SlideShare una empresa de Scribd logo

Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernetica

Oscar Balderas
Oscar Balderas

¿Administras la Identidad? • ¿Te preocupa que personas que ya no pertenecen a la Organización, sigan teniendo acceso a tus sistemas? • ¿Tienes problemas con la administración de múltiples contraseñas a diversas aplicaciones? • ¿Requieres tener control de qué usuarios tienen acceso a cada recurso en la Organización, tanto en la red interna como en la nube? • ¿Necesitas reducir el tiempo desde que ingresa la persona a la Organización y recibe los accesos a sus aplicaciones? • ¿Recibes muchas llamadas para cambio de contraseñas? Conoce como la identidad y acceso te pueden ayudar con: • Una sola cuenta y contraseña para acceso a diversas aplicaciones. • Automatización de creación y revocación de cuentas, centralizando la administración del acceso, garantizando que cada usuario tiene una única identidad. • Control del ciclo de vida de la administración de accesos e identidades a los recursos de la Organización. • Autoservicio de contraseña y solicitud de roles o perfiles a través de flujos de autorización Obteniendo los siguientes beneficios • Reducción de gastos derivados de garantizar la conformidad a los organismos reguladores, auditores y usuarios internos. • Minimizar riesgo elevado de incumplimiento: o Sanciones, perdida de datos, perdida de la confianza del cliente, etc. • Adiós a los huecos de seguridad derivados de la administración manual.

