¿Administras la Identidad?
• ¿Te preocupa que personas que ya no pertenecen a la Organización, sigan teniendo acceso a tus sistemas?
• ¿Tienes problemas con la administración de múltiples contraseñas a diversas aplicaciones?
• ¿Requieres tener control de qué usuarios tienen acceso a cada recurso en la Organización, tanto en la red interna como en la nube?
• ¿Necesitas reducir el tiempo desde que ingresa la persona a la Organización y recibe los accesos a sus aplicaciones?
• ¿Recibes muchas llamadas para cambio de contraseñas?
Conoce como la identidad y acceso te pueden ayudar con:
• Una sola cuenta y contraseña para acceso a diversas aplicaciones.
• Automatización de creación y revocación de cuentas, centralizando la administración del acceso, garantizando que cada usuario tiene una única identidad.
• Control del ciclo de vida de la administración de accesos e identidades a los recursos de la Organización.
• Autoservicio de contraseña y solicitud de roles o perfiles a través de flujos de autorización
Obteniendo los siguientes beneficios
• Reducción de gastos derivados de garantizar la conformidad a los organismos reguladores, auditores y usuarios internos.
• Minimizar riesgo elevado de incumplimiento:
o Sanciones, perdida de datos, perdida de la confianza del cliente, etc.
• Adiós a los huecos de seguridad derivados de la administración manual.
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernetica
1. Importancia de la Gestión de la Identidad y
Control de Acceso en la Seguridad
Cibernética
Gabriela Espinosa Calderón
gabriela.espinosa@sommet.com.mx
Sommet Tecnología
2. Situación actual de las empresas
• Fortalecimiento del Gobierno
• Conciencia de la gestión de riesgos
• Cumplimiento regulatorio más exigente
• Apego a normas y estándares
Sommet Tecnología
3. Diversidad de tecnologías aplicadas
• Cada vez es mayor el desarrollo de múltiples recursos de TI para soportar
negocios, los ecosistemas se vuelven más complejos
Sommet Tecnología
7. Control de Acceso (Access Management)
• Son los mecanismos para limitar el acceso a la información y recursos
• Tradicionalmente los controles se agrupan en físicos, lógicos o técnicos y administrativos
• Guardias
• Candados
• Credencial
• Tarjetas de acceso
• Seguridad
Perimetral
Físicos
• Separación de redes
• Firewall
• Antivirus
• Smartcard/Biométricos
• Listas de Acceso
• Encriptación
• Detección de Intrusos
• Contraseñas
Lógicos o
Técnicos
• Políticas y
procedimientos
• Concientización
• Supervisión de
empleados
• Separación de funciones
• Rotación de funciones
Administrativos
Sommet Tecnología
8. Metas del control de accesos
• Necesidad de conocer (Need to know)
o Acceso a la información que es pertinente para realizar su trabajo o función
• Menor privilegio (Least privilege)
o El menor permiso o privilegio sobre la información a la que se tiene acceso
Sommet Tecnología
9. Pasos del control de accesos
• Identificación – Validación de que la cuenta de usuario
existe en un sistema. Este paso se realiza generalmente
al inicio de la sesión
• Autenticación – Verificación de que el usuario es quien
dice ser, generalmente a través de contraseñas o
escáneres biométricos
• Autorización – Verificación del nivel de accesos de un
usuario en un sistema, generalmente a través de perfiles
o roles Sommet Tecnología
10. Identity and Access Management (IAM) –
Gestión de identidades y accesos
Seguridad física
Administración
de la
Identidad
(alta, baja y
cambios de
usuarios)
Administración
de autenticación
(contraseñas)
Auditoría de
acceso y autorizaciones
Cumplimiento
con Regulaciones
• Administración de roles
• Administración de privilegios
✓ Red
✓ Sistemas operativos
✓ Aplicaciones
Control de Acceso
Sommet Tecnología
11. Identity and Access Management (IAM) –
Gestión de identidades y accesos
• Es un proceso de seguridad que integra Personas, Procesos y
Tecnología con el fin de gestionar el ciclo de vida de las
identidades de los usuarios y sus derechos de acceso a los sistemas
de información
Sommet Tecnología
12. ¿Qué es la identidad?
