Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Computación y miembro de la Institución de Ingenieros Electrónicos. Para hacer frente a este problema, las personas
Se les asignan credenciales que pueden ser
Dado que los sistemas de información no
procesadas por los sistemas de información y así
estaban estructurados originalmente para gestionar el
brindarles formas de demostrar quiénes son. Este proceso
acceso de esta amplia gama de usuarios diferentes,
de demostrar la identidad se llama autenticación. Hay tres
muchas organizaciones han adoptado un enfoque
básicos
poco sistemático para la gestión de
enfoques basados en: 'lo que sabes', 'lo que tienes' y
identidades y accesos. Este enfoque fragmentado ha dado
'lo que eres'.
lugar a costes superiores a los necesarios y, al
mismo tiempo, a una mala aplicación de los controles. Un número de identificación personal o PIN
La creciente cantidad de datos personales o sensibles es un ejemplo de "lo que sabes", similar a un nombre de
contenidos en los sistemas de información ha llevado a los usuario y contraseña. Una tarjeta de crédito, una tarjeta
gobiernos y organismos reguladores a responder con inteligente, un permiso de conducir o un
directivas relacionadas con la privacidad y pasaporte son ejemplos de "lo que tienes".
confidencialidad de los datos. Por eso las Los datos biométricos, como las huellas dactilares, las
organizaciones se encuentran atrapadas entre el control huellas de las palmas, la geometría de las manos, los
de costos y el cumplimiento normativo. ¿Cómo se rasgos faciales y las características del ojo, como el iris, son
puede resolver este conflicto? ejemplos de "lo que eres". En muchos casos, la
autenticación de la identidad se logra mediante una
combinación de estos factores, como una tarjeta
Varias tecnologías son relevantes para
y PIN. Esto se conoce como multifactor.
gestión de identidad y acceso. Estos incluyen:
autenticación.
tecnologías de autenticación sólidas; directorio de Servicios;
sincronización de contraseñas; inicio Sin embargo, demostrar la identidad mediante
de sesión único; acceso web credenciales conduce al problema de la identidad.
robo. Las credenciales pueden perderse y ser robadas, cartas credenciales. Fue el acceso insuficiente
y de hecho lo hacen. Los nombres de usuario, las controles que les permitieron abordar el
contraseñas y los PIN se anotan y las tarjetas se aviones con armas y para acceder a la cabina del piloto.
pierden y se utilizan de forma indebida. Las
credenciales pueden interceptarse durante la
Los sistemas de información generalmente proporcionan
transmisión y el almacenamiento o mediante
instalaciones de control de acceso y auditoría para
ingeniería social. Los recientes ataques de
satisfacer estas necesidades. Lamentablemente,
'phishing' son un ejemplo: en ellos los piratas
estas funciones no son consistentes en toda la gama de
informáticos envían correos electrónicos que
plataformas y aplicaciones de uso común. La
supuestamente provienen de un banco pidiendo
información que una persona puede ver, las tareas que
al destinatario que se conecte a un sitio web, que
puede realizar, los momentos en que puede realizar
aparentemente pertenece al banco, donde se le pide que confirme sus credenciales de identidad.
estas tareas y desde qué ubicación suelen estar
Por lo tanto, es necesario tomar medidas para protegerse
relacionados con el trabajo (o función) que desempeña
contra estas contingencias.
la persona.
