Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad

Cibernética

Gabriela Espinosa Calderón

gabriela.espinosa@sommet.com.mx

Situación actual de las empresas

• Fortalecimiento del Gobierno

• Conciencia de la gestión de riesgos

• Cumplimiento regulatorio más exigente

• Apego a normas y estándares

Diversidad de tecnologías aplicadas

• Cada vez es mayor el desarrollo de múltiples recursos de TI para soportar negocios, los ecosistemas se vuelven más complejos

Relación multi-usuario/multi-plataforma

Múltiples Usuarios

Usuario 1 Usuario 2 Usuario 3 Usuario 4 Usuario 5 Usuario 6

RRHH CRMSistema

Financiero

Sistema

Cobranza

Correo

ElectrónicoDirectorio

Activo

Múltiples Aplicaciones

Relación multi-identificador/multi-contraseña

Múltiples ID

ID3

Contr

ase

ña 3

CRM Correo

Electrónico

Directorio

Activo

Sistema

Financiero

Sistema

Cobranza

Múltiples contraseñas

Relación multi-contraseña/multi-políticas

• Múltiples políticas de contraseñas:

o Longitud mínima y máxima

o Vigencias

o Complejidad

o Histórico

Control de Acceso (Access Management)

• Son los mecanismos para limitar el acceso a la información y recursos

• Tradicionalmente los controles se agrupan en físicos, lógicos o técnicos y administrativos

• Guardias

• Candados

• Credencial

• Tarjetas de acceso

• Seguridad

Perimetral

Físicos

• Separación de redes

• Firewall

• Antivirus

• Smartcard/Biométricos

• Listas de Acceso

• Encriptación

• Detección de Intrusos

• Contraseñas

Lógicos o

Técnicos

• Políticas y

procedimientos

• Concientización

• Supervisión de

empleados

• Separación de funciones

• Rotación de funciones

Administrativos

Metas del control de accesos

• Necesidad de conocer (Need to know)o Acceso a la información que es pertinente para realizar su trabajo o función

• Menor privilegio (Least privilege)o El menor permiso o privilegio sobre la información a la que se tiene acceso

Pasos del control de accesos

• Identificación – Validación de que la cuenta de usuario existe en un sistema. Este paso se realiza generalmente al inicio de la sesión

• Autenticación – Verificación de que el usuario es quien dice ser, generalmente a través de contraseñas o escáneres biométricos

• Autorización – Verificación del nivel de accesos de un usuario en un sistema, generalmente a través de perfiles o roles

Identity and Access Management (IAM) –Gestión de identidades y accesos

Seguridad física

Administración

de la

Identidad

(alta, baja y

cambios de

usuarios)

Administración

de autenticación

(contraseñas)

Auditoría de

acceso y autorizaciones

Cumplimiento

con Regulaciones

• Administración de roles

• Administración de privilegios

✓ Red

✓ Sistemas operativos

✓ Aplicaciones

Control de Acceso

Identity and Access Management (IAM) –Gestión de identidades y accesos

• Es un proceso de seguridad que integra Personas, Procesos y Tecnología con el fin de gestionar el ciclo de vida de las identidades de los usuarios y sus derechos de acceso a los sistemas de información

¿Qué es la identidad?

Es el identificador que utiliza un usuario para registrarse ante un sistema al cual están asociados derechos y/o permisos de acceso a la información

PersonaDatos de la

persona

Datos de la organización

Roles organizacionales

Cuenta de correo

Cuenta de red

Cuenta aplicativo

Perfiles o accesos

Perfiles o accesos

Perfiles o accesos

Necesidades que cubre la Gestión de identidades y accesos (IAM)

Seguridad

• Política de control de

acceso: “necesidad de

conocer” y

“menor privilegio”

• Acceso basado en roles

• Integración de identidad

• Revocación de acceso

• Registro y auditoría de

acceso integrado

• Obligar contraseñas

fuertes

• Controles de seguridad

en una sola plataforma

(p. ej. Criptografía)

