El rol de la administración de identidades y accesos para

Transcripción

INFORME OFICIAL
El rol de la administración de identidades y accesos para lograr un cumplimiento continuo | Febrero de 2012
El rol de la
administración
de identidades y
accesos para lograr
un cumplimiento
continuo
Sumner Blount, Merritt Maxim
CA Security Management
agility
made possible™
El rol de la administración de identidades y accesos para lograr un cumplimiento continuo
tabla de contenido
resumen ejecutivo3
Sección 1:
El desafío de un cumplimiento continuo
4
Sección 2: El ciclo de vida de un cumplimiento
continuo 4
Sección 3: Una plataforma para la unificación
de seguridad y cumplimiento de TI
7
Controlar las identidades
8
Controlar el acceso
10
Controlar la información
12
Sección 4:
Conclusiones14
Sección 5:
Administración de identidades y accesos
basada en contenido de CA Technologies
14
Sección 6:
Acerca de los autores
15
resumen ejecutivo
Desafío
En la actualidad, existe un enorme foco en cumplir con las exigencias normativas, mantener seguros los
sistemas de TI así como también garantizar la privacidad de la confidencialidad de la empresa y de la
información de los clientes. Estos importantes negocios y objetivos de la tecnología se complican por
factores como las crecientes exigencias de las reglamentaciones, los cambios permanentes de los
entornos de TI y las crecientes exigencias de los accionistas y asesores a fin de reducir el riesgo y la
necesidad de reducir los costos de cumplimiento. Un enfoque eficaz y eficiente para lograr y administrar
un cumplimiento continuo es primordial en los complejos entornos normativos de la actualidad.
Oportunidad
Además, existen oportunidades de desempeño del negocio que pueden reforzarse con estos nuevos
requisitos. Los controles eficaces de seguridad también pueden reducir el riesgo, ayudar a automatizar
los procesos clave para reducir el costo y el error humano y simplificar las auditorías mediante la
generación automática de reportes de cumplimiento. El centro de una estrategia de cumplimiento
eficaz es una infraestructura de administración de acceso e identidad integrada y sólida que protege
a los sistemas, las aplicaciones, los datos y los procesos contra accesos o usos no autorizados.
Sin embargo, sólo controlar las identidades de los usuarios y el acceso a las aplicaciones protegidas y
a la información no es suficiente. Para lograr que el cumplimiento y la seguridad sean eficaces, debe
controlarse el uso que los usuarios hacen de los datos a los cuales tienen acceso. Esto ayuda a prevenir
el uso inadecuado o la divulgación de la información confidencial de la empresa o del cliente.
Beneficios
Además de obtener los beneficios de un cumplimiento continuo que sigue las regulaciones emergentes
y vigentes, las organizaciones que empleen una plataforma de cumplimiento y seguridad de TI unificada
podrán hacer lo siguiente:
Reducir el riesgo. Proteger los activos de TI e información importantes, ayudar a mantener la privacidad
de la información y a disminuir el riesgo de que se produzcan eventos catastróficos.
Mejorar la eficiencia. Desarrollar procesos automatizados e integrados de TI y de negocios, y obtener
una productividad mejorada de los empleados y reducir la carga del personal administrativo.
Reducir los costos. Automatizar los procesos de cumplimiento, eliminar la redundancia y mejorar la
productividad.
3
Mejorar la efectividad del negocio. Mejorar la planificación corporativa y la toma de decisiones
estratégicas, ya que una seguridad sólida y una infraestructura de cumplimiento pueden permitir un
acceso más rápido y simple a la información corporativa para las personas debidamente autorizadas.
Aumentar la agilidad de los negocios. Permitir que la organización reaccione con más rapidez ante los
eventos del mercado y competitivos y que aprovechen mejor las oportunidades de negocios.
Sección 1:
El desafío de un cumplimiento continuo
Eficacia del cumplimiento para un desempeño mejorado del negocio
A menudo, el cumplimiento se considera una carga. Pero también presenta la oportunidad de comprender
mejor el negocio, establecer controles y políticas eficaces dentro de éste y utilizar estos controles y la
tecnología que les da soporte como una manera de hacer cumplir las políticas y de mejorar las operaciones.
Es aquí donde se logran los verdaderos beneficios de los esfuerzos de cumplimiento. A medida que más
empresas se den cuenta de esto y aprovechen los esfuerzos de cumplimiento para una mayor eficiencia
del negocio, las empresas que no adopten este enfoque holístico probablemente se encontrarán en una
importante desventaja competitiva.
Sin embargo, el problema reside en que muchas empresas han logrado cumplir mediante la utilización
de un enfoque de fuerza bruta (procesos manuales, que llevan mucho tiempo y propensos a errores) que
son diseñados simplemente para cumplir con los requisitos de una determinada regulación. La adopción
de una seguridad integrada y centralizada y una solución de cumplimiento que facilite el cumplimiento
continuo en toda la organización es un enfoque más eficaz. Este informe analiza las tecnologías clave y
las mejores prácticas que una estrategia sólida de cumplimiento continuo incluiría.