Tecnología
1 de 43
Descargar para leer sin conexión
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernética Gabriela Espinosa Calderón gabriela.espinosa@sommet.com.mx Sommet Tecnología
Situación actual de las empresas • Fortalecimiento del Gobierno • Conciencia de la gestión de riesgos • Cumplimiento regulatorio más exigente • Apego a normas y estándares Sommet Tecnología
Diversidad de tecnologías aplicadas • Cada vez es mayor el desarrollo de múltiples recursos de TI para soportar negocios, los ecosistemas se vuelven más complejos Sommet Tecnología
Relación multi-usuario/multi-plataforma Múltiples Usuarios Usuario 1 Usuario 2 Usuario 3 Usuario 4 Usuario 5 Usuario 6 RRHH CRM Sistema Financiero Sistema Cobranza Correo Electrónico Directorio Activo Múltiples Aplicaciones Sommet Tecnología
Relación multi-identificador/multi- contraseña Múltiples ID ID3 Contraseña3 CRM Correo Electrónico Directorio Activo Sistema Financiero Sistema Cobranza Múltiples contraseñas Sommet Tecnología
Relación multi-contraseña/multi-políticas • Múltiples políticas de contraseñas: o Longitud mínima y máxima o Vigencias o Complejidad o Histórico Sommet Tecnología
Control de Acceso (Access Management) • Son los mecanismos para limitar el acceso a la información y recursos • Tradicionalmente los controles se agrupan en físicos, lógicos o técnicos y administrativos • Guardias • Candados • Credencial • Tarjetas de acceso • Seguridad Perimetral Físicos • Separación de redes • Firewall • Antivirus • Smartcard/Biométricos • Listas de Acceso • Encriptación • Detección de Intrusos • Contraseñas Lógicos o Técnicos • Políticas y procedimientos • Concientización • Supervisión de empleados • Separación de funciones • Rotación de funciones Administrativos Sommet Tecnología
Metas del control de accesos • Necesidad de conocer (Need to know) o Acceso a la información que es pertinente para realizar su trabajo o función • Menor privilegio (Least privilege) o El menor permiso o privilegio sobre la información a la que se tiene acceso Sommet Tecnología
Pasos del control de accesos • Identificación – Validación de que la cuenta de usuario existe en un sistema. Este paso se realiza generalmente al inicio de la sesión • Autenticación – Verificación de que el usuario es quien dice ser, generalmente a través de contraseñas o escáneres biométricos • Autorización – Verificación del nivel de accesos de un usuario en un sistema, generalmente a través de perfiles o roles Sommet Tecnología
Identity and Access Management (IAM) – Gestión de identidades y accesos Seguridad física Administración de la Identidad (alta, baja y cambios de usuarios) Administración de autenticación (contraseñas) Auditoría de acceso y autorizaciones Cumplimiento con Regulaciones • Administración de roles • Administración de privilegios ✓ Red ✓ Sistemas operativos ✓ Aplicaciones Control de Acceso Sommet Tecnología
Identity and Access Management (IAM) – Gestión de identidades y accesos • Es un proceso de seguridad que integra Personas, Procesos y Tecnología con el fin de gestionar el ciclo de vida de las identidades de los usuarios y sus derechos de acceso a los sistemas de información Sommet Tecnología
¿Qué es la identidad? Es el identificador que utiliza un usuario para registrarse ante un sistema al cual están asociados derechos y/o permisos de acceso a la información Persona Datos de la persona Datos de la organización Roles organizacionales Cuenta de correo Cuenta de red Cuenta aplicativo Perfiles o accesos Perfiles o accesos Perfiles o accesos Sommet Tecnología
Necesidades que cubre la Gestión de identidades y accesos (IAM) Seguridad • Política de control de acceso: “necesidad de conocer” y “menor privilegio” • Acceso basado en roles • Integración de identidad • Revocación de acceso • Registro y auditoría de acceso integrado • Obligar contraseñas fuertes • Controles de seguridad en una sola plataforma (p. ej. Criptografía) Administración • Simplificación de procesos de alta, baja y modificación de privilegios • Disminución en el tiempo de creación de cuentas de acceso • Integración de identidad para varios activos de información • Centralización de privilegios • Reducción en el número de llamadas relacionadas con contraseñas Regulatorio • Cumplimiento con regulaciones guberna- mentales relacionadas con auditoría de acceso • Apoyo al cumplimiento de estándares como ISO 27001:2013, ISO 20000-1:2011 ISO 29146:2016 • Sarbanes Oxley, PCI, SOX • MAAGTICSI • COSO, COBIT, INAI • Boletines CNBV Sommet Tecnología
Ejemplos de amenazas y vulnerabilidades de control de acceso relacionadas a ISO 27001 Amenazas Ejemplos de vulnerabilidades Controles sugeridos en el ISO 27001 de control de acceso Acceso no autorizado a información por exceso de privilegios • No existe una política • No existen roles • Se tienen usuarios desactualizados A.11.1.1 Política de control de acceso A.11.2.2 Administración de privilegios Acceso no autorizado a información por selección de contraseña o administración de contraseña • Uso de contraseñas simples • Falta de responsivas de usuarios • Contraseñas que no expiran A.11.2.3 Administración de contraseñas de usuario A.11.5.3 Sistema de administración contraseñas Acceso no autorizado a la información por falta de una identificación y autorización única • Proceso de verificación de identidad para cambio de contraseña • Aplicaciones con su propio repositorio de identidad A.11.2.1 Registro de usuarios A.11.5.2 Identificación y autenticación de usuarios Incapacidad de proveer evidencia • Usuarios de Help desk conocen los códigos de los usuarios A.11.5.2 Identificación y autenticación de usuarios A.10.10.2 Monitoreo de uso de sistema A.10.10.1 Registro eventos Sommet Tecnología
Objetivos de IAM en la organización • Fortalecer la seguridad • Incrementar la productividad • Ampliar los niveles de servicio • Sincronizar la información de la identidad • Apoyar el cumplimiento regulatorio • Proveer retorno de inversión Sommet Tecnología