Administración

• Simplificación de procesos

de alta, baja y

modificación de privilegios

• Disminución en el tiempo de

creación de cuentas de

acceso

• Integración de identidad para

varios activos de información

• Centralización de privilegios

• Reducción en el número de

llamadas relacionadas con

contraseñas

Regulatorio

• Cumplimiento con

regulaciones guberna-

mentales relacionadas

con auditoría de acceso

• Apoyo al cumplimiento

de estándares como

ISO 27001:2013,

ISO 20000-1:2011

ISO 29146:2016

• Sarbanes Oxley, PCI, SOX

• MAAGTICSI

• COSO, COBIT, INAI

• Boletines CNBV

Ejemplos de amenazas y vulnerabilidades de control de acceso relacionadas a ISO 27001

Amenazas Ejemplos de vulnerabilidades Controles sugeridos en el ISO 27001

de control de acceso

Acceso no autorizado a

información por exceso de

privilegios

• No existe una política

• No existen roles

• Se tienen usuarios desactualizados

A.11.1.1 Política de control de acceso

A.11.2.2 Administración de privilegios

Acceso no autorizado a

información por selección de

contraseña o administración

de contraseña

• Uso de contraseñas simples

• Falta de responsivas de usuarios

• Contraseñas que no expiran

A.11.2.3 Administración de contraseñas

de usuario

A.11.5.3 Sistema de administración

contraseñas

Acceso no autorizado a la

información por falta de una

identificación y autorización

única

• Proceso de verificación de identidad

para cambio de contraseña

• Aplicaciones con su propio repositorio

de identidad

A.11.2.1 Registro de usuarios

A.11.5.2 Identificación y autenticación

de usuarios

Incapacidad de proveer

evidencia

• Usuarios de Help desk conocen los

códigos de los usuarios

A.11.5.2 Identificación y autenticación

de usuarios

A.10.10.2 Monitoreo de uso de sistema

A.10.10.1 Registro eventos

Objetivos de IAM en la organización

• Fortalecer la seguridad

• Incrementar la productividad

• Ampliar los niveles de servicio

• Sincronizar la información de la identidad

• Apoyar el cumplimiento regulatorio

• Proveer retorno de inversión

Fortalecer la seguridad de la información

• Se requiere saber quién tiene acceso a qué recursos de información en la organización y reaccionar rápidamente ante posibles riesgos de seguridad de la información

Información

Confidencialidad

IntegridadDisponibilidad

Incrementar la productividad

• Es necesario automatizar procesos de gestión ejecutados manualmente y delegar actividades a los usuarios sin perder la autoridad central

Ampliar los niveles de servicio

• Gestionar oportunamente los continuos cambios de roles y responsabilidades de los usuarios de manera que ellos inicien rápidamente su trabajo productivo

Sincronizar la información de la identidad

• Se requiere disponer de información exacta, íntegra y persistente acerca de los usuarios y sus privilegios de acceso, sin importar la frecuencia y cantidad de sus cambios

PersonaDatos de la

persona

Datos de la organización

Roles organizacionales

Cuenta de correo

Cuenta de red

Cuenta aplicativo

Perfiles o accesos

Perfiles o accesos

Perfiles o accesos

Apoyar el cumplimiento regulatorio

• Debe apoyar el cumplimiento de la regulación relacionada con el control de acceso a la información, el manejo de roles y perfiles y la gestión de los usuarios

Proveer retorno de inversión

• Se debe evidenciar el retorno de la inversión en tecnología presentando resultados en corto tiempo que indiquen mejora en la gestión

Evolución de la gestión de la identidad

Empleados

Empleados

& Proveedores

Consumidores

IoT

Hoja de ruta implantación IAM

Repositorio

corporativo

de

identidades

Fuente

autoritativa

Roles y

PerfilesAprovisio-

namiento

Administración

de

accesos

Autenticación

robusta

Identidad

federada

Repositorio corporativo de identidades

• Consolidar la identidades en un repositorio centralizado con información personal, cuentas de usuarios y permisos de acceso a los sistemas