Esta forma de identidad es tan confiable Por lo tanto, tiene sentido que los controles de
como el proceso que asigna las credenciales. Si las acceso se especifiquen y asignen de forma
credenciales sólo se van a utilizar dentro de una relacionada. Reconociendo esto, para ayudar a evaluar
organización, puede ser suficiente con que se y comparar los diferentes enfoques, el Instituto Nacional
emitan internamente, por ejemplo, en función de que una de Estándares y Tecnología (NIST) de EE. UU. ha
persona esté en nómina. Sin embargo, si las desarrollado un estándar para el control de acceso
credenciales van a utilizarse más allá de los límites basado en roles [1].
organizacionales, puede ser necesario un enfoque más
sólido. Un enfoque es que las organizaciones
Cuando la identidad se ha determinado dentro
exijan que un tercero de confianza emita las credenciales,
del sistema que se está asegurando, los controles de
como ocurre con un pasaporte o un permiso de
acceso también se pueden implementar internamente.
conducir. El lado negativo es que esto es caro y otro
Este es generalmente el caso de los sistemas
enfoque, que está ganando adeptos, es que las
operativos. Sin embargo, si la identidad se ha
organizaciones acepten la identidad electrónica
establecido externamente, se necesita una forma de
de las personas tal como lo establecen los
poder intercambiar de forma segura
sistemas de información de sus socios.
información de seguridad, incluidos los derechos de
acceso. La Organización para el Avance de los
Cuando se aceptan credenciales externas también Estándares de Información Estructurada (OASIS) ha
surgen cuestiones legales, por ejemplo, ¿dónde desarrollado SAML (Security Assertion Markup
recaerá la responsabilidad si una identidad se ha Language) para proporcionar esta capacidad
utilizado de manera fraudulenta? En la práctica, estas en un entorno de servicios web [2].
cuestiones legales pueden resultar más costosas de
resolver que las tecnológicas.
4. ¿Por qué es necesario gestionar
las identidades?
3. ¿Qué puedo hacer? Los impulsores comerciales clave que hacen que la
Establecer la identidad es importante, pero no puede gestión de identidades sea importante son la
estar solo; además, es necesario poder controlar lo que disciplina financiera, el riesgo operativo y el cumplimiento
identifican los de los requisitos legales y reglamentarios.
a la persona se le permite hacer y llevar un registro de lo
que realmente ha hecho. Como ejemplo de 4.1. Disciplina financiera El entorno
esto, todos los perpetradores de los ataques del 11 empresarial competitivo hace que la disciplina
de septiembre tenían una identidad válida. financiera sea una prioridad para
Gestión de identidad
sólo de ahorrar costos sino también de hacer las cosas Los competidores ofrecen productos mejores o
de manera más inteligente. Las organizaciones que más baratos. El riesgo operativo cubre aspectos
logren alcanzar la disciplina financiera serán como que los procesos sean vulnerables al robo, fraude,
aquellas que sobrevivan y crezcan proporcionando interrupción o mala gestión. Mejor gestión de la forma en
sus productos y servicios de manera más eficiente y que se identifican a los empleados, socios
efectiva que sus competidores. y clientes y se controla y controla su acceso.
Al hacer negocios en Internet, el número de clientes Bien publicitado, el insider sigue siendo la mayor
puede ser tan grande que los procesos manuales de amenaza para una organización en términos de potencial
administración de seguridad no pueden proporcionar de causar pérdidas financieras. Una de las principales
razones de esto es que la información privilegiada
el servicio requerido a un costo realista.
Mediante la automatización, por ejemplo mediante el entiende los sistemas de la organización y, por lo tanto,
los costes a las unidades de negocio o a los clientes. Otra es que tienen acceso físico a los sistemas y
esto suele estar mal gestionado. Ha habido muchos
incidentes reportados por personas internas, un
El costo de conseguir nuevos clientes es mayor que el ejemplo infame es el de Geoffrey Osowski y Wilson
de retener a los existentes. Por eso, las tecnologías Tang, ex contables de Cisco Systems Inc, quienes
que reconocen a los individuos y sus preferencias son en 2001 fueron condenados por estafar a la empresa
importantes, ya que facilitan a los clientes hacer negocios por 7,8 millones de dólares utilizando los sistemas
su organización en lugar de con sus competidores. fraudulentamente opciones sobre acciones [3].
riesgo de mercado incluye, por ejemplo, invertir en política según el rol del individuo. Sin embargo, a
productos que no cumplen con los medida que los individuos avanzan
En la organización suele ocurrir que se añaden nuevos Más de 45 países cuentan con sistemas integrales
derechos. Lamentablemente, los derechos existentes leyes nacionales de protección de datos (las
que ya no son necesarios no siempre se retiran con excepciones notables son China y EE. UU.). En
prontitud. Esto suele deberse a que es difícil ver qué Europa, la Directiva de la UE 95/46/EC proporciona algunas
derechos tiene realmente un individuo y cómo se de las reglas más estrictas del mundo que rigen
relacionan con la política de seguridad. Por lo tanto, el cómo las empresas y los gobiernos pueden
personal administrativo se muestra reacio a eliminar tratar los datos personales.
derechos para evitar tomar medidas que podrían Directiva UE 2002/58/CE Directiva sobre
incapacitar a un individuo para realizar su trabajo. La privacidad y las comunicaciones electrónicas rigen la
Este aumento de los derechos de acceso aumenta el riesgo forma en que los proveedores de comunicaciones
operativo. electrónicas disponibles públicamente
En el caso de Basilea II, esto proporciona contexto. Sin embargo, en la práctica esto está lejos
una relación entre el riesgo (incluidos los de ser la norma. Los empleados suelen tener varias
riesgos operativos) evaluado para un banco y la cantidad de credenciales de inicio de sesión para acceder a las
capital de trabajo que debe reservarse para cubrir ese diferentes aplicaciones dentro de su organización y los
riesgo. Por lo tanto, reducir el riesgo evaluado libera consumidores necesitan diferentes conjuntos
capital y, por lo tanto, Basilea II proporciona un de credenciales para acceder a las distintas organizaciones
incentivo para que los bancos evalúen y con las que desean tratar a través de Internet. Estas
Gestión de identidad
de estándares en esta área, la necesidad de que Cada uno de los sistemas de seguridad debe
los sistemas y aplicaciones puedan funcionar de forma gestionarse individualmente y esta duplicación de
independiente, ha llevado a muchos a proporcionar su esfuerzos es costosa. Muchos estudios han demostrado
propio almacén de identidades y mecanismo de control que el tiempo entre la llegada de un nuevo empleado
de acceso. Como resultado, una gran organización típica, a una organización y el acceso de ese empleado
como un banco minorista, puede tener entre 60 y 100
a los sistemas necesarios para ser productivo puede
sistemas de seguridad distintos y separados,
ser de varios días, y esto conduce a una pérdida de
relacionados únicamente con sus propios empleados. Esta
productividad.
proliferación de mecanismos de control de identidad y
La gestión de los diferentes sistemas de identidad
acceso genera muchos problemas.
puede no realizarse de forma coherente y esto puede
Desde la perspectiva del consumidor, es necesario generar mayores riesgos. A menudo no hay manera de
tener varios conjuntos de credenciales, lo cual resulta determinar cuántos accesos tiene un individuo o quién
inconveniente. Con el fin de ser capaz es el propietario de un
Para realizar sus tareas normales, los usuarios finales cuenta particular. Por lo tanto, las cuentas a menudo
deben iniciar sesión individualmente en cada uno de los
no se desactivan cuando los empleados
sistemas y aplicaciones, lo que lleva mucho tiempo
despiden su contrato, lo que aumenta el riesgo operativo
y es propenso a errores. El motivo principal de las
al dejar agujeros de seguridad.
llamadas al servicio de asistencia técnica en
muchas organizaciones es el bloqueo de cuentas De la misma manera, las organizaciones
debido a credenciales incorrectas. Esto es a menudo reconocen la necesidad de proteger el acceso a
exacerbado por los intentos de aumentar la seguridad sus sitios de Internet y cada sitio puede protegerse de
exigiendo que las contraseñas sean largas, crípticas y una manera diferente. Por lo tanto, un consumidor
cambiadas con frecuencia, como se describió necesitará un conjunto diferente de credenciales para
anteriormente. Esto lleva a que los usuarios escriban acceder al sitio de cada organización. Esto es
las contraseñas en 'notas adhesivas' escondidas debajo
inconveniente y propenso a errores sin proporcionar
de los teclados o incluso en pizarras blancas de su oficina.
