La Identidad Digital Única en la Empresa ¿Utopía o Realidad?

Rames Sarwat SMARTACCESS

www.smartaccess.es

La Seguridad alineada con el Negocio

• Nos ayuda a :

–Cumplir con los objetivos de negocio

–Cumplir con la legislación o normativa aplicable

–Reducir el riesgo operativo

¿Riegos operativos?

• Robo de propiedad intelectual o activos digitales

• Publicación de información sensible o confidencial

• Corte o interrupción de servicios críticos

Identidad Digital

• Capacidad de identificar a cada usuario a lo largo de la organización.

• Se implementa a través de una serie de procesos y herramientas

• Su gestión nos permite: – Aplicar una protección minuciosa a los recursos

– Eliminar automáticamente los privilegios de acceso latentes

– Abordar la creciente cantidad de disposiciones reglamentarias y normas de obligado cumplimiento.

Tecnologías asociadas

¿QUÉ SON ESTAS TECNOLOGÍAS? Algunas son más conocidas y otras menos

Servicio de Directorio

• Es una base de datos estructurada que almacena datos de forma estandariza.

• La mayoría son accesibles mediante el protocolo LDAP (Lightweight Directory Access Protocol) que sigue el esquema RFC 2798 (inetOrgPerson).

• Implementa mecanismos de control de acceso granular y se utilizan también como servidores de autenticación o de gestión centralizada de políticas.

• Su principal función es el almacenamiento de datos y su uso para otros fines es muy limitado.

Metadirectorio

• Es un servicio de sincronización de datos entre diferentes servicios de Directorio.

• El motor de sincronización copia los datos de una instancia de servidor de directorio a otro, cuando se detecta su modificación.

• Algunos metadirectorios pueden sincronizar datos con tablas de bases de datos relacionales y archivos, pero sus características de transformación de datos suelen ser muy limitadas

• También permiten una fusión de los datos de varias fuentes similares para presentar una visión consolidada.

Metadirectorios permitir simple fusión de los datos de varias fuentes similares y presentar una visión consolidada de los datos

Directorio Virtual

• Es un traductor de protocolos que permite a las aplicaciones el acceso a los datos (habitualmente residentes en diferentes repositorios o BBDD relacionales) a través de un único protocolo y mediante una vista consolidada.

• Algunos sistemas de directorio virtual permiten la transformación de los datos y el almacenamiento en caché.

Herr. de Provisioning

• Permite la gestión remota de las diferentes las bases de datos que contienen información de los usuarios entre sistemas heterogéneos.

• Facilitan las tareas de sincronización y transformación de datos complejas, así como su gestión y auditoría.

• La mayoría incluyen un motor de workflow para controlar los flujos de los datos en procesos entre diferentes personas de la organización.

• Algunas requieren el uso de agentes en los sistemas de destino mientras que otras funcionan sin agentes utilizando interfaces remotas.

Control de Acceso

• Módulos o agentes responsables de las funciones de autenticación de usuarios y la autorización a los recursos

• En la mayoría de los casos estas funciones son proporcionadas por el sistema, aunque existen agentes que extienden estas funcionalidades.

• Estos agentes estan vinculados a una versión específica de los sistemas y pueden ser complejos de instalar y desplegar.

Single Sign-On

• Funcionalidad que permite que un usuario se autentique una unica vez y obtenga acceso a todos los recursos y aplicaciones que requiere.

• Existen dos formas de SSO – True Single Sign-On: El sistema autentica al usuario y le

genera un ticket que el resto de aplicaciones y recursos reconocen. Basados en criptografía simétrica (p.e. Kerberos) o en XML ycriptografía asmimétrica (p.e. SAML).

– Pseudo Single Sign-On : Mantiene un agente que aprende e «injecta» a las aplicaciones las diferentes contraseñas del usuario de forma automatizada. Genera la ilusión de un single sign-on.

PKI

• Infraestructura para emitir y utilizar certificados de Identidad Digital de Usuario protegidos por funciones criptográficas de clave publica.

• La mayoría utiliza el estándar X.509 • Permite vincular los datos de un usuario a su

pareja de claves (publica/privada) a través de la firma digital de un tercero de confianza.

• La PKI puede utilizarse para implementar funciones de single sign-on pero requiere que todas las aplicaciones se modifiquen para admitir certificados digitales.

Federación Identidades

• Diferentes organizaciones comparten cierta partes de la identidad de sus usuarios y dan acceso a sus procesos de autenticación de manera segura.

• Permite el acceso a recursos o aplicaciones a usuarios de otras organizaciones sin necesidad de crear nuevas cuentas.

• Está diseñado para operar a través de Internet y entre sistemas heterogeneos.

• Esta tecnología no esta todavía muy extendida y continua evolucionando.