Fortalecer la seguridad de la información • Se requiere saber quién tiene acceso a qué recursos de información en la organización y reaccionar rápidamente ante posibles riesgos de seguridad de la información Información Confidencialidad IntegridadDisponibilidad Sommet Tecnología
Incrementar la productividad • Es necesario automatizar procesos de gestión ejecutados manualmente y delegar actividades a los usuarios sin perder la autoridad central Sommet Tecnología
Ampliar los niveles de servicio • Gestionar oportunamente los continuos cambios de roles y responsabilidades de los usuarios de manera que ellos inicien rápidamente su trabajo productivo Sommet Tecnología
Sincronizar la información de la identidad • Se requiere disponer de información exacta, íntegra y persistente acerca de los usuarios y sus privilegios de acceso, sin importar la frecuencia y cantidad de sus cambios Persona Datos de la persona Datos de la organización Roles organizacionales Cuenta de correo Cuenta de red Cuenta aplicativo Perfiles o accesos Perfiles o accesos Perfiles o accesos Sommet Tecnología
Apoyar el cumplimiento regulatorio • Debe apoyar el cumplimiento de la regulación relacionada con el control de acceso a la información, el manejo de roles y perfiles y la gestión de los usuarios Sommet Tecnología
Proveer retorno de inversión • Se debe evidenciar el retorno de la inversión en tecnología presentando resultados en corto tiempo que indiquen mejora en la gestión Sommet Tecnología
Evolución de la gestión de la identidad Empleados Empleados & Proveedores Consumidores IoT Sommet Tecnología
Hoja de ruta implantación IAM Repositorio corporativo de identidades Fuente autoritativa Roles y Perfiles Aprovisio- namiento Administración de accesos Autenticación robusta Identidad federada Sommet Tecnología
Repositorio corporativo de identidades • Consolidar la identidades en un repositorio centralizado con información personal, cuentas de usuarios y permisos de acceso a los sistemas Sommet Tecnología
Fuente autoritativa • Definir una fuente única, válida y centralizada de información como origen para poblar el repositorio corporativo de identidades, generalmente la fuente autoritativa es recursos humanos Sommet Tecnología
Roles y perfiles • Establecer los roles de negocio que soportan la operación y que deben estar alineados a los roles configurados en las aplicaciones Sommet Tecnología
Aprovisionamiento • Gestionar el ciclo de vida de las identidades, desde la creación, hasta su dada de alta, pasando por bloqueo, desbloqueo, activación, inactivación, asignación y derogación de roles y mantenimiento de información general como : cargo, ubicación, identificación Sommet Tecnología
Aprovisionamiento Inicio de la Relación Entrega aplicaciones Fin de la Relación Eliminación de accesos Compañía Área Nivel Administración y mtmt. de datos Puesto Control de accesos Solicitud de acceso a aplicación y permisos Eliminación de accesos por cambios organizacionales Validación de accesos por jefes inmediatos Cambio Contraseña Manejo de Contraseñas Contraseña inicial Olvido Contraseña Sommet Tecnología
Administración de accesos • Definir los procedimientos relacionados con el control de acceso a la información aplicando el mínimo privilegio y la necesidad de conocer Sommet Tecnología
Autenticación robusta – Factores de autenticación • Factor 1 o Algo que conozco • Factor 2 o Algo que conozco + algo que tengo o Algo que soy + algo que conozco Sommet Tecnología
Identidad federada Empresa 1 Empresa 2 Empresa 3Permitir la interoperabilidad de identidades entre compañías y redes con un mismo identificador Sommet Tecnología
Hitos en la implantación de un sistema IAM • Roles • ResponsabilidadesCompromiso • Funcional • OperativoAlcance • Usuarios • Aplicaciones • Áreas Estrategia • Hardware • SoftwareArquitectura • FasesImplantación • Concienciación • CapacitaciónEntrenamiento • Alta disponibilidadContinuidad Sommet Tecnología
Compromiso • Se debe sensibilizar a todos los responsables de las áreas críticas involucradas Sommet Tecnología
Alcance • Es clave definir los servicios suministrados Sommet Tecnología
Estrategia • Es necesario establecer de acuerdo con el negocio lo que agregue más valor, de tal manera que se puedan brindar resultados visibles en el menor tiempo posible • ¿Qué brinda resultados en el menor tiempo posible? o Aplicaciones críticas o Usuarios por área o Usuarios por aplicación o Kit básico o Aplicaciones por centros de costos o Bajas de todas las aplicaciones Sommet Tecnología
Arquitectura • Definir la alienación con la directriz tecnológica de la organización o Sistemas operativos o Virtualización o Alta disponibilidad o Aplicaciones o Procesos o Políticas Sommet Tecnología
Implantación • El esquema de implantación debe tener el menor impacto posible en la operación Sommet Tecnología
Entrenamiento • Concientización de los usuarios en el fortalecimiento de la seguridad • Entrenar a los administradores y operadores de la solución para el mantenimiento y operación de la misma Sommet Tecnología
Continuidad • El acceso a los sistemas debe estar habilitado y soportado en componentes de alta disponibilidad Sommet Tecnología
Factores críticos de éxito - Alcance no acordado y formalizado - Roles y perfiles no identificados y establecidos claramente - Entrenamiento inadecuado - Inconsistencias en la interacción con otras plataformas - Soporte técnico inadecuado - Fallas de servicio de infraestructura tecnológica - Resistencia al cambio - Débil conciencia en seguridad - Percepción errada de fallas de servicio - Recursos para operar la solución con perfil especializado Operativos Tecnológicos Humanos Sommet Tecnología
Testimonio – Ing. Rodolfo Aguilera Martínez • Factores críticos de implantación • Involucramiento de la organización desde la implantación para dar continuidad a la operación • RBAC • Relación Gobierno (Políticas y procedimientos)-Negocio • Beneficios de la solución • Operación • Reducción de riesgos • Beneficios de la tercerización de la operación de la solución • Recurso humano • Curva de aprendizaje – apoyo con capacitación • Mentoring Sommet Tecnología
Preguntas Sommet Tecnología
¡Muchas gracias! Sommet Tecnología