Sección 2:
El ciclo de vida de un cumplimiento continuo
En un enfoque de cumplimiento continuo y eficaz existen diversos elementos clave. Principalmente se
necesita lo siguiente:
•Definir un conjunto de fases interdependientes y eficientes que interactúen en puntos clave del ciclo
de vida y comunicar la información de una manera bien definida.
•Implementar un conjunto de controles de seguridad automatizados que protejan de manera eficiente
sus activos. Éstos deberían ser tanto controles preventivos como de detección; ambos son necesarios
para lograr un cumplimiento eficaz.
•Crear un proceso corriente (preferentemente automatizado) de monitoreo regular sobre todos los
controles de seguridad clave para confirmar que estén operando de manera eficaz.
•Basándose en estas pruebas de control, cuantifique los riesgos actuales de toda la TI. Basándose en
los niveles de tolerancia a los riesgos, es probable que sea necesario cambiar las políticas existentes,
reforzando así los controles de seguridad vigentes.
4
Un cumplimiento eficaz es un proceso continuo y corriente, un ciclo de vida del cumplimiento de las
actividades. Observemos cada fase en la Ilustración A para identificar las actividades y las tecnologías
clave que pueden dar soporte y permitir un cumplimiento continuo.
Ilustración A.
El ciclo de vida de un cumplimiento continuo
1. I dentificar los requisitos normativos Entender con precisión cuáles son los requisitos para un cierto
conjunto de regulaciones puede ser un gran desafío. Muchas empresas acuden a costosos expertos
técnicos o legales que analizan las nuevas regulaciones para determinar de qué manera pueden
diseñarse las políticas y los controles para cumplir con los requisitos de cumplimiento. El objetivo
consiste en eliminar los controles redundantes mediante la asignación de todos los requisitos
normativos a un conjunto de elementos fundamentales de controles armonizados que puedan
satisfacer los requisitos de todas estas regulaciones.
2. Definir las políticas Las políticas son el alma del cumplimiento. Una política es una declaración que
expresa los objetivos y las normas de conducta que la organización desea inculcar en los empleados
y en los socios de negocios. En general, están determinadas por requisitos normativos, los riesgos
que la organización desea controlar o los objetivos comerciales de la empresa. Las políticas no son
inmutables. Pueden cambiar a medida que se definen nuevos requisitos normativos, que los objetivos
comerciales de la empresa cambien o que los niveles de tolerancia de la empresa cambien.
5
3. Evitar violaciones Para prevenir las violaciones de política se utilizan controles preventivos.
Son esenciales para ayudar a proteger la privacidad de los clientes, prevenir la filtración de datos
y proteger el acceso a recursos corporativos importantes, como las aplicaciones, los sistemas y la
información. Las tecnologías como la administración de acceso web, administración de usuario con
privilegios y la prevención de la fuga de datos son todos elementos esenciales de un enfoque integrado
para los controles de seguridad preventivos.
4. Detectar y corregir violaciones No todas las violaciones de políticas pueden evitarse de manera
segura en todos los casos. Se deben establecer los controles de detección para identificar las áreas
de incumplimiento de manera que puedan corregirse antes de que los efectos sean significativos.
Un ejemplo común es las cuentas de los usuarios que están inactivas (existe un gestor de empleado,
pero la cuenta no se utiliza más) o son huérfanas (cuyo gestor es un empleado despedido). En ambos
casos (particularmente en el caso de las cuentas huérfanas) existe un riesgo potencial que viola los
requisitos de muchas regulaciones y mejores prácticas. En este ejemplo, se podrían establecer
procedimientos que de manera periódica monitoreen las cuentas de los usuarios contra estas
violaciones y así puedan corregirse rápidamente. Esto podría llevarse a cabo de forma manual
(un análisis realizado por el administrador una vez por semana), aunque un enfoque automatizado
(una solución que identifique y cierre estas cuentas) es más efectivo y eficiente en la identificación
de violaciones y en el control de estos riesgos potenciales.
5. Validar los controles El monitoreo y la validación de los controles de cumplimiento es un proceso
continuo y a menudo costoso. Tanto si el impulso proviene de una auditoría interna, externa o de un
proceso programado periódicamente, deben probarse los controles para validar su correcta operación.
Debido a que las mejores prácticas han avanzado hacia un enfoque basado en los riesgos para la
validación de los controles, las pruebas de control se centran sólo en las pruebas de controles clave.
Esta es una grata e importante evolución de las mejores prácticas para la validación de los controles.
6. Monitorear los riesgos El cumplimiento no debería llevarse a cabo de manera aislada. Está
estrechamente relacionado, y debería estar integrado, con un programa integral de administración
de administración de riesgo de TI. Es importante que los cambios que se lleven a cabo en el perfil de
cumplimiento (por ejemplo, un control fallido) también se ajusten de manera adecuada en el perfil
actual de riesgo para que luego le permita tomar medidas para abordar este creciente riesgo.