Es el identificador que utiliza un usuario para
registrarse ante un sistema al cual están asociados
derechos y/o permisos de acceso a la información
Persona
Datos de la
persona
Datos de la organización
Roles organizacionales
Cuenta de correo
Cuenta de red
Cuenta aplicativo
Perfiles o accesos
Perfiles o accesos
Perfiles o accesos
Sommet Tecnología
13. Necesidades que cubre la Gestión de
identidades y accesos (IAM)
Seguridad
• Política de control de
acceso: “necesidad de
conocer” y
“menor privilegio”
• Acceso basado en roles
• Integración de identidad
• Revocación de acceso
• Registro y auditoría de
acceso integrado
• Obligar contraseñas
fuertes
• Controles de seguridad
en una sola plataforma
(p. ej. Criptografía)
Administración
• Simplificación de procesos
de alta, baja y
modificación de privilegios
• Disminución en el tiempo de
creación de cuentas de
acceso
• Integración de identidad para
varios activos de información
• Centralización de privilegios
• Reducción en el número de
llamadas relacionadas con
contraseñas
Regulatorio
• Cumplimiento con
regulaciones guberna-
mentales relacionadas
con auditoría de acceso
• Apoyo al cumplimiento
de estándares como
ISO 27001:2013,
ISO 20000-1:2011
ISO 29146:2016
• Sarbanes Oxley, PCI, SOX
• MAAGTICSI
• COSO, COBIT, INAI
• Boletines CNBV
Sommet Tecnología
14. Ejemplos de amenazas y vulnerabilidades de
control de acceso relacionadas a ISO 27001
Amenazas Ejemplos de vulnerabilidades Controles sugeridos en el ISO 27001
de control de acceso
Acceso no autorizado a
información por exceso de
privilegios
• No existe una política
• No existen roles
• Se tienen usuarios desactualizados
A.11.1.1 Política de control de acceso
A.11.2.2 Administración de privilegios
Acceso no autorizado a
información por selección de
contraseña o administración
de contraseña
• Uso de contraseñas simples
• Falta de responsivas de usuarios
• Contraseñas que no expiran
A.11.2.3 Administración de contraseñas
de usuario
A.11.5.3 Sistema de administración
contraseñas
Acceso no autorizado a la
información por falta de una
identificación y autorización
única
• Proceso de verificación de identidad
para cambio de contraseña
• Aplicaciones con su propio repositorio
de identidad
A.11.2.1 Registro de usuarios
A.11.5.2 Identificación y autenticación
de usuarios
Incapacidad de proveer
evidencia
• Usuarios de Help desk conocen los
códigos de los usuarios
A.11.5.2 Identificación y autenticación
de usuarios
A.10.10.2 Monitoreo de uso de sistema
A.10.10.1 Registro eventos
Sommet Tecnología
15. Objetivos de IAM en la organización
• Fortalecer la seguridad
• Incrementar la productividad
• Ampliar los niveles de servicio
• Sincronizar la información de la identidad
• Apoyar el cumplimiento regulatorio
• Proveer retorno de inversión
Sommet Tecnología
16. Fortalecer la seguridad de la información
• Se requiere saber quién tiene acceso a qué recursos de
información en la organización y reaccionar rápidamente ante
posibles riesgos de seguridad de la información
Información
Confidencialidad
IntegridadDisponibilidad
Sommet Tecnología
17. Incrementar la productividad
• Es necesario automatizar procesos de gestión ejecutados manualmente y
delegar actividades a los usuarios sin perder la autoridad central
Sommet Tecnología
18. Ampliar los niveles de servicio
• Gestionar oportunamente los continuos cambios de roles y
responsabilidades de los usuarios de manera que ellos inicien
rápidamente su trabajo productivo
Sommet Tecnología
19. Sincronizar la información de la identidad
• Se requiere disponer de información exacta, íntegra y persistente
acerca de los usuarios y sus privilegios de acceso, sin importar la
frecuencia y cantidad de sus cambios
Persona
Datos de la
persona
Datos de la organización
Roles organizacionales
Cuenta de correo
Cuenta de red
Cuenta aplicativo
Perfiles o accesos
Perfiles o accesos
Perfiles o accesos
Sommet Tecnología
20. Apoyar el cumplimiento regulatorio
• Debe apoyar el cumplimiento de la regulación relacionada con el
control de acceso a la información, el manejo de roles y perfiles y
la gestión de los usuarios
Sommet Tecnología
21. Proveer retorno de inversión
• Se debe evidenciar el retorno de la inversión en tecnología
presentando resultados en corto tiempo que indiquen mejora en la
gestión
Sommet Tecnología
22. Evolución de la gestión de la identidad
Empleados
Empleados
& Proveedores
Consumidores
IoT
Sommet Tecnología
23. Hoja de ruta implantación IAM
Repositorio
corporativo
de
identidades
Fuente
autoritativa
Roles y
Perfiles
