Este documento discute la identidad digital única en las empresas y las tecnologías asociadas como directorios, provisionamiento, single sign-on y federación de identidades. Propone una hoja de ruta de 7 pasos para implementar una identidad digital única que incluye realizar un inventario de repositorios de identidad, implementar provisionamiento, crear una base de datos central de usuarios, single sign-on, autenticación fuerte, convergencia físico-lógica y federación de identidades. Si bien ninguna tecnología es una solución completa por sí sol
El DNIe como herramienta de seguridad en la empresa
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
1. La Identidad Digital Única en la Empresa
¿Utopía o Realidad?
Rames Sarwat
SMARTACCESS
www.smartaccess.es
2. La Seguridad
alineada con el Negocio
• Nos ayuda a :
–Cumplir con los objetivos
de negocio
–Cumplir con la legislación
o normativa aplicable
–Reducir el riesgo operativo
3. ¿Riegos operativos?
• Robo de propiedad
intelectual o activos
digitales
• Publicación de
información sensible o
confidencial
• Corte o interrupción de
servicios críticos
4. Identidad Digital
• Capacidad de identificar a cada usuario a lo largo
de la organización.
• Se implementa a través de una serie de procesos
y herramientas
• Su gestión nos permite:
– Aplicar una protección minuciosa a los recursos
– Eliminar automáticamente los privilegios de acceso
latentes
– Abordar la creciente cantidad de disposiciones
reglamentarias y normas de obligado cumplimiento.
6. Algunas son más conocidas y otras menos
¿QUÉ SON ESTAS TECNOLOGÍAS?
7. Servicio de Directorio
• Es una base de datos estructurada que almacena
datos de forma estandariza.
• La mayoría son accesibles mediante el protocolo
LDAP (Lightweight Directory Access Protocol) que
sigue el esquema RFC 2798 (inetOrgPerson).
• Implementa mecanismos de control de acceso
granular y se utilizan también como servidores de
autenticación o de gestión centralizada de
políticas.
• Su principal función es el almacenamiento de
datos y su uso para otros fines es muy limitado.
8. Metadirectorio
• Es un servicio de sincronización de datos entre
diferentes servicios de Directorio.
• El motor de sincronización copia los datos de una
instancia de servidor de directorio a otro, cuando se
detecta su Metadirectorios permitir simple fusión de los
modificación.
datos de varias fuentes similares y presentar
• Algunos metadirectorios pueden sincronizar datos con
una visión consolidada de los datos
tablas de bases de datos relacionales y archivos, pero
sus características de transformación de datos suelen
ser muy limitadas
• También permiten una fusión de los datos de varias
fuentes similares para presentar una visión
consolidada.
9. Directorio Virtual
• Es un traductor de protocolos que permite a
las aplicaciones el acceso a los datos
(habitualmente residentes en diferentes
repositorios o BBDD relacionales) a través de
un único protocolo y mediante una vista
consolidada.
• Algunos sistemas de directorio virtual
permiten la transformación de los datos y el
almacenamiento en caché.
10. Herr. de Provisioning
• Permite la gestión remota de las diferentes las bases de
datos que contienen información de los usuarios entre
sistemas heterogéneos.
• Facilitan las tareas de sincronización y transformación
de datos complejas, así como su gestión y auditoría.
• La mayoría incluyen un motor de workflow para
controlar los flujos de los datos en procesos entre
diferentes personas de la organización.
• Algunas requieren el uso de agentes en los sistemas de
destino mientras que otras funcionan sin agentes
utilizando interfaces remotas.
11. Control de Acceso
• Módulos o agentes responsables de las
funciones de autenticación de usuarios y la
autorización a los recursos
• En la mayoría de los casos estas funciones son
proporcionadas por el sistema, aunque existen
agentes que extienden estas funcionalidades.
• Estos agentes estan vinculados a una versión
específica de los sistemas y pueden ser
complejos de instalar y desplegar.
12. Single Sign-On
• Funcionalidad que permite que un usuario se
autentique una unica vez y obtenga acceso a todos los
recursos y aplicaciones que requiere.
• Existen dos formas de SSO
– True Single Sign-On: El sistema autentica al usuario y le
genera un ticket que el resto de aplicaciones y recursos
reconocen. Basados en criptografía simétrica (p.e.
Kerberos) o en XML ycriptografía asmimétrica (p.e. SAML).
– Pseudo Single Sign-On : Mantiene un agente que aprende
e «injecta» a las aplicaciones las diferentes contraseñas del
usuario de forma automatizada. Genera la ilusión de un
single sign-on.
13. PKI
• Infraestructura para emitir y utilizar certificados
de Identidad Digital de Usuario protegidos por
funciones criptográficas de clave publica.
• La mayoría utiliza el estándar X.509
• Permite vincular los datos de un usuario a su
pareja de claves (publica/privada) a través de la
firma digital de un tercero de confianza.
• La PKI puede utilizarse para implementar
funciones de single sign-on pero requiere que
todas las aplicaciones se modifiquen para admitir
certificados digitales.
14. Federación Identidades
• Diferentes organizaciones comparten cierta
partes de la identidad de sus usuarios y dan
acceso a sus procesos de autenticación de
manera segura.