Recomendados

Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 

Recomendados

Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Control acceso
Control accesoControl acceso
Control accesoGermán Cruz
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidorMARIA ESTER GONZALEZ
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
Ejemplos de requerimientos
Ejemplos de requerimientosEjemplos de requerimientos
Ejemplos de requerimientosRuby Esperanza Gironza Jimenez
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Authentication, authorization, accounting(aaa) slides
Authentication, authorization, accounting(aaa) slidesAuthentication, authorization, accounting(aaa) slides
Authentication, authorization, accounting(aaa) slidesrahul kundu
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridadBella Romero Aguillón
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
Control de uso y asignación de privilegios
Control de uso y asignación de privilegiosControl de uso y asignación de privilegios
Control de uso y asignación de privilegiosAlejandro Salas
 

Más contenido relacionado

La actualidad más candente

Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuariosUriel Hernandez
 
Authentication, authorization, accounting(aaa) slides
Authentication, authorization, accounting(aaa) slidesAuthentication, authorization, accounting(aaa) slides
Authentication, authorization, accounting(aaa) slidesrahul kundu
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 

La actualidad más candente (20)

Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Control acceso
Control accesoControl acceso
Control acceso
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidor
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En Informática
 
Identificación y autenticación de usuarios
Identificación y autenticación de usuariosIdentificación y autenticación de usuarios
Identificación y autenticación de usuarios
 
Ejemplos de requerimientos
Ejemplos de requerimientosEjemplos de requerimientos
Ejemplos de requerimientos
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
 
Authentication, authorization, accounting(aaa) slides
Authentication, authorization, accounting(aaa) slidesAuthentication, authorization, accounting(aaa) slides
Authentication, authorization, accounting(aaa) slides
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 

Similar a Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernetica

mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
Control de uso y asignación de privilegios
Control de uso y asignación de privilegiosControl de uso y asignación de privilegios
Control de uso y asignación de privilegiosAlejandro Salas
 
Auditoria de la_seguridad
Auditoria de la_seguridadAuditoria de la_seguridad
Auditoria de la_seguridadoscar lopez
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?Rames Sarwat
 
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...EXIN
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
 
Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Fabián Descalzo
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionjhonsu1989
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
1.1 introducción
1.1 introducción1.1 introducción
1.1 introducciónmarlexchaya
 
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...EXIN
 
Madurez de gestión de identidades
Madurez de gestión de identidadesMadurez de gestión de identidades
Madurez de gestión de identidadesJaime Contreras
 
Administracion del-control-accesos
Administracion del-control-accesosAdministracion del-control-accesos
Administracion del-control-accesosinternetic.edu
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 

Similar a Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernetica (20)

mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
Control de uso y asignación de privilegios
Control de uso y asignación de privilegiosControl de uso y asignación de privilegios
Control de uso y asignación de privilegios
 
Auditoria de la_seguridad
Auditoria de la_seguridadAuditoria de la_seguridad
Auditoria de la_seguridad
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
 
Administracion de riesgos
Administracion de riesgosAdministracion de riesgos
Administracion de riesgos
 
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de l...
 
