación, http://
www.european­accreditation.org
Informe Técnico de Seguridad de la Información. vol. 9, n° 1
[10] CobiT, ver http://www.isaca.org
[11] TechWeb, Red de tecnología empresarial, http://
www.techweb.com/encyclopedia/.
[12] Organización de Estándares de Información Estructurada,
Conjunto de especificaciones SPML1.1. Ver http://
www.oasis­open.org/
[13] Gartner, Gestión de identidad y acceso en el
Empresa en tiempo real, Ant Allan, 10­12 de marzo de 2003
[14] RFC2251: Protocolo ligero de acceso a directorios (v3),
IETF
[15] Organización de Estándares de Información Estructurada,
Conjunto de especificaciones XACML. Véase http://
www.oasis­open.org/
[16] Aprovechamiento de tecnologías de directorio para UDDI
empresarial, Tim Bentley, Don LeClair, CA, enero de 2002
(http://www3.ca.com/Files/WhitePapers/WP_Leveraging_
Directory_Tech_Enterprise_UDDI.pdf)
[17] Intercambio de seguridad
abierto, http://www.opensecurityexchange.com/
[18] Computer Associates, eTrust Identity and Access
Management Suite, noviembre de 2003 http://www3.ca. es/
Solutions/ProductFamily.asp?ID=4839
21