• Permite el acceso a recursos o aplicaciones a
usuarios de otras organizaciones sin necesidad de
crear nuevas cuentas.
• Está diseñado para operar a través de Internet y
entre sistemas heterogeneos.
• Esta tecnología no esta todavía muy extendida y
continua evolucionando.
15. La Identidad Digital Única en la Empresa
¿PUEDO COMBINAR ESTAS
TECNOLOGÍAS PARA OBTENER LA
IDENTIDAD ÚNICA?
16. No son soluciones completas
• Ninguna de las tecnologías anteriormente
indicadas puede considerarse una solución
completa de Gestión de la Identidad Digital.
• Sin embargo, conjuntamente y aplicadas en un
orden lógico pueden generar un sistema
funcional de Gestión de la Identidad Digital
para obtener la Identidad Digital Única en la
Empresa.
17. Algunas Necesidades
• Conocer las diferentes identidades de nuestros usuarios
• Gestionar los procesos de alta/baja/modificación de
identidades
• Disponer de una visión unificada de las identidades de cada
usuario.
• Mejorar la productivad de los usuarios.
• Reducir los costes de soporte
• Evitar la suplantación de la identidad y el acceso no
autorizado a los sistemas de información.
• Dar acceso a otras organizaciones a nuestros sistemas de
información sin comprometer la seguridad de la información.
• Cumplimiento de la legislación o normativa aplicable
18. Hoja de Ruta
1 • Inventario de Repositorios de IDentidad
2 • Sistema de provisioning
3 • Base de datos central de usuarios
4 • Single Sign-On (SSO)
5 • Autenticación Fuerte
6 • Convergencia físico-lógica
7 • Federación de Identidades
19. 1. Inventario Repositorios de IDentidad
• Realizar un análisis de los activos y recursos
relacionados con las identidades en la
organización:
– Bases de Datos de Usuarios
– Estructura Organizativa
– Procedimientos de Gestión de Usuarios
– Legislación aplicable, etc.
• Los resultados nos ayudarán a definir los
requisitos de los siguientes pasos.
20. 2. Sistema de Provisioning
• Automatizar los procedimientos de
gestión de usuarios (ABM)
• Implementar flujos de trabajo
personalizados en función de la
estructura organizativa.
• Debe proporcionar herramientas
para:
– Mantenimiento de las bases de
datos de usuarios
– Control de acceso basado en roles
(RBAC)
– Auditoria y monitorización de los
Sistemas
21. 3. Base de Datos Central de Usuarios
• Utilizar la herramienta de provisioning para
crear y mantener una base de datos central
de usuarios.
• Habitualmente será un servicio de directorio
replicado para garantizar la no interrupción
del servicio.
• Esta base de datos actuará como fuente
principal en los siguientes pasos
• Como alternativa, es posible utilizar las
tecnologías de directorio virtual o de
metadirectorio para su creación.
22. 4. Single Sign-On (SSO)
• A partir de la BBDD
Central de Usuarios
Implementar el
Single Sign-On como
servicio central de
• Si es posible modificar las autenticación de los
aplicaciones, integrarlas con el
servicio central de autenticación. usuarios.
• En caso contrario, emplear
herramientas de Web SSO o
Enterprise SSO.
• La implementación de SSO puede ser
más sencilla para aplicaciones web y
más compleja para aplicaciones
tradicionales de escritorio.
23. 5. Autenticación Fuerte
• Remplazar el uso de las contraseñas en el
acceso de empleados y colaboradores
externos.
• En especial
• Administradores de TI
• Usuarios con acceso a información
sensible, confidencial o sujeta a
normativa/legislación.
• Accesos remotos
• Se recomienda utilizar plataformas de
autenticación fuerte que soporten diversos
métodos para ajustar la seguridad al nivel de
riesgo de cada usuario.
• Valorar también su usabilidad, TCO y el
impacto en los sistemas actuales.
24. 6. Convergencia físico-lógica
• Unificación de credenciales
• Consola única de gestión
• Gestión de la seguridad
integral
• Registro único de
credenciales de usuarios
• Podemos llegar a
relacionar eventos para
incrementar la seguridad.
25. 7. Federación de Identidades
• Conectar los servicios de Identidad Digital de
nuestra empresa con otras organizaciones.
• La Federación proporcionará un mayor nivel
de cooperación de los usuarios entre
diferentes organizaciones, tanto públicas
como privadas.
• Evita la gestión de identidades digitales
externas.
26. Conclusiones
• Es posible obtener una Identidad Digital Única en
la empresa mediante el uso de tecnologías
disponibles y una gestión adecuada.
• Cada paso del proceso propuesto proporciona
beneficios adicionales a la organización, aunque
no es necesario implementarlos todos.
• Para garantizar el éxito, es importante definir
hasta que paso vamos a implementar desde el
inicio del proyecto.
27. ¿ SmartAccess ?
• Empresa española que desarrolla
soluciones para evitar el acceso
no autorizado a los sistemas de
información y la suplantación de
la identidad.
• Nuestras soluciones ayudan a:
– Incrementar la seguridad de la
información de la organización
– Reducir los costes de operación
www.smartaccess.es – Cumplir con normativas vigentes
relativas a protección de datos y
seguridad de la información
– Mejorar la productividad de los
usuarios