¿Tu identidad está a salvo?
¿Tu identidad está a salvo?¿Tu identidad está a salvo?
¿Tu identidad está a salvo?
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
 
Ensayo unidad ii_as
Ensayo unidad ii_asEnsayo unidad ii_as
Ensayo unidad ii_as
 
Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
 
1.1 introducción
1.1 introducción1.1 introducción
1.1 introducción
 
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
 
Madurez de gestión de identidades
Madurez de gestión de identidadesMadurez de gestión de identidades
Madurez de gestión de identidades
 
Administracion del-control-accesos
Administracion del-control-accesosAdministracion del-control-accesos
Administracion del-control-accesos
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testing
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
 

Último

dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 

Último (20)

dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 

Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernetica

  • 1. Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernética Gabriela Espinosa Calderón gabriela.espinosa@sommet.com.mx Sommet Tecnología
  • 2. Situación actual de las empresas • Fortalecimiento del Gobierno • Conciencia de la gestión de riesgos • Cumplimiento regulatorio más exigente • Apego a normas y estándares Sommet Tecnología
  • 3. Diversidad de tecnologías aplicadas • Cada vez es mayor el desarrollo de múltiples recursos de TI para soportar negocios, los ecosistemas se vuelven más complejos Sommet Tecnología
  • 4. Relación multi-usuario/multi-plataforma Múltiples Usuarios Usuario 1 Usuario 2 Usuario 3 Usuario 4 Usuario 5 Usuario 6 RRHH CRM Sistema Financiero Sistema Cobranza Correo Electrónico Directorio Activo Múltiples Aplicaciones Sommet Tecnología
  • 5. Relación multi-identificador/multi- contraseña Múltiples ID ID3 Contraseña3 CRM Correo Electrónico Directorio Activo Sistema Financiero Sistema Cobranza Múltiples contraseñas Sommet Tecnología
  • 6. Relación multi-contraseña/multi-políticas • Múltiples políticas de contraseñas: o Longitud mínima y máxima o Vigencias o Complejidad o Histórico Sommet Tecnología
  • 7. Control de Acceso (Access Management) • Son los mecanismos para limitar el acceso a la información y recursos • Tradicionalmente los controles se agrupan en físicos, lógicos o técnicos y administrativos • Guardias • Candados • Credencial • Tarjetas de acceso • Seguridad Perimetral Físicos • Separación de redes • Firewall • Antivirus • Smartcard/Biométricos • Listas de Acceso • Encriptación • Detección de Intrusos • Contraseñas Lógicos o Técnicos • Políticas y procedimientos • Concientización • Supervisión de empleados • Separación de funciones • Rotación de funciones Administrativos Sommet Tecnología
  • 8. Metas del control de accesos • Necesidad de conocer (Need to know) o Acceso a la información que es pertinente para realizar su trabajo o función • Menor privilegio (Least privilege) o El menor permiso o privilegio sobre la información a la que se tiene acceso Sommet Tecnología
  • 9. Pasos del control de accesos • Identificación – Validación de que la cuenta de usuario existe en un sistema. Este paso se realiza generalmente al inicio de la sesión • Autenticación – Verificación de que el usuario es quien dice ser, generalmente a través de contraseñas o escáneres biométricos • Autorización – Verificación del nivel de accesos de un usuario en un sistema, generalmente a través de perfiles o roles Sommet Tecnología
  • 10. Identity and Access Management (IAM) – Gestión de identidades y accesos Seguridad física Administración de la Identidad (alta, baja y cambios de usuarios) Administración de autenticación (contraseñas) Auditoría de acceso y autorizaciones Cumplimiento con Regulaciones • Administración de roles • Administración de privilegios ✓ Red ✓ Sistemas operativos ✓ Aplicaciones Control de Acceso Sommet Tecnología
  • 11. Identity and Access Management (IAM) – Gestión de identidades y accesos • Es un proceso de seguridad que integra Personas, Procesos y Tecnología con el fin de gestionar el ciclo de vida de las identidades de los usuarios y sus derechos de acceso a los sistemas de información Sommet Tecnología
  • 12. ¿Qué es la identidad? Es el identificador que utiliza un usuario para registrarse ante un sistema al cual están asociados derechos y/o permisos de acceso a la información Persona Datos de la persona Datos de la organización Roles organizacionales Cuenta de correo Cuenta de red Cuenta aplicativo Perfiles o accesos Perfiles o accesos Perfiles o accesos Sommet Tecnología