realmente al consumidor una mayor seguridad.
experiencia práctica:
Productividad perdida
Productividad total perdida 1.405.440/Anual
Costo del personal 20/hora
Costo de administración
Inicios de sesión/Mes (15 seg) 155
• Necesidad de acceder a una cantidad comparativamente grande Aprovisionamiento Reducción del 80% en costos de administración
número de aplicaciones. Costos evitables 449,280
Gestión de identidad
de fabricación. Estos usuarios tienen las siguientes • El costo de establecer su identidad es demasiado
características y necesidades: elevado en relación con el valor de la mercancía.
• Se puede invitar a los usuarios a registrarse por sí
mismos. • Se podrá aceptar la identidad establecida por un
• Un número reducido de personas. •
socio comercial. • La
Acceso a un número comparativamente pequeño de
autorización final de la transacción se basa
aplicaciones. •
en los datos de la tarjeta de
Realizar transacciones con un valor monetario total muy
crédito. • Se necesita un marco legal entre las
elevado.
organizaciones asociadas. •
• La identidad la establece externamente la organización
Necesidad de controlar los intentos de defraudación
asociada o un tercero de confianza. • Posibilidad
del crimen organizado. • Necesidad de
de una gran
cumplir con las regulaciones relacionadas con la privacidad
pérdida financiera debido a
una transacción fraudulenta. de la información personal y los detalles de las tarjetas
de crédito.
• Por lo tanto, la cuestión es el no repudio de la identidad de
la persona que realiza una
transacción.
8. Gestión de la seguridad de la información
• La autenticación puede involucrar a terceros externos. • Es Se necesita un enfoque
necesario común para permitir a las organizaciones gestionar el
acordar un marco legal entre las organizaciones. riesgo operativo y ayudar a lograr el cumplimiento de las
regulaciones relacionadas con la seguridad. La
Los consumidores son los usuarios finales individuales. gestión de la identidad y el acceso debe encajar
dentro de una estrategia completa de gestión de la
que deseen acceder a páginas web corporativas para
obtener información o adquirir productos. Estas seguridad de la información. Las organizaciones utilizan
personas pueden actuar de forma independiente o cada vez más la BS 7799 [6] o la ISO 17799 [7] como
pueden ser empleados de organizaciones que pueden estándar en el que basar la gestión de la seguridad de
otra organización.
Este último grupo está aumentando a medida
BS 77991 se produjo por primera vez en 1995 para
que las organizaciones subcontratan servicios
Proporcionar un conjunto integral de controles que
como viajes corporativos y administración
comprenden las mejores prácticas en seguridad de la
de pensiones. Estos usuarios tienen la
información. Posteriormente fue revisada en 1999, y en
siguientes características y necesidades:
diciembre de 2000, ISO/IEC adoptó la Parte 1 como
• Cada consumidor individualmente sólo necesita acceder describe un Sistema de gestión de seguridad de la
web se ha centrado en el uso de servicios web en Protocolo simple de acceso a objetos, un protocolo ligero
soluciones centradas en el consumidor. para el intercambio de información en un
Sin embargo, la mayoría de las organizaciones de TI entorno distribuido.
servicios web para integrar sistemas y procesos WSDL – Definición de servicios web
internos y luego extender estas soluciones a Idioma, el formato XML que describe los servicios
socios comerciales confiables. de red.
Gestión de identidad
• UDDI – Descripción, Descubrimiento e Integración Universal, Las políticas de confianza son políticas distribuidas que
una iniciativa industrial para permitir a las empresas se aplican a la seguridad del entorno de la otra parte en una
encontrar e interactuar con servicios web de forma rápida, interacción. Un consumidor necesita 'confiar' en el
empresarial. Tanto los consumidores de servicios como los (SAML) [2] se utiliza para afirmar declaraciones y condiciones
proveedores de servicios pueden poseer identidades frente a una autoridad de seguridad y las políticas que gestiona.
distribuidas. Podrían haber varios SAML también se puede utilizar en interacciones entre
WSSecurity define un portador de credenciales para satisfacer la demanda y los sistemas son cada vez más
de identidad y otra información relacionada con la autogestionados para maximizar la flexibilidad y la facilidad
seguridad en interacciones con un de administración.
Servicio web. Las políticas distribuidas son
asociado con todas las partes involucradas:
Podemos definir la computación bajo demanda como
consumidor, proveedor y mecanismo de
la capacidad de gestionar la infraestructura
descubrimiento. Estas políticas son un conjunto
corporativa como un servicio informático interno, similar a
distribuido de reglas que definen si una
una utilidad. El entorno informático bajo demanda debe estar
El consumidor puede solicitar una función a un proveedor y
impulsado por definiciones formales de nivel de servicio e
si un proveedor puede responder a dicha solicitud. Cada parte
incluir
en una interacción valida sus propias políticas.
estas capacidades clave:
Por ejemplo, un consumidor puede no permitir la interacción
proveedor que consume mucho ancho de banda cuando satisfacer las necesidades actuales y
modelo de consumo; usas solo lo que necesitas. Un Las organizaciones necesitan gestionar la identidad digital
servicio.
10. Requisitos funcionales La solución ideal de gestión
La seguridad es un componente crítico de cualquier de identidades y accesos es completa,
infraestructura empresarial. En el entorno informático integrada y abierta. Combina aprovisionamiento,
dinámico y bajo demanda, donde los servidores se aplicación de políticas y auditoría de extremo
reconfiguran e implementan dinámicamente, es aún más a extremo para ayudar a garantizar que todos los aspectos
importante garantizar que las políticas de seguridad del ciclo de vida de la identidad se gestionen de forma
se implementen y mantengan adecuadamente. En este segura y eficiente, incluido el impacto de la actividad de la
entorno es fundamental garantizar que el
identidad en el acceso a los activos críticos para el
usuario
negocio. Reunir una colección de productos puntuales
las identidades se proporcionan adecuadamente y los usuarios
es costoso, incluye funcionalidades superpuestas y
tienen un acceso cómodo y seguro a sus aplicaciones.
podría generar lagunas de seguridad. Una solución
laboratorios de pruebas seguros hasta sistemas informáticos, Las características clave necesarias en una solución
archivos, directorios, bases de datos y PC. Además, se les
de gestión de identidades y accesos son: aprovisionamiento
podrán asignar computadoras portátiles, tarjetas telefónicas
de empleados, socios y clientes basado en roles y reglas;
y tarjetas de crédito corporativas.
control de acceso basado en roles desde el mainframe a
la Web; y auditoría de la administración, actividad de la
También es útil si se puede utilizar una única credencial. cuenta y privilegios de acceso. La solución integrada
ser utilizado para la autenticación para ambos debe incluir interfaces abiertas para la
Especificaciones, como la ISO 7816, intentan cumplir la ser necesarios cambios en las aplicaciones o sistemas
independientes de la plataforma.
Gestión de identidad
dieciséis
Informe Técnico de Seguridad de la Información. vol. 9, n° 1
Machine Translated by Google
carga de trabajo administrativa y auto y se puede asignar un único rol a muchos permisos.
La administración puede ayudar a reducir costos al También existe un requisito para la revisión de roles de
permitir que los usuarios finales aborden usuario, mediante el cual se pueden determinar los
directamente problemas menores como bloqueos de roles asignados a un usuario específico, así como los
cuentas. Para admitir la autoadministración usuarios asignados a un rol específico.
delegada y la autoadministración, el sistema de
Este control de acceso debe ser capaz
aprovisionamiento debe admitir controles de
de ser utilizado para controlar el acceso a toda
acceso administrativo que limiten las operaciones
la gama de recursos del sistema de
que un administrador puede realizar y los objetos que
información, desde un conjunto de datos de mainframe hasta un
se pueden administrar.
servicio web de manera consistente. Debe
El sistema de aprovisionamiento debe satisfacer proporcionar control y rendición de cuentas por el uso
las necesidades de administración de usuarios fuera de las cuentas administrativas.
de una organización, así como de aquellos dentro de (raíz). Estas cuentas tienen acceso prácticamente
ella. Ejemplos de esto incluyen bancos que ofrecen ilimitado a los archivos y pueden eludir los controles
servicios comerciales exóticos a otras de acceso a las aplicaciones. Debería ser posible
organizaciones y fabricantes que permiten a sus limitar el alcance de las personas y rastrear la
distribuidores acceder a la central.
identidad de la persona que utiliza estas cuentas.
sistemas. En el caso de que una
organización ofrezca a otra acceso a sus sistemas,
Tenga en cuenta que existe una diferencia entre
las políticas de aprovisionamiento deben definirse a
Control de acceso basado en roles y aprovisionamiento
nivel organizacional en función del contrato entre las
basado en roles. Para una discusión sobre esto, ver
realizan las propias organizaciones dentro de estas manera consistente (como se muestra en el
suministran a través de una única Este es un caso especial de control de acceso basado
infraestructura, debe ser posible garantizar que cada en roles que proporciona al usuario final la
Gestión de identidad
capacidad de autenticarse una vez para obtener a través de servidores proxy. Debería proporcionar
acceso a todos los sistemas, aplicaciones integración con una variedad de mecanismos para
y transacciones a las que tienen derecho. autenticar a los usuarios de estos servicios. Él
El derecho debe basarse en el rol del usuario También debe proporcionar protección para evitar
final. Debería ser posible especificar el método de la piratería de los servicios o los servidores en los
autenticación principal independientemente de que residen, y auditar toda la actividad o una
los métodos de autenticación actividad seleccionada en torno a los servicios
admitidos por los sistemas en los que se web.
realiza el inicio de sesión. No debería ser
necesario alinear las credenciales de usuario 10.8. Revisión de cuentas
para los diferentes sistemas. Tampoco Es esencial que todas las actividades y accesos
debería ser necesario realizar ningún cambio en Los derechos pueden ser auditados y las herramientas y la
los sistemas en los que se está firmando. información de auditoría deben encajar dentro de un
del hotel realmente trabaja para la organización. se detecten determinadas acciones (por ejemplo,
de sesión único y cierre de sesión único sin la organizaciones necesitan una solución de gestión
necesidad de recordar varios nombres de de identidades y accesos que facilite de
usuario y contraseñas. forma segura el flujo de negocios a través
realizado por el usuario en una plataforma y claramente que ninguna tecnología por sí sola
Esto proporciona al usuario una única integre estas tecnologías basadas en estándares
• Directorio y Metadirectorio: los directorios LDAP la infraestructura existente. Un ejemplo de una solución
como Active Directory de Microsoft proporcionan de este tipo es eTrust Identity and Access
un repositorio único para la información del usuario. Management Suite de Computer Associates
Metadirectorio [18].
Gestión de identidad
la aplicación la aplicación
Credenciales Cuenta de usuario Necesita cambios en Necesita cambios en Sí, sin cambios en las No
de usuario único para acceder los nombres deben la aplicación la aplicación aplicaciones.
múltiples sistemas estar alineado
Basado en roles No Sí No Sí No
Control de acceso
Proceso de aprobación No No No No Sí
Integración con No No No No Sí
Autoadministrador Sí No No No Sí
Administrador delegado No No No No Sí