Habiéndose considerado el ciclo de vida de un cumplimiento continuo, ahora observemos las
tecnologías clave que pueden utilizarse para ofrecer una solución integral para la unificación de
seguridad y cumplimiento de TI.
6
Sección 3:
Una plataforma para la unificación de seguridad
y cumplimiento de TI
La necesidad de una plataforma para unificar la seguridad y el cumplimiento
Mientras que los componentes de tecnología individuales pueden utilizarse para abordar los requisitos
de cumplimiento y seguridad más urgentes, la implementación aislada de ellos puede llevar
a redundancias e ineficiencias que aumentan los costos y podrían aumentar el riesgo potencial.
Una plataforma de administración de cumplimiento y de seguridad integral e integrada es la manera
más eficaz de asegurar que el esfuerzo de cumplimiento de toda una organización es eficaz, eficiente
y sustentable.
La razón más obvia para utilizar una plataforma integrada es que los componentes no integrados y los
sistemas dispares son, en general, más complejos de administrar y gestionar. En segundo lugar, una
plataforma unificada permite la utilización de elementos de seguridad comunes, políticas y controles
en sistemas diferentes. Con una estrategia centralizada, las políticas y los controles se estandarizan,
de manera que se minimiza el esfuerzo redundante y los controles superpuestos (o conflictivos).
Las funciones de una plataforma de cumplimiento y seguridad unificada
Una plataforma de administración de identidades y accesos (IAM) integral es la base del cumplimiento
y la seguridad eficaces. La razón es simplemente que una plataforma de IAM ayuda a responder las
preguntas de cumplimiento más importantes relacionadas con los usuarios:
•¿Quién tiene acceso a qué?
•¿Qué pueden hacer con ese acceso?
•¿Qué pueden hacer con la información que obtuvieron?
•¿Qué hicieron?
Para poder responder estas preguntas, necesita poder controlar las identidades de los usuarios,
el acceso y la utilización de la información de forma eficaz como se muestra a continuación:
Controlar las identidades Administre las identidades de los usuarios y sus roles, proveer a los usuarios
acceso a recursos, simplificar el cumplimiento con políticas de identidad y de acceso, y monitorear la
actividad de los usuarios y de cumplimiento.
Controlar el acceso Haga cumplir las políticas relacionadas con el acceso a aplicaciones web, sistemas,
servicios de sistemas e información clave. Además, ofrezca administración de usuarios con privilegios
para evitar las acciones inapropiadas.
Controlar la información Detecte, clasifique e impida que se filtre información confidencial corporativa
y de clientes.
7
El siguiente gráfico resalta estas áreas clave de cumplimiento y muestra las tecnologías que son
esenciales para un cumplimiento eficaz.
Ilustración B.

Para la gran mayoría de las organizaciones, el cumplimiento no es opcional. La cuestión no reside
únicamente en si los equipos de cumplimiento necesitan demostrar que poseen un control adecuado,
sino cómo puede realizarse de una manera más eficiente y rentable. La automatización de los procesos
de cumplimiento de identidad, como la certificación de derechos o la identificación de las cuentas
huérfanas, implica que los equipos de cumplimiento no están desordenando de manera continua para
reunir datos de forma manual y así cumplir con los plazos de auditoría.
La administración del ciclo de vida de identidades ofrece cumplimiento de identidades, aprovisionamiento,
administración de roles y actividades del usuario y generación de reportes de cumplimiento de una
manera modular pero integrada. Mientras que cada función de la administración del ciclo de vida de
identidades puede facilitar los esfuerzos de cumplimiento de manera independiente, la implementación
simultánea de estas funciones puede ofrecer considerables eficiencias de cumplimiento.
La gobernanza de identidades se refiere a la implementación de procesos y controles para facilitar el
acceso adecuado de los usuarios de manera continua. Esto incluye los procesos de validación, como la
certificación de derechos, que pide a los administradores de usuarios, gestores de roles o custodios de
recursos que revisen y validen de manera periódica que el acceso actual sea correcto. Los accesos
innecesarios que se identifiquen a través de un proceso de certificación pueden ser rápidamente
eliminados para minimizar el riesgo de seguridad de la organización. Prácticamente todas las regulaciones
relacionadas con la seguridad requieren de una evaluación periódica de todos los derechos de acceso de
cada usuario. Una solución de gobernanza de identidad es la mejor manera de cumplir con estos requisitos.
8
La generación de reportes basada en los derechos también forma parte del cumplimiento de identidad
debido a que muestra quién tiene la capacidad de hacer qué. De esta manera, la organización puede
tomar medidas correctivas cuando sea necesario. La implementación del cumplimiento de identidad
permite que las organizaciones implementen los controles necesarios para prevenir las violaciones
comerciales y de políticas normativas mientras se reduce el costo de estos procesos de validación a
través de la automatización.