  • 13. Necesidades que cubre la Gestión de identidades y accesos (IAM) Seguridad • Política de control de acceso: “necesidad de conocer” y “menor privilegio” • Acceso basado en roles • Integración de identidad • Revocación de acceso • Registro y auditoría de acceso integrado • Obligar contraseñas fuertes • Controles de seguridad en una sola plataforma (p. ej. Criptografía) Administración • Simplificación de procesos de alta, baja y modificación de privilegios • Disminución en el tiempo de creación de cuentas de acceso • Integración de identidad para varios activos de información • Centralización de privilegios • Reducción en el número de llamadas relacionadas con contraseñas Regulatorio • Cumplimiento con regulaciones guberna- mentales relacionadas con auditoría de acceso • Apoyo al cumplimiento de estándares como ISO 27001:2013, ISO 20000-1:2011 ISO 29146:2016 • Sarbanes Oxley, PCI, SOX • MAAGTICSI • COSO, COBIT, INAI • Boletines CNBV Sommet Tecnología
  • 14. Ejemplos de amenazas y vulnerabilidades de control de acceso relacionadas a ISO 27001 Amenazas Ejemplos de vulnerabilidades Controles sugeridos en el ISO 27001 de control de acceso Acceso no autorizado a información por exceso de privilegios • No existe una política • No existen roles • Se tienen usuarios desactualizados A.11.1.1 Política de control de acceso A.11.2.2 Administración de privilegios Acceso no autorizado a información por selección de contraseña o administración de contraseña • Uso de contraseñas simples • Falta de responsivas de usuarios • Contraseñas que no expiran A.11.2.3 Administración de contraseñas de usuario A.11.5.3 Sistema de administración contraseñas Acceso no autorizado a la información por falta de una identificación y autorización única • Proceso de verificación de identidad para cambio de contraseña • Aplicaciones con su propio repositorio de identidad A.11.2.1 Registro de usuarios A.11.5.2 Identificación y autenticación de usuarios Incapacidad de proveer evidencia • Usuarios de Help desk conocen los códigos de los usuarios A.11.5.2 Identificación y autenticación de usuarios A.10.10.2 Monitoreo de uso de sistema A.10.10.1 Registro eventos Sommet Tecnología
  • 15. Objetivos de IAM en la organización • Fortalecer la seguridad • Incrementar la productividad • Ampliar los niveles de servicio • Sincronizar la información de la identidad • Apoyar el cumplimiento regulatorio • Proveer retorno de inversión Sommet Tecnología
  • 16. Fortalecer la seguridad de la información • Se requiere saber quién tiene acceso a qué recursos de información en la organización y reaccionar rápidamente ante posibles riesgos de seguridad de la información Información Confidencialidad IntegridadDisponibilidad Sommet Tecnología
  • 17. Incrementar la productividad • Es necesario automatizar procesos de gestión ejecutados manualmente y delegar actividades a los usuarios sin perder la autoridad central Sommet Tecnología
  • 18. Ampliar los niveles de servicio • Gestionar oportunamente los continuos cambios de roles y responsabilidades de los usuarios de manera que ellos inicien rápidamente su trabajo productivo Sommet Tecnología
  • 19. Sincronizar la información de la identidad • Se requiere disponer de información exacta, íntegra y persistente acerca de los usuarios y sus privilegios de acceso, sin importar la frecuencia y cantidad de sus cambios Persona Datos de la persona Datos de la organización Roles organizacionales Cuenta de correo Cuenta de red Cuenta aplicativo Perfiles o accesos Perfiles o accesos Perfiles o accesos Sommet Tecnología
  • 20. Apoyar el cumplimiento regulatorio • Debe apoyar el cumplimiento de la regulación relacionada con el control de acceso a la información, el manejo de roles y perfiles y la gestión de los usuarios Sommet Tecnología
  • 21. Proveer retorno de inversión • Se debe evidenciar el retorno de la inversión en tecnología presentando resultados en corto tiempo que indiquen mejora en la gestión Sommet Tecnología
  • 22. Evolución de la gestión de la identidad Empleados Empleados & Proveedores Consumidores IoT Sommet Tecnología
  • 23. Hoja de ruta implantación IAM Repositorio corporativo de identidades Fuente autoritativa Roles y Perfiles Aprovisio- namiento Administración de accesos Autenticación robusta Identidad federada Sommet Tecnología
  • 24. Repositorio corporativo de identidades • Consolidar la identidades en un repositorio centralizado con información personal, cuentas de usuarios y permisos de acceso a los sistemas Sommet Tecnología
  • 25. Fuente autoritativa • Definir una fuente única, válida y centralizada de información como origen para poblar el repositorio corporativo de identidades, generalmente la fuente autoritativa es recursos humanos Sommet Tecnología
  • 26. Roles y perfiles • Establecer los roles de negocio que soportan la operación y que deben estar alineados a los roles configurados en las aplicaciones Sommet Tecnología
  • 27. Aprovisionamiento • Gestionar el ciclo de vida de las identidades, desde la creación, hasta su dada de alta, pasando por bloqueo, desbloqueo, activación, inactivación, asignación y derogación de roles y mantenimiento de información general como : cargo, ubicación, identificación Sommet Tecnología
  • 28. Aprovisionamiento Inicio de la Relación Entrega aplicaciones Fin de la Relación Eliminación de accesos Compañía Área Nivel Administración y mtmt. de datos Puesto Control de accesos Solicitud de acceso a aplicación y permisos Eliminación de accesos por cambios organizacionales Validación de accesos por jefes inmediatos Cambio Contraseña Manejo de Contraseñas Contraseña inicial Olvido Contraseña Sommet Tecnología
  • 29. Administración de accesos • Definir los procedimientos relacionados con el control de acceso a la información aplicando el mínimo privilegio y la necesidad de conocer Sommet Tecnología
  • 30. Autenticación robusta – Factores de autenticación • Factor 1 o Algo que conozco • Factor 2 o Algo que conozco + algo que tengo o Algo que soy + algo que conozco Sommet Tecnología
  • 31. Identidad federada Empresa 1 Empresa 2 Empresa 3Permitir la interoperabilidad de identidades entre compañías y redes con un mismo identificador Sommet Tecnología
  • 32. Hitos en la implantación de un sistema IAM • Roles • ResponsabilidadesCompromiso • Funcional • OperativoAlcance • Usuarios • Aplicaciones • Áreas Estrategia • Hardware • SoftwareArquitectura • FasesImplantación • Concienciación • CapacitaciónEntrenamiento • Alta disponibilidadContinuidad Sommet Tecnología
  • 33. Compromiso • Se debe sensibilizar a todos los responsables de las áreas críticas involucradas Sommet Tecnología
  • 34. Alcance • Es clave definir los servicios suministrados Sommet Tecnología
  • 35. Estrategia • Es necesario establecer de acuerdo con el negocio lo que agregue más valor, de tal manera que se puedan brindar resultados visibles en el menor tiempo posible • ¿Qué brinda resultados en el menor tiempo posible? o Aplicaciones críticas o Usuarios por área o Usuarios por aplicación o Kit básico o Aplicaciones por centros de costos o Bajas de todas las aplicaciones Sommet Tecnología
  • 36. Arquitectura • Definir la alienación con la directriz tecnológica de la organización o Sistemas operativos o Virtualización o Alta disponibilidad o Aplicaciones o Procesos o Políticas Sommet Tecnología
  • 37. Implantación • El esquema de implantación debe tener el menor impacto posible en la operación Sommet Tecnología
  • 38. Entrenamiento • Concientización de los usuarios en el fortalecimiento de la seguridad • Entrenar a los administradores y operadores de la solución para el mantenimiento y operación de la misma Sommet Tecnología
  • 39. Continuidad • El acceso a los sistemas debe estar habilitado y soportado en componentes de alta disponibilidad Sommet Tecnología
  • 40. Factores críticos de éxito - Alcance no acordado y formalizado - Roles y perfiles no identificados y establecidos claramente - Entrenamiento inadecuado - Inconsistencias en la interacción con otras plataformas - Soporte técnico inadecuado - Fallas de servicio de infraestructura tecnológica - Resistencia al cambio - Débil conciencia en seguridad - Percepción errada de fallas de servicio - Recursos para operar la solución con perfil especializado Operativos Tecnológicos Humanos Sommet Tecnología
  • 41. Testimonio – Ing. Rodolfo Aguilera Martínez • Factores críticos de implantación • Involucramiento de la organización desde la implantación para dar continuidad a la operación • RBAC • Relación Gobierno (Políticas y procedimientos)-Negocio • Beneficios de la solución • Operación • Reducción de riesgos • Beneficios de la tercerización de la operación de la solución • Recurso humano • Curva de aprendizaje – apoyo con capacitación • Mentoring Sommet Tecnología