Post on 11-Apr-2018
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad
Cibernética
Gabriela Espinosa Calderón
gabriela.espinosa@sommet.com.mx
Situación actual de las empresas
• Fortalecimiento del Gobierno
• Conciencia de la gestión de riesgos
• Cumplimiento regulatorio más exigente
• Apego a normas y estándares
Diversidad de tecnologías aplicadas
• Cada vez es mayor el desarrollo de múltiples recursos de TI para soportar negocios, los ecosistemas se vuelven más complejos
Relación multi-usuario/multi-plataforma
Múltiples Usuarios
Usuario 1 Usuario 2 Usuario 3 Usuario 4 Usuario 5 Usuario 6
RRHH CRMSistema
Financiero
Sistema
Cobranza
Correo
ElectrónicoDirectorio
Activo
Múltiples Aplicaciones
Relación multi-identificador/multi-contraseña
Múltiples ID
ID3
Contr
ase
ña 3
CRM Correo
Electrónico
Directorio
Activo
Sistema
Financiero
Sistema
Cobranza
Múltiples contraseñas
Relación multi-contraseña/multi-políticas
• Múltiples políticas de contraseñas:
o Longitud mínima y máxima
o Vigencias
o Complejidad
o Histórico
Control de Acceso (Access Management)
• Son los mecanismos para limitar el acceso a la información y recursos
• Tradicionalmente los controles se agrupan en físicos, lógicos o técnicos y administrativos
• Guardias
• Candados
• Credencial
• Tarjetas de acceso
• Seguridad
Perimetral
Físicos
• Separación de redes
• Firewall
• Antivirus
• Smartcard/Biométricos
• Listas de Acceso
• Encriptación
• Detección de Intrusos
• Contraseñas
Lógicos o
Técnicos
• Políticas y
procedimientos
• Concientización
• Supervisión de
empleados
• Separación de funciones
• Rotación de funciones
Administrativos
Metas del control de accesos
• Necesidad de conocer (Need to know)o Acceso a la información que es pertinente para realizar su trabajo o función
• Menor privilegio (Least privilege)o El menor permiso o privilegio sobre la información a la que se tiene acceso
Pasos del control de accesos
• Identificación – Validación de que la cuenta de usuario existe en un sistema. Este paso se realiza generalmente al inicio de la sesión
• Autenticación – Verificación de que el usuario es quien dice ser, generalmente a través de contraseñas o escáneres biométricos
• Autorización – Verificación del nivel de accesos de un usuario en un sistema, generalmente a través de perfiles o roles
Identity and Access Management (IAM) –Gestión de identidades y accesos
Seguridad física
Administración
de la
Identidad
(alta, baja y
cambios de
usuarios)
Administración
de autenticación
(contraseñas)
Auditoría de
acceso y autorizaciones
Cumplimiento
con Regulaciones
• Administración de roles
• Administración de privilegios
✓ Red
✓ Sistemas operativos
✓ Aplicaciones
Control de Acceso
Identity and Access Management (IAM) –Gestión de identidades y accesos
• Es un proceso de seguridad que integra Personas, Procesos y Tecnología con el fin de gestionar el ciclo de vida de las identidades de los usuarios y sus derechos de acceso a los sistemas de información
¿Qué es la identidad?
Es el identificador que utiliza un usuario para registrarse ante un sistema al cual están asociados derechos y/o permisos de acceso a la información
PersonaDatos de la
persona
Datos de la organización
Roles organizacionales
Cuenta de correo
Cuenta de red
Cuenta aplicativo
Perfiles o accesos
Perfiles o accesos
Perfiles o accesos
Necesidades que cubre la Gestión de identidades y accesos (IAM)
Seguridad
• Política de control de
acceso: “necesidad de
conocer” y
“menor privilegio”
• Acceso basado en roles
• Integración de identidad
• Revocación de acceso
• Registro y auditoría de
acceso integrado
• Obligar contraseñas
fuertes
• Controles de seguridad
en una sola plataforma
(p. ej. Criptografía)
Administración
• Simplificación de procesos
de alta, baja y
modificación de privilegios
• Disminución en el tiempo de
creación de cuentas de
acceso
• Integración de identidad para
varios activos de información
• Centralización de privilegios
• Reducción en el número de
llamadas relacionadas con
contraseñas
Regulatorio
• Cumplimiento con
regulaciones guberna-
mentales relacionadas
con auditoría de acceso
• Apoyo al cumplimiento
de estándares como
ISO 27001:2013,
ISO 20000-1:2011
ISO 29146:2016
• Sarbanes Oxley, PCI, SOX
• MAAGTICSI
• COSO, COBIT, INAI
• Boletines CNBV
Ejemplos de amenazas y vulnerabilidades de control de acceso relacionadas a ISO 27001
Amenazas Ejemplos de vulnerabilidades Controles sugeridos en el ISO 27001
de control de acceso
Acceso no autorizado a
información por exceso de
privilegios
• No existe una política
• No existen roles
• Se tienen usuarios desactualizados
A.11.1.1 Política de control de acceso
A.11.2.2 Administración de privilegios
Acceso no autorizado a
información por selección de
contraseña o administración
de contraseña
• Uso de contraseñas simples
• Falta de responsivas de usuarios
• Contraseñas que no expiran
A.11.2.3 Administración de contraseñas
de usuario
A.11.5.3 Sistema de administración
contraseñas
Acceso no autorizado a la
información por falta de una
identificación y autorización
única
• Proceso de verificación de identidad
para cambio de contraseña
• Aplicaciones con su propio repositorio
de identidad
A.11.2.1 Registro de usuarios
A.11.5.2 Identificación y autenticación
de usuarios
Incapacidad de proveer
evidencia
• Usuarios de Help desk conocen los
códigos de los usuarios
A.11.5.2 Identificación y autenticación
de usuarios
A.10.10.2 Monitoreo de uso de sistema
A.10.10.1 Registro eventos
Objetivos de IAM en la organización
• Fortalecer la seguridad
• Incrementar la productividad
• Ampliar los niveles de servicio
• Sincronizar la información de la identidad
• Apoyar el cumplimiento regulatorio
• Proveer retorno de inversión
Fortalecer la seguridad de la información
• Se requiere saber quién tiene acceso a qué recursos de información en la organización y reaccionar rápidamente ante posibles riesgos de seguridad de la información
Información
Confidencialidad
IntegridadDisponibilidad
Incrementar la productividad
• Es necesario automatizar procesos de gestión ejecutados manualmente y delegar actividades a los usuarios sin perder la autoridad central
Ampliar los niveles de servicio
• Gestionar oportunamente los continuos cambios de roles y responsabilidades de los usuarios de manera que ellos inicien rápidamente su trabajo productivo
Sincronizar la información de la identidad
• Se requiere disponer de información exacta, íntegra y persistente acerca de los usuarios y sus privilegios de acceso, sin importar la frecuencia y cantidad de sus cambios
PersonaDatos de la
persona
Datos de la organización
Roles organizacionales
Cuenta de correo
Cuenta de red
Cuenta aplicativo
Perfiles o accesos
Perfiles o accesos
Perfiles o accesos
Apoyar el cumplimiento regulatorio
• Debe apoyar el cumplimiento de la regulación relacionada con el control de acceso a la información, el manejo de roles y perfiles y la gestión de los usuarios
Proveer retorno de inversión
• Se debe evidenciar el retorno de la inversión en tecnología presentando resultados en corto tiempo que indiquen mejora en la gestión
Hoja de ruta implantación IAM
Repositorio
corporativo
de
identidades
Fuente
autoritativa
Roles y
PerfilesAprovisio-
namiento
Administración
de
accesos
Autenticación
robusta
Identidad
federada
Repositorio corporativo de identidades
• Consolidar la identidades en un repositorio centralizado con información personal, cuentas de usuarios y permisos de acceso a los sistemas
Fuente autoritativa
• Definir una fuente única, válida y centralizada de información como origen para poblar el repositorio corporativo de identidades, generalmente la fuente autoritativa es recursos humanos
Roles y perfiles
• Establecer los roles de negocio que soportan la operación y que deben estar alineados a los roles configurados en las aplicaciones
Aprovisionamiento
• Gestionar el ciclo de vida de las identidades, desde la creación, hasta su dada de alta, pasando por bloqueo, desbloqueo, activación, inactivación, asignación y derogación de roles y mantenimiento de información general como : cargo, ubicación, identificación
Aprovisionamiento
Inicio de la Relación
Entrega aplicaciones
Fin de la Relación
Eliminación de accesos
Compañía
Área
Nivel
Administración y mtmt. de datos
Puesto
Control de accesos
Solicitud de acceso a aplicación y permisos
Eliminación de accesos por cambios
organizacionales
Validación de accesos por
jefes inmediatos
Cambio Contraseña
Manejo de Contraseñas
Contraseña inicial
Olvido Contraseña
Administración de accesos
• Definir los procedimientos relacionados con el control de acceso a la información aplicando el mínimo privilegio y la necesidad de conocer
Autenticación robusta – Factores de autenticación
• Factor 1o Algo que conozco
• Factor 2o Algo que conozco + algo que tengo
o Algo que soy + algo que conozco
Identidad federada
Empresa 1
Empresa 2
Empresa 3Permitir la interoperabilidad de identidades
entre compañías y redes con un mismo
identificador
Hitos en la implantación de un sistema IAM
• Roles
• ResponsabilidadesCompromiso• Funcional
• OperativoAlcance• Usuarios
• Aplicaciones
• ÁreasEstrategia
• Hardware
• SoftwareArquitectura
• FasesImplantación• Concienciación
• CapacitaciónEntrenamiento
• Alta disponibilidadContinuidad
Estrategia
• Es necesario establecer de acuerdo con el negocio lo que agregue más valor, de tal manera que se puedan brindar resultados visibles en el menor tiempo posible
• ¿Qué brinda resultados en el menor tiempo posible?o Aplicaciones críticas
o Usuarios por área
o Usuarios por aplicación
o Kit básico
o Aplicaciones por centros de costos
o Bajas de todas las aplicaciones
Arquitectura
• Definir la alienación con la directriz tecnológica de la organizacióno Sistemas operativos
o Virtualización
o Alta disponibilidad
o Aplicaciones
o Procesos
o Políticas
Entrenamiento
• Concientización de los usuarios en el fortalecimiento de la seguridad
• Entrenar a los administradores y operadores de la solución para el mantenimiento y operación de la misma
Continuidad
• El acceso a los sistemas debe estar habilitado y soportado en componentes de alta disponibilidad
Factores críticos de éxito
- Alcance no acordado y formalizado
- Roles y perfiles no identificados y establecidos claramente
- Entrenamiento inadecuado
- Inconsistencias en la interacción con otras plataformas
- Soporte técnico inadecuado
- Fallas de servicio de infraestructura tecnológica
- Resistencia al cambio
- Débil conciencia en seguridad
- Percepción errada de fallas de servicio
- Recursos para operar la solución con perfil especializado
Operativos Tecnológicos Humanos
Testimonio – Ing. Rodolfo Aguilera Martínez
• Factores críticos de implantación• Involucramiento de la organización desde la implantación para dar continuidad a la operación• RBAC• Relación Gobierno (Políticas y procedimientos)-Negocio
• Beneficios de la solución• Operación• Reducción de riesgos
• Beneficios de la tercerización de la operación de la solución• Recurso humano• Curva de aprendizaje – apoyo con capacitación• Mentoring