La administración de roles es un elemento fundamental en la administración eficiente de identidades
y accesos a gran escala. Las herramientas de administración de roles brindan un análisis potente para
ayudar a las organizaciones a construir una base eficaz de roles que incluye roles, políticas, derechos de
accesos, etc. La mayoría de las regulaciones relacionadas con la seguridad especifican los requisitos de
un proceso claramente definido para la asignación de los derechos de accesos de los usuarios. Al crear
un conjunto de roles que asigna la función laboral junto con un conjunto correspondiente de reglas
de acceso para cada rol, se puede asignar fácilmente un conjunto de derechos de accesos para cada
usuario nuevo basado en los roles que cada uno posea.
Las capacidades analíticas de las soluciones de administración de roles proporcionan valores de
cumplimiento reales mediante la identificación de vulnerabilidades potenciales como las cuentas
huérfanas o los usuarios con demasiados privilegios. Además, las soluciones de administración de
roles pueden ayudar a identificar los roles probables para cada usuario basándose en las similitudes
con otros usuarios. Esto mejora la administración corriente de roles y permite que los procesos de
cumplimiento como las certificaciones de derechos sean realizadas de una manera más eficiente.
Finalmente, la administración de roles permite que las organizaciones desarrollen políticas de seguridad
de identidades entre sistemas para prevenir que los usuarios obtengan privilegios excesivos o conflictivos.
El aprovisionamiento de software automatiza los procesos de integración, modificación y baja de los
usuarios y sus accesos relacionados. Este tipo de tecnología es muy importante para el cumplimento
normativo por diversas razones importantes.
En primer lugar, el aprovisionamiento ayuda a fortalecer los controles internos mediante la
automatización del proceso que otorga y elimina los derechos de acceso. Sin alguna forma de
aprovisionamiento automatizado, el proceso es manual, propenso a errores, y puede llevar mucho
tiempo. Además, los procesos manuales son mucho más difíciles de auditar en comparación con los
automatizados.
El aprovisionamiento también ofrece poderosas capacidades de prevención que son importantes para
la administración de riesgos y el cumplimiento. Por ejemplo, el aprovisionamiento de soluciones puede
verificar la división de las violaciones de obligaciones durante el proceso de aprovisionamiento de
usuarios para minimizar los riesgos de seguridad. Por ejemplo, las regulaciones como Gramm-LeachBliley y Sarbanes-Oxley requieren controles para prevenir que haya división de violaciones de obligaciones.
El aprovisionamiento de soluciones también puede generar advertencias cuando los derechos de acceso
que se otorgan a un usuario son muy diferentes a los de sus pares. Esto es cada vez más importante
para lograr el cumplimiento, debido a que las organizaciones buscan reducir el número de usuarios
con demasiados privilegios, ya que estos usuarios pueden ser, a menudo, fuente de las violaciones de
cumplimiento.
La generación de reportes de las actividades de los usuarios y de cumplimiento es uno de los
problemas más difíciles en la administración de seguridad de un gran entorno debido al exceso de
información sobre los eventos de seguridad que se generan mediante varios componentes de sistemas.
Este flujo de información puede abrumar al personal de seguridad y hacer que sea prácticamente
imposible entender el verdadero estado de una seguridad de TI. Grandes cantidades de datos que no
pueden cumplirse de manera inteligente pueden dificultar el monitoreo y, por lo tanto, el cumplimiento.
9
Un cumplimiento eficaz requiere un registro y una generación de reporte de los eventos de seguridad
relevantes, así como también capacidades para sintetizar, analizar y presentar esta información en un
formato significativo para los administradores. Como contraejemplo, un sistema que simplemente
reporta miles de eventos sospechosos a diario a un archivo de registro que no se revisa o cumple,
no representa un control interno eficaz. Por lo tanto, podría dificultar una auditoría de cumplimiento.
La clave aquí es hacer que la información de seguridad sea viable y relevante.
Se ha observado que la solución de una administración de ciclo de vida de identidad sólida es esencial
para el cumplimiento de TI. El cumplimiento de identidad y los sistemas de aprovisionamiento
permiten determinar los derechos de accesos que cada persona tiene, cuándo y por qué se aprobaron
y asignaron esos derechos y proporcionan una validación a una política coherente y prudente de la
administración de los derechos de accesos de usuarios. La administración de roles proporciona una
base necesaria que puede identificar privilegios excesivos y la potencial división de las violaciones de
obligaciones. Finalmente, las actividades de los usuarios y la generación de informes de cumplimiento
permiten realizar un monitoreo eficiente de los controles de seguridad para mejorar su eficacia así como
también facilitar el cumplimiento.
Controlar el acceso
La capacidad fundamental de cualquier infraestructura de cumplimiento de TI es el control de acceso
a los sistemas y activos protegidos (archivos, aplicaciones, servicios, bases de datos y similares).
Cualquier conjunto de controles internos eficaces debe comenzar con un componente de administración
de acceso sólido.
Existen dos grandes áreas que deben considerarse: la administración de acceso web y la administración
de usuarios con privilegios. Ambos son importantes para un cumplimiento eficaz.
Cualquier componente de administración de acceso web incluirá dos capacidades: la autenticación de
usuarios y la autorización de sus accesos a los recursos protegidos. Las capacidades de autenticación
deben ser muy flexibles para que sea posible variar el método de autenticación basado en factores tales
como la importancia del recurso al que se accede, la ubicación de los usuarios, el rol de los usuarios y
otros. Además, debería haber una amplia gama de métodos disponibles, desde simples contraseñas a
métodos biométricos. Finalmente, los métodos de autenticación deberían poder combinarse para
obtener una seguridad adicional para determinadas transacciones o aplicaciones de alto valor.
La autorización de los usuarios para acceder a aplicaciones protegidas, recursos y servicios es un
elemento importante de cumplimiento. Un ejemplo común es el requisito en HIPAA de implementar
políticas y procedimientos para el otorgamiento de accesos de información privada de salud (PHI)
electrónica. Este es un requisito amplio, y sin ninguna capacidad de administración de autorización
sólida, el cumplimiento no es posible.
La mayoría de las organizaciones deben cumplir con múltiples regulaciones y cada una puede tener
requisitos de autorizaciones ligeramente diferentes; por ese motivo, cumplir con los requisitos es una
tarea desalentadora. Además, a menudo se realiza una autorización dentro de cada aplicación que
provoca los silos de la aplicación y que da por resultado un cumplimiento de acceso ineficiente y,
a menudo, incoherente. El cumplimiento de accesos distribuidos puede llevar a controles internos
débiles debido a que es muy probable que les resulte difícil a los administradores determinar
exactamente cuáles son los derechos de acceso que cada usuario tiene y cómo se hacen cumplir estos
derechos en el conjunto de las aplicaciones.
10
Una de las áreas más importantes de cumplimiento de TI está relacionada con el control de las
acciones de TI y de los administradores de seguridad, denominada administración de usuarios con
privilegios. Ya sea de manera involuntaria o maliciosa, las acciones inadecuadas realizadas por los
usuarios con privilegios pueden tener resultados desastrosos en las operaciones de la TI, y en la
seguridad y privacidad general de los activos y la información corporativa. Por lo tanto, es esencial que
se permita a los administradores realizar únicamente las acciones para las que están autorizados, y sólo
en los activos apropiados.
Muchos requisitos normativos y los marcos de las mejores prácticas (tales como ISO 27001) exigen que
los controles se ejerzan sobre los usuarios administrativos. Como ejemplo, PCI DSS Sección 7.1.1 hace
referencia a la “Restricción de los derechos de acceso a los Id. de usuarios con privilegios a los que
poseen menos privilegios necesario para cumplir con las responsabilidades laborales”.
Con frecuencia, los usuarios administradores suelen compartir (y a veces perder) sus contraseñas de
sistema, lo que implica un riesgo aún mayor de violaciones de las políticas. Además, cuando todos estos
usuarios inician sesión como “Raíz” o “Administrador”, sus acciones, tal como se reporta en el archivo
de registro, son esencialmente anónimas. Estas condiciones no sólo plantean un gran riesgo de seguridad,
sino que también dificultan sumamente el cumplimiento, ya que las acciones inadecuadas no pueden
asociarse con la persona que comete la violación.
Lo que se necesita es un control de acceso granular para los usuarios administradores. Lamentablemente,
la seguridad nativa del sistema operativo del servidor no proporciona un control suficiente sobre quién
puede tener acceso a qué recursos, ni tampoco ofrece la auditoría granular que se necesita para
satisfacer requisitos de cumplimiento.
Una solución de administración de usuarios con privilegios permite que los administradores de TI creen
y hagan cumplir los controles basados en las políticas para el acceso de los usuarios con privilegios a
los recursos del sistema, monitoreen sus actividades y controlen bajo qué circunstancias se permite el
acceso. Esto proporciona una mayor responsabilidad y un mejor control de los recursos importantes de TI.
Un área de riesgo es el uso de contraseñas de los usuarios con privilegios que a menudo se configuran
con valores predeterminados o se comparten con usuarios que no deberían poseer estos altos privilegios.
Por tanto, la Administración de contraseñas de usuarios con privilegios (PUPM), la administración
segura de contraseñas de usuarios con privilegios, es una capacidad de cumplimiento fundamental.
PUPM proporciona acceso a cuentas con privilegios a través de la emisión de contraseñas temporales,
de un único uso o en tanto sean necesarias, y exige responsabilidad en las acciones de los
administradores mediante una auditoría segura. PUPM ofrece importantes beneficios de cumplimiento
no sólo en la restricción de acceso a las cuentas con privilegios, sino también en el monitoreo del uso
de esas cuentas. De este modo, si una auditoría de cumplimiento descubre pruebas de una posible
violación, la capacidad del PUPM puede determinar quién fue el responsable de propagar un cambio
en un sistema importante.