Fuente autoritativa

• Definir una fuente única, válida y centralizada de información como origen para poblar el repositorio corporativo de identidades, generalmente la fuente autoritativa es recursos humanos

Roles y perfiles

• Establecer los roles de negocio que soportan la operación y que deben estar alineados a los roles configurados en las aplicaciones

Aprovisionamiento

• Gestionar el ciclo de vida de las identidades, desde la creación, hasta su dada de alta, pasando por bloqueo, desbloqueo, activación, inactivación, asignación y derogación de roles y mantenimiento de información general como : cargo, ubicación, identificación

Aprovisionamiento

Inicio de la Relación

Entrega aplicaciones

Fin de la Relación

Eliminación de accesos

Compañía

Área

Nivel

Administración y mtmt. de datos

Puesto

Control de accesos

Solicitud de acceso a aplicación y permisos

Eliminación de accesos por cambios

organizacionales

Validación de accesos por

jefes inmediatos

Cambio Contraseña

Manejo de Contraseñas

Contraseña inicial

Olvido Contraseña

Administración de accesos

• Definir los procedimientos relacionados con el control de acceso a la información aplicando el mínimo privilegio y la necesidad de conocer

Autenticación robusta – Factores de autenticación

• Factor 1o Algo que conozco

• Factor 2o Algo que conozco + algo que tengo

o Algo que soy + algo que conozco

Identidad federada

Empresa 1

Empresa 2

Empresa 3Permitir la interoperabilidad de identidades

entre compañías y redes con un mismo

identificador

Hitos en la implantación de un sistema IAM

• Roles

• ResponsabilidadesCompromiso• Funcional

• OperativoAlcance• Usuarios

• Aplicaciones

• ÁreasEstrategia

• Hardware

• SoftwareArquitectura

• FasesImplantación• Concienciación

• CapacitaciónEntrenamiento

• Alta disponibilidadContinuidad

Compromiso

• Se debe sensibilizar a todos los responsables de las áreas críticas involucradas

Alcance

• Es clave definir los servicios suministrados

Estrategia

• Es necesario establecer de acuerdo con el negocio lo que agregue más valor, de tal manera que se puedan brindar resultados visibles en el menor tiempo posible

• ¿Qué brinda resultados en el menor tiempo posible?o Aplicaciones críticas

o Usuarios por área

o Usuarios por aplicación

o Kit básico

o Aplicaciones por centros de costos

o Bajas de todas las aplicaciones

Arquitectura

• Definir la alienación con la directriz tecnológica de la organizacióno Sistemas operativos

o Virtualización

o Alta disponibilidad

o Aplicaciones

o Procesos

o Políticas

Implantación

• El esquema de implantación debe tener el menor impacto posible en la operación

Entrenamiento

• Concientización de los usuarios en el fortalecimiento de la seguridad

• Entrenar a los administradores y operadores de la solución para el mantenimiento y operación de la misma

Continuidad

• El acceso a los sistemas debe estar habilitado y soportado en componentes de alta disponibilidad

Factores críticos de éxito

- Alcance no acordado y formalizado

- Roles y perfiles no identificados y establecidos claramente

- Entrenamiento inadecuado

- Inconsistencias en la interacción con otras plataformas

- Soporte técnico inadecuado

- Fallas de servicio de infraestructura tecnológica

- Resistencia al cambio

- Débil conciencia en seguridad

- Percepción errada de fallas de servicio

- Recursos para operar la solución con perfil especializado

Operativos Tecnológicos Humanos

Testimonio – Ing. Rodolfo Aguilera Martínez

• Factores críticos de implantación• Involucramiento de la organización desde la implantación para dar continuidad a la operación• RBAC• Relación Gobierno (Políticas y procedimientos)-Negocio

• Beneficios de la solución• Operación• Reducción de riesgos

• Beneficios de la tercerización de la operación de la solución• Recurso humano• Curva de aprendizaje – apoyo con capacitación• Mentoring

Preguntas

¡Muchas gracias!