Aprovisio-
namiento
Administración
de
accesos
Autenticación
robusta
Identidad
federada
Sommet Tecnología
24. Repositorio corporativo de identidades
• Consolidar la identidades en un repositorio centralizado con
información personal, cuentas de usuarios y permisos de acceso a
los sistemas
Sommet Tecnología
25. Fuente autoritativa
• Definir una fuente única, válida y centralizada de información
como origen para poblar el repositorio corporativo de identidades,
generalmente la fuente autoritativa es recursos humanos
Sommet Tecnología
26. Roles y perfiles
• Establecer los roles de negocio que soportan la operación y que
deben estar alineados a los roles configurados en las aplicaciones
Sommet Tecnología
27. Aprovisionamiento
• Gestionar el ciclo de vida de las identidades, desde la creación,
hasta su dada de alta, pasando por bloqueo, desbloqueo,
activación, inactivación, asignación y derogación de roles y
mantenimiento de información general como : cargo, ubicación,
identificación
Sommet Tecnología
28. Aprovisionamiento
Inicio de la
Relación
Entrega aplicaciones
Fin de la
Relación
Eliminación de
accesos
Compañía
Área
Nivel
Administración y
mtmt. de datos
Puesto
Control de
accesos
Solicitud de acceso a
aplicación y permisos
Eliminación de
accesos por cambios
organizacionales
Validación de
accesos por
jefes
inmediatos
Cambio Contraseña
Manejo de
Contraseñas
Contraseña inicial
Olvido Contraseña
Sommet Tecnología
29. Administración de accesos
• Definir los procedimientos relacionados con el control de acceso a
la información aplicando el mínimo privilegio y la necesidad de
conocer
Sommet Tecnología
30. Autenticación robusta – Factores de
autenticación
• Factor 1
o Algo que conozco
• Factor 2
o Algo que conozco + algo que tengo
o Algo que soy + algo que conozco
Sommet Tecnología
31. Identidad federada
Empresa 1
Empresa 2
Empresa 3Permitir la interoperabilidad de identidades
entre compañías y redes con un mismo
identificador
Sommet Tecnología
32. Hitos en la implantación de un sistema IAM
• Roles
• ResponsabilidadesCompromiso
• Funcional
• OperativoAlcance
• Usuarios
• Aplicaciones
• Áreas
Estrategia
• Hardware
• SoftwareArquitectura
• FasesImplantación
• Concienciación
• CapacitaciónEntrenamiento
• Alta disponibilidadContinuidad Sommet Tecnología
33. Compromiso
• Se debe sensibilizar a todos los responsables de las áreas críticas
involucradas
Sommet Tecnología
34. Alcance
• Es clave definir los servicios suministrados
Sommet Tecnología
35. Estrategia
• Es necesario establecer de acuerdo con el negocio lo que agregue
más valor, de tal manera que se puedan brindar resultados visibles
en el menor tiempo posible
• ¿Qué brinda resultados en el menor tiempo posible?
o Aplicaciones críticas
o Usuarios por área
o Usuarios por aplicación
o Kit básico
o Aplicaciones por centros de costos
o Bajas de todas las aplicaciones
Sommet Tecnología
36. Arquitectura
• Definir la alienación con la directriz tecnológica de la organización
o Sistemas operativos
o Virtualización
o Alta disponibilidad
o Aplicaciones
o Procesos
o Políticas
Sommet Tecnología
37. Implantación
• El esquema de implantación debe tener el menor impacto posible
en la operación
Sommet Tecnología
38. Entrenamiento
• Concientización de los usuarios en el fortalecimiento de la
seguridad
• Entrenar a los administradores y operadores de la solución para el
mantenimiento y operación de la misma
Sommet Tecnología
39. Continuidad
• El acceso a los sistemas debe estar habilitado y soportado en
componentes de alta disponibilidad
Sommet Tecnología
40. Factores críticos de éxito
- Alcance no
acordado y
formalizado
- Roles y perfiles no
identificados y
establecidos
claramente
- Entrenamiento
inadecuado
- Inconsistencias en
la interacción con
otras plataformas
- Soporte técnico
inadecuado
- Fallas de servicio
de infraestructura
tecnológica
- Resistencia al
cambio
- Débil conciencia en
seguridad
- Percepción errada
de fallas de servicio
- Recursos para
operar la solución
con perfil
especializado
Operativos Tecnológicos Humanos
Sommet Tecnología
41. Testimonio – Ing. Rodolfo Aguilera Martínez
• Factores críticos de implantación
• Involucramiento de la organización desde la implantación para dar continuidad a la operación
• RBAC
• Relación Gobierno (Políticas y procedimientos)-Negocio
• Beneficios de la solución
• Operación
• Reducción de riesgos
• Beneficios de la tercerización de la operación de la solución
• Recurso humano
• Curva de aprendizaje – apoyo con capacitación
• Mentoring
Sommet Tecnología