¿PUEDO COMBINAR ESTAS TECNOLOGÍAS PARA OBTENER LA IDENTIDAD ÚNICA?

La Identidad Digital Única en la Empresa

No son soluciones completas

• Ninguna de las tecnologías anteriormente indicadas puede considerarse una solución completa de Gestión de la Identidad Digital.

• Sin embargo, conjuntamente y aplicadas en un orden lógico pueden generar un sistema funcional de Gestión de la Identidad Digital para obtener la Identidad Digital Única en la Empresa.

Algunas Necesidades

• Conocer las diferentes identidades de nuestros usuarios

• Gestionar los procesos de alta/baja/modificación de identidades

• Disponer de una visión unificada de las identidades de cada usuario.

• Mejorar la productivad de los usuarios.

• Reducir los costes de soporte

• Evitar la suplantación de la identidad y el acceso no autorizado a los sistemas de información.

• Dar acceso a otras organizaciones a nuestros sistemas de información sin comprometer la seguridad de la información.

• Cumplimiento de la legislación o normativa aplicable

Hoja de Ruta

1 • Inventario de Repositorios de IDentidad

2 • Sistema de provisioning

3 • Base de datos central de usuarios

4 • Single Sign-On (SSO)

5 • Autenticación Fuerte

6 • Convergencia físico-lógica

7 • Federación de Identidades

1. Inventario Repositorios de IDentidad

• Realizar un análisis de los activos y recursos relacionados con las identidades en la organización: – Bases de Datos de Usuarios

– Estructura Organizativa

– Procedimientos de Gestión de Usuarios

– Legislación aplicable, etc.

• Los resultados nos ayudarán a definir los requisitos de los siguientes pasos.

2. Sistema de Provisioning

• Automatizar los procedimientos de gestión de usuarios (ABM)

• Implementar flujos de trabajo personalizados en función de la estructura organizativa.

• Debe proporcionar herramientas para: – Mantenimiento de las bases de

datos de usuarios – Control de acceso basado en roles

(RBAC) – Auditoria y monitorización de los

Sistemas

3. Base de Datos Central de Usuarios

• Utilizar la herramienta de provisioning para crear y mantener una base de datos central de usuarios.

• Habitualmente será un servicio de directorio replicado para garantizar la no interrupción del servicio.

• Esta base de datos actuará como fuente principal en los siguientes pasos

• Como alternativa, es posible utilizar las tecnologías de directorio virtual o de metadirectorio para su creación.

4. Single Sign-On (SSO)

• A partir de la BBDD Central de Usuarios Implementar el Single Sign-On como servicio central de autenticación de los usuarios.

• Si es posible modificar las aplicaciones, integrarlas con el servicio central de autenticación.

• En caso contrario, emplear herramientas de Web SSO o Enterprise SSO.

• La implementación de SSO puede ser más sencilla para aplicaciones web y más compleja para aplicaciones tradicionales de escritorio.

5. Autenticación Fuerte

• Remplazar el uso de las contraseñas en el acceso de empleados y colaboradores externos.

• En especial

• Administradores de TI

• Usuarios con acceso a información sensible, confidencial o sujeta a normativa/legislación.

• Accesos remotos

• Se recomienda utilizar plataformas de autenticación fuerte que soporten diversos métodos para ajustar la seguridad al nivel de riesgo de cada usuario.

• Valorar también su usabilidad, TCO y el impacto en los sistemas actuales.

6. Convergencia físico-lógica

• Unificación de credenciales

• Consola única de gestión

• Gestión de la seguridad integral

• Registro único de credenciales de usuarios

• Podemos llegar a relacionar eventos para incrementar la seguridad.

7. Federación de Identidades

• Conectar los servicios de Identidad Digital de nuestra empresa con otras organizaciones.

• La Federación proporcionará un mayor nivel de cooperación de los usuarios entre diferentes organizaciones, tanto públicas como privadas.

• Evita la gestión de identidades digitales externas.

Conclusiones

• Es posible obtener una Identidad Digital Única en la empresa mediante el uso de tecnologías disponibles y una gestión adecuada.

• Cada paso del proceso propuesto proporciona beneficios adicionales a la organización, aunque no es necesario implementarlos todos.

• Para garantizar el éxito, es importante definir hasta que paso vamos a implementar desde el inicio del proyecto.

¿ SmartAccess ?

• Empresa española que desarrolla soluciones para evitar el acceso no autorizado a los sistemas de información y la suplantación de la identidad.

• Nuestras soluciones ayudan a: – Incrementar la seguridad de la

información de la organización – Reducir los costes de operación – Cumplir con normativas vigentes

relativas a protección de datos y seguridad de la información

– Mejorar la productividad de los usuarios

www.smartaccess.es