La seguridad de la virtualización crece en importancia a medida que las empresas expanden el uso de la
tecnología de las máquinas virtuales. Por naturaleza, los entornos virtualizados plantean un riesgo de
seguridad especial porque si se puede realizar una infracción en el hipervisor o cualquier otra máquina
virtual, la magnitud de daño que puede hacerse es sustancial. Reconociendo este hecho, el 2011 PCI
DSS Virtualization Guidelines Supplement (Suplemento de directrices de virtualización de la PCI DSS)
expande significativamente el alcance para el cumplimiento de PCI DSS porque solicita que si cualquier
componente en un entorno virtual contiene datos de titulares de tarjetas, todo el entorno virtual
(incluido el hipervisor) también debe cumplir. Por lo tanto, el cumplimiento con PCI DSS ahora requiere
controles adicionales alrededor del hipervisor para asegurar la protección de los datos de los titulares
de tarjetas.
11
La autenticación avanzada y la prevención de fraudes proporcionan capacidades flexibles que mejoran
la fortaleza de la autenticación de usuario, incluida la autenticación basada en los riesgos, para ayudar
a identificar y prevenir los intentos de actividades fraudulentas. Por ejemplo, la autenticación de dos
factores ofrece una seguridad más sólida que las contraseñas, pero cuando se implementa en la forma
de tokens de hardware, puede generar incomodidad y costos considerables. Una solución de autenticación
de varios factores únicamente para software ayuda a eliminar estos problemas y brinda mayor seguridad
para sus activos importantes. De manera importante, es probable que cualquier aumento en la fortaleza
de sus controles de seguridad torne más fácil el cumplimiento de las regulaciones relevantes.
La autenticación basada en los riesgos puede mejorar el cumplimiento debido a que permite que los
factores contextuales se integren en los procesos de autenticación. Factores como la ubicación de los
usuarios, sus actividades recientes y la hora del día podrían requerir la utilización de una autenticación
más sólida (autenticación mejorada).
Observe que las capacidades de administración de acceso deberían incluir sistemas de mainframe
en el entorno. La seguridad es tan buena como el enlace más débil y sin una seguridad eficaz para
el mainframe, todo su perfil de cumplimiento se reduce. Además, la integración de soluciones en el
mainframe y en los sistemas distribuidos es importante para simplificar la administración de seguridad
y para permitir la coherencia razonable del proceso en el entorno.
Muchos proveedores de administración de identidades ofrecen soluciones que se centran en la
administración de las identidades de los usuarios y sus accesos. Sin embargo, es importante que el uso
de la información también sea controlada para que pueda determinarse si alguien viola las políticas de
uso. Por ejemplo, los empleados a menudo admiten sacar datos confidenciales de la empresa cuando
dejan sus lugares de trabajo. Durante las épocas de recesión económica, este es un factor de alto riesgo
del cual las organizaciones deben protegerse.
La capacidad de controlar el acceso hasta el nivel de los datos (en lugar de únicamente a nivel de
contenedor, por ejemplo, un archivo) es un requisito importante de cumplimiento, el cual diferencia
a los proveedores más importantes de administración de identidades. El término “IAM basada en
contenido” describe esta capacidad, ya que el contenido real de los datos se utiliza para determinar
si existen violaciones de políticas de seguridad. El historial del uso de la información de los usuarios
puede utilizarse para modificar de forma dinámica sus derechos de acceso, por ejemplo, para ayudar
a prevenir más violaciones o riesgos. La capacidad de ajustar de manera dinámica las políticas y los
privilegios de los usuarios según el historial de uso de sus datos es una evolución importante e innovadora
de administración de identidades y de acceso.
Las organizaciones deben identificar y descubrir cuál es la información confidencial que reside en la
empresa y dónde. Deben protegerla y controlarla de manera adecuada. Aquí es donde entra en juego
la prevención de fuga de datos (DLP).
DLP ofrece protección contra la fuga de datos mediante el análisis y la protección de datos en los
terminales (computadoras portátiles y de escritorio), en los servidores de mensajería (correos electrónicos
internos o externos; correos enviados desde dispositivos móviles), en los límites de la red y en el
descubrimiento y protección de los datos almacenados (por ejemplo, la identificación de datos
confidenciales en los repositorios de SharePoint).
Las soluciones DLP permiten la creación de políticas flexibles para muchos tipos de datos (información
de identificación personal, información no pública, de propiedad intelectual, etc.). Las políticas
inspeccionan las actividades de los datos en búsqueda de posibles violaciones de seguridad. Estas
actividades incluyen el envío de correos electrónicos, mensajería instantánea (IMing), el uso de la web,
FTP, SMTP, HTTP, el almacenamiento en medios extraíbles, la impresión de archivos y más.
12
La solución DLP puede entonces identificar violaciones e inmediatamente tomar una medida adecuada,
como bloquear una actividad, ponerla en cuarentena o presentar una advertencia al usuario.
La necesidad de cumplimiento que impulsa al DLP es obvia. Con DLP, las organizaciones pueden minimizar
la divulgación involuntaria o deliberada de datos privados o confidenciales. Sin la DLP, las organizaciones
tienen un mayor riesgo de que los datos sean divulgados, lo que puede ocasionar violaciones de
cumplimiento y sus respectivas penalidades. Pero también existe una gran necesidad comercial detrás
de DLP, ya que clientes, socios de negocios y accionistas esperan que las organizaciones tengan
soluciones DLP antes de querer concretar negocios con la empresa. Por lo tanto, una implementación
de DLP puede en realidad servir como una ventaja comercial competitiva.
El último componente clave de DLP es la capacidad de unir datos confidenciales a una identidad individual.
Una cosa es saber que se accedió a los datos privados o que éstos se filtraron; pero los valores reales
identifican al usuario responsable de esta acción. Una vez que se identifica al usuario, la organización
puede examinar los roles individuales y privilegios del usuario para ajustar potencialmente los derechos.
La seguridad y el cumplimiento en los entornos virtuales y en nube
La seguridad en la mayoría de los entornos de la empresa es un gran desafío. A medida que las empresas
adoptan modelos de computación avanzados, tales como entornos virtualizados o computación en la
nube, la seguridad se torna mucho más compleja. Por ejemplo, en un entorno virtualizado, una infracción
de la plataforma virtual puede comprometer a todas las aplicaciones que se ejecutan en todas las
máquinas virtuales de esa plataforma. Del mismo modo, la computación en la nube ofrece desafíos de
seguridad complejos debido a la arquitectura multicliente que da por resultado una ubicación común
potencial de las empresas privadas y la información de los clientes desde muchos clientes en la nube.
Las empresas ya han comenzado a construir nubes privadas mediante la virtualización. Los entornos
virtualizados exigen una seguridad muy sólida sobre las acciones de los usuarios con privilegios,
debido al enorme impacto que pueden provocar sus acciones. Específicamente, el control de acceso
administrativo granular como la administración de los usuarios con privilegios, es fundamental para
asegurar los entornos virtualizados.
La computación en la nube es una de las principales nuevas tendencias de computación que exige
innovadores enfoques de seguridad. Los proveedores de servicios necesitarán agregar seguridad para
ofrecer una garantía a los clientes potenciales de los servicios basados en nube. Y, debido a que un
proveedor de nube debe cumplir básicamente con los requisitos de seguridad y cumplimiento de todos
sus clientes de la nube, estas capacidades de seguridad en la nube deben ser sólidas, basadas en normas
y rigurosamente comprobadas.
El cumplimiento es también más complicado en un entorno de nube por dos razones. En primer lugar,
los datos pueden ubicarse en el sitio del proveedor de nube y esto introduce desafíos complejos para
asegurar que los datos sean privados y estén resguardados no sólo de personas externas, sino también
de otros clientes y administradores de nube no autorizados. En segundo lugar, el proveedor de nube
debe implementar controles de cumplimiento que sean suficientes para satisfacer los requisitos de
las regulaciones a los que esté sujeto. Por ejemplo, muchos países poseen sus propios requisitos de
privacidad para cualquier almacenamiento de datos dentro del país. Si los datos privados de los clientes
están en la nube, debe saber dónde se encuentran y cómo están protegidos.
13
Sección 4:
Conclusiones
En general, las regulaciones gubernamentales relacionadas con la seguridad tienen muchos requisitos
comunes. Los más comunes están relacionados con el concepto de saber quiénes son los usuarios,
a qué aplicaciones y recursos tienen derecho a acceder y qué (y cuándo) es lo que realmente han hecho.
La manera más eficaz de lograr este grado de control es mediante la utilización de una plataforma de
IAM integrada y centralizada que pueda controlar las identidades, los accesos y el uso de la información.
La solución integrada de administración de identidades y accesos basada en contenido es esencial para
permitir el cumplimiento automatizado, que facilita la eficiencia de los costos y reduce el esfuerzo
requerido para lograr y mantener el cumplimiento. Sin la automatización del cumplimiento, los controles
manuales comunes seguirán vigentes, limitando la eficacia de los controles internos e impactando en la
capacidad de la empresa para competir de manera exitosa con competidores más hábiles.
Sección 5:
Administración de identidades y accesos basada
en contenido de CA Technologies
CA Technologies es un proveedor de software de seguridad líder en la industria que ofrece una
plataforma de IAM basada en contenido integral tanto a sistemas distribuidos como de mainframe.
Los componentes de la solución CA IAM incluyen los siguientes:
CA IdentityMinder™ ofrece capacidades de administración de usuarios avanzados que brindan
aprovisionamiento automatizado, autoservicio para usuarios, flujos de trabajo para administrar
aprobaciones, administración de usuarios delegados y una interfaz de usuario simple para crear
políticas y administrar identidades.
CA GovernanceMinder™ entrega análisis avanzados y un motor de políticas potente que mejora el
tiempo de valorización de las actividades fundamentales, como limpieza de privilegios y detección
de roles.
Controlar el acceso
CA SiteMinder® ofrece un base de administración de seguridad centralizada que permite el uso seguro
de la web para entregar aplicaciones y datos a los clientes, los socios de negocios y los empleados.
CA ControlMinder™ ofrece una solución sólida para la administración de usuarios con privilegios, para
proteger los servidores, las aplicaciones y los dispositivos en varias plataformas y sistemas operativos.
Ofrece derechos de acceso más granulares y una seguridad mejorada sobre la seguridad de los sistemas
de funcionamiento básico. Ayuda a mejorar la seguridad mediante la emisión de contraseñas temporales
y de un único uso para usuarios con privilegios y garantiza que los usuarios se hagan responsables de
sus acciones mediante una auditoría segura.
14
CA AuthMinder™ es una solución de autenticación avanzada sólo para software que ofrece a las
organizaciones una única solución para desarrollar una estrategia de autenticación coherente y sólida.
Con una amplia gama de métodos e interfaces de autenticación, puede ayudar a eliminar costos
redundantes en la cadena de autenticación. CA AuthMinder está particularmente adecuada para las
organizaciones que desean elegir métodos de autenticación adecuados basados en riesgos sin tener
que instalar soluciones de autenticación de varios proveedores.
CA RiskMinder™ es una solución de detección de fraudes web y de autenticación basada en riesgos que
evita los fraudes en tiempo real para los servicios en línea del cliente y de la empresa sin importunar
a los usuarios legítimos. CA RiskMinder examina una gama de datos automáticamente y genera una
calificación de riesgo combinando análisis basados en reglas y modelos. Según la calificación de riesgo,
los usuarios pueden continuar o es posible que se les solicite credenciales de autenticación adicionales
o no se les permita el acceso.
CA ACF2™ y CA TopSecret® Security habilitan el uso controlado de los equipos de mainframe y los
datos, a la vez que evita la destrucción, la modificación, la divulgación o el uso incorrecto, tanto
accidentales como deliberados, de los recursos de los equipos. Le permiten controlar quién usa estos
recursos y le brindan información de los hechos que necesita conocer para monitorear efectivamente
la política de seguridad.
CA DataMinder™ aprovecha la identidad para analizar la actividad del usuario final en tiempo real
y comprender los datos con una gran precisión a fin de ayudar a las organizaciones a proteger la
información confidencial de una manera más efectiva.
Sección 6:
Acerca de los autores
Durante más de 25 años, Sumner Blount ha trabajado en el desarrollo y el marketing de productos de
software. Administró el gran grupo de desarrollo de sistemas operativos informáticos de Digital Equipment
y Prime Computer, y dirigió el Grupo de Administración de Productos Informáticos Distribuidos en
Digital. Recientemente, ocupó una serie de puestos de dirección de productos, incluido el cargo de
Gerente de Producto de la familia de productos SiteMinder en Netegrity. Actualmente, se enfoca en
soluciones de seguridad y cumplimiento en CA Technologies.
Merritt Maxim tiene 15 años de experiencia en el marketing y la administración del producto en la industria
de seguridad de la información, además de realizar tareas para RSA Security, Netegrity y CA Technologies.
En su actual rol en CA Technologies, Merritt maneja el marketing de los productos para la administración
de identidades y las iniciativas de seguridad en la nube. Coautor de “Wireless Security”, Merritt hace
comentarios sobre una variedad de temas acerca de la seguridad de TI y se lo puede seguir en www.
twitter.com/merrittmaxim. Merritt obtuvo su BA cum laude en Colgate University y su MBA en MIT Sloan
School of Management y es el autor de Wireless Security (Seguridad inalámbrica).
15
CA Technologies es una empresa de software y soluciones de administración
de TI con experiencia en todos los entornos de TI, desde entornos mainframe
y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra
y asegura los entornos de TI, y permite que los clientes entreguen servicios
de TI más flexibles. Los innovadores productos y servicios de CA Technologies
proporcionan la perspectiva y el control esencial para que las organizaciones
de TI mejoren la agilidad del negocio. La mayor parte de las empresas
de Global Fortune 500 confía en CA Technologies para administrar sus
ecosistemas de TI en evolución. Si desea obtener más información,
visite CA Technologies en ca.com/ar.
Copyright © 2012 CA. Todos los derechos reservados. Todas las marcas registradas, los nombres comerciales, las marcas de servicios
y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. El propósito de este documento es
meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la
ley vigente, CA proporciona esta documentación “tal y como está”, sin garantía de ningún tipo, incluidas, a título enunciativo y no
taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún
caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación,
incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del
fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la
posibilidad de dichos daños. CA no proporciona asesoramiento legal. Ni este documento ni ningún producto de software mencionado
en el presente documento servirán como sustituto del cumplimiento de leyes vigentes (entre ellas, leyes, estatutos, reglamentos,
normas, directivas, estándares, políticas, edictos administrativos y ejecutivos, etc., en conjunto denominados “leyes”) ni de
cualquier obligación contractual con terceros. Para obtener asesoramiento sobre cualquier ley u obligación contractual relevante,
consulte con un abogado competente.
CS1933_0212

El rol de la administración de identidades y accesos para

Transcripción

Documentos relacionados

Urban Culture and Identities in Mexicali

Exponentes y radicales Factorización Productos notables Propiedad