©2016 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. WWW.CENTRIFY.COM +1 (669) 444-5200

R E S U M E N D E L A S O L U C I Ó N

Proteger los datos PCI de los administradores de dominio

La gerencia le da una orden: restringir el acceso a los servidores PCI y SOX para aprobar una auditoría inminente. En los servidores de Windows, esto representa un problema. Todos los integrantes del grupo de administradores de dominio tienen acceso a los servidores PCI y SOX, lo cual no debería suceder. ¿Cómo puede resolver el problema y restringir el acceso de los administradores de dominio a esos servidores?

Logre los objetivos de cumplimiento normativo para el acceso administrativo con Centrify Server Suite®

Una de las realidades con las que se encuentran los administradores de dominio de Windows es que prácticamente todas las organizaciones de cualquier tamaño pueden entrar en conflicto con el principio de división de tareas (también denominado separación de tareas). Este principio se manifiesta en múltiples formas; por ejemplo, podría implicar que un empleado que tiene permiso para generar una factura en un sistema de facturación nunca tenga la posibilidad de auditar la creación de dicha factura. O podría significar (y quizás esta sea la violación más común del principio en los administradores de dominio de Windows en la actualidad) que un alto porcentaje de los administradores de dominio, que no tienen justificación desde el punto de vista del negocio para acceder a datos confidenciales y regulados, lo hagan.

Este es un ejemplo casi perfecto de por qué el cumplimiento normativo requiere un modelo de acceso con “menos privilegios”, diseñado para proteger tanto a los consumidores como a los negocios ante la exposición de información confidencial, como por ejemplo datos de tarjetas de crédito (PCI), información de salud (HIPAA) o datos financieros (MAS).

Analicemos un caso de uso simple para una organización financiera. Por razones de simplicidad, la organización tiene dos tipos de servidores Windows: controladores de dominio y servidores miembros que contienen datos protegidos de PCI.

Los integrantes del grupo de administradores de dominio de Windows tienen la titularidad total de todas las computadoras del dominio, incluidos los servidores que contienen datos regulados de PCI. Esto no es lo que la organización quiere. La organización quiere que los DBA y los titulares de la información de PCI sean los propietarios de esas computadoras. No existe nada en esas computadoras que necesite administración por parte de un administrador de dominio.

Sin embargo, todos en ese grupo de administradores de dominio tienen la titularidad total de los servidores de PCI en un entorno nativo Windows — a menos que implemente Server Suite.

Server Suite le permite restringir el acceso de sus administradores de dominio a los servidores de PCI y, al mismo tiempo, otorgarles privilegios totales a sus controladores de dominio. Esto protege su datos de PCI de los empleados internos que no tienen una justificación desde el punto de vista de la actividad comercial para

ADMIN

Gráfