Post on 05-Jul-2015
description
transcript
La Identidad Digital Única en la Empresa ¿Utopía o Realidad?
Rames Sarwat SMARTACCESS
www.smartaccess.es
La Seguridad alineada con el Negocio
• Nos ayuda a :
–Cumplir con los objetivos de negocio
–Cumplir con la legislación o normativa aplicable
–Reducir el riesgo operativo
¿Riegos operativos?
• Robo de propiedad intelectual o activos digitales
• Publicación de información sensible o confidencial
• Corte o interrupción de servicios críticos
Identidad Digital
• Capacidad de identificar a cada usuario a lo largo de la organización.
• Se implementa a través de una serie de procesos y herramientas
• Su gestión nos permite: – Aplicar una protección minuciosa a los recursos
– Eliminar automáticamente los privilegios de acceso latentes
– Abordar la creciente cantidad de disposiciones reglamentarias y normas de obligado cumplimiento.
Tecnologías asociadas
¿QUÉ SON ESTAS TECNOLOGÍAS? Algunas son más conocidas y otras menos
Servicio de Directorio
• Es una base de datos estructurada que almacena datos de forma estandariza.
• La mayoría son accesibles mediante el protocolo LDAP (Lightweight Directory Access Protocol) que sigue el esquema RFC 2798 (inetOrgPerson).
• Implementa mecanismos de control de acceso granular y se utilizan también como servidores de autenticación o de gestión centralizada de políticas.
• Su principal función es el almacenamiento de datos y su uso para otros fines es muy limitado.
Metadirectorio
• Es un servicio de sincronización de datos entre diferentes servicios de Directorio.
• El motor de sincronización copia los datos de una instancia de servidor de directorio a otro, cuando se detecta su modificación.
• Algunos metadirectorios pueden sincronizar datos con tablas de bases de datos relacionales y archivos, pero sus características de transformación de datos suelen ser muy limitadas
• También permiten una fusión de los datos de varias fuentes similares para presentar una visión consolidada.
Metadirectorios permitir simple fusión de los datos de varias fuentes similares y presentar una visión consolidada de los datos
Directorio Virtual
• Es un traductor de protocolos que permite a las aplicaciones el acceso a los datos (habitualmente residentes en diferentes repositorios o BBDD relacionales) a través de un único protocolo y mediante una vista consolidada.
• Algunos sistemas de directorio virtual permiten la transformación de los datos y el almacenamiento en caché.
Herr. de Provisioning
• Permite la gestión remota de las diferentes las bases de datos que contienen información de los usuarios entre sistemas heterogéneos.
• Facilitan las tareas de sincronización y transformación de datos complejas, así como su gestión y auditoría.
• La mayoría incluyen un motor de workflow para controlar los flujos de los datos en procesos entre diferentes personas de la organización.
• Algunas requieren el uso de agentes en los sistemas de destino mientras que otras funcionan sin agentes utilizando interfaces remotas.
Control de Acceso
• Módulos o agentes responsables de las funciones de autenticación de usuarios y la autorización a los recursos
• En la mayoría de los casos estas funciones son proporcionadas por el sistema, aunque existen agentes que extienden estas funcionalidades.
• Estos agentes estan vinculados a una versión específica de los sistemas y pueden ser complejos de instalar y desplegar.
Single Sign-On
• Funcionalidad que permite que un usuario se autentique una unica vez y obtenga acceso a todos los recursos y aplicaciones que requiere.
• Existen dos formas de SSO – True Single Sign-On: El sistema autentica al usuario y le
genera un ticket que el resto de aplicaciones y recursos reconocen. Basados en criptografía simétrica (p.e. Kerberos) o en XML ycriptografía asmimétrica (p.e. SAML).
– Pseudo Single Sign-On : Mantiene un agente que aprende e «injecta» a las aplicaciones las diferentes contraseñas del usuario de forma automatizada. Genera la ilusión de un single sign-on.
PKI
• Infraestructura para emitir y utilizar certificados de Identidad Digital de Usuario protegidos por funciones criptográficas de clave publica.
• La mayoría utiliza el estándar X.509 • Permite vincular los datos de un usuario a su
pareja de claves (publica/privada) a través de la firma digital de un tercero de confianza.
• La PKI puede utilizarse para implementar funciones de single sign-on pero requiere que todas las aplicaciones se modifiquen para admitir certificados digitales.
Federación Identidades
• Diferentes organizaciones comparten cierta partes de la identidad de sus usuarios y dan acceso a sus procesos de autenticación de manera segura.
• Permite el acceso a recursos o aplicaciones a usuarios de otras organizaciones sin necesidad de crear nuevas cuentas.
• Está diseñado para operar a través de Internet y entre sistemas heterogeneos.
• Esta tecnología no esta todavía muy extendida y continua evolucionando.
¿PUEDO COMBINAR ESTAS TECNOLOGÍAS PARA OBTENER LA IDENTIDAD ÚNICA?
La Identidad Digital Única en la Empresa
No son soluciones completas
• Ninguna de las tecnologías anteriormente indicadas puede considerarse una solución completa de Gestión de la Identidad Digital.
• Sin embargo, conjuntamente y aplicadas en un orden lógico pueden generar un sistema funcional de Gestión de la Identidad Digital para obtener la Identidad Digital Única en la Empresa.
Algunas Necesidades
• Conocer las diferentes identidades de nuestros usuarios
• Gestionar los procesos de alta/baja/modificación de identidades
• Disponer de una visión unificada de las identidades de cada usuario.
• Mejorar la productivad de los usuarios.
• Reducir los costes de soporte
• Evitar la suplantación de la identidad y el acceso no autorizado a los sistemas de información.
• Dar acceso a otras organizaciones a nuestros sistemas de información sin comprometer la seguridad de la información.
• Cumplimiento de la legislación o normativa aplicable
Hoja de Ruta
1 • Inventario de Repositorios de IDentidad
2 • Sistema de provisioning
3 • Base de datos central de usuarios
4 • Single Sign-On (SSO)
5 • Autenticación Fuerte
6 • Convergencia físico-lógica
7 • Federación de Identidades
1. Inventario Repositorios de IDentidad
• Realizar un análisis de los activos y recursos relacionados con las identidades en la organización: – Bases de Datos de Usuarios
– Estructura Organizativa
– Procedimientos de Gestión de Usuarios
– Legislación aplicable, etc.
• Los resultados nos ayudarán a definir los requisitos de los siguientes pasos.
2. Sistema de Provisioning
• Automatizar los procedimientos de gestión de usuarios (ABM)
• Implementar flujos de trabajo personalizados en función de la estructura organizativa.
• Debe proporcionar herramientas para: – Mantenimiento de las bases de
datos de usuarios – Control de acceso basado en roles
(RBAC) – Auditoria y monitorización de los
Sistemas
3. Base de Datos Central de Usuarios
• Utilizar la herramienta de provisioning para crear y mantener una base de datos central de usuarios.
• Habitualmente será un servicio de directorio replicado para garantizar la no interrupción del servicio.
• Esta base de datos actuará como fuente principal en los siguientes pasos
• Como alternativa, es posible utilizar las tecnologías de directorio virtual o de metadirectorio para su creación.
4. Single Sign-On (SSO)
• A partir de la BBDD Central de Usuarios Implementar el Single Sign-On como servicio central de autenticación de los usuarios.
• Si es posible modificar las aplicaciones, integrarlas con el servicio central de autenticación.
• En caso contrario, emplear herramientas de Web SSO o Enterprise SSO.
• La implementación de SSO puede ser más sencilla para aplicaciones web y más compleja para aplicaciones tradicionales de escritorio.
5. Autenticación Fuerte
• Remplazar el uso de las contraseñas en el acceso de empleados y colaboradores externos.
• En especial
• Administradores de TI
• Usuarios con acceso a información sensible, confidencial o sujeta a normativa/legislación.
• Accesos remotos
• Se recomienda utilizar plataformas de autenticación fuerte que soporten diversos métodos para ajustar la seguridad al nivel de riesgo de cada usuario.
• Valorar también su usabilidad, TCO y el impacto en los sistemas actuales.
6. Convergencia físico-lógica
• Unificación de credenciales
• Consola única de gestión
• Gestión de la seguridad integral
• Registro único de credenciales de usuarios
• Podemos llegar a relacionar eventos para incrementar la seguridad.
7. Federación de Identidades
• Conectar los servicios de Identidad Digital de nuestra empresa con otras organizaciones.
• La Federación proporcionará un mayor nivel de cooperación de los usuarios entre diferentes organizaciones, tanto públicas como privadas.
• Evita la gestión de identidades digitales externas.
Conclusiones
• Es posible obtener una Identidad Digital Única en la empresa mediante el uso de tecnologías disponibles y una gestión adecuada.
• Cada paso del proceso propuesto proporciona beneficios adicionales a la organización, aunque no es necesario implementarlos todos.
• Para garantizar el éxito, es importante definir hasta que paso vamos a implementar desde el inicio del proyecto.
¿ SmartAccess ?
• Empresa española que desarrolla soluciones para evitar el acceso no autorizado a los sistemas de información y la suplantación de la identidad.
• Nuestras soluciones ayudan a: – Incrementar la seguridad de la
información de la organización – Reducir los costes de operación – Cumplir con normativas vigentes
relativas a protección de datos y seguridad de la información
– Mejorar la productividad de los usuarios
www.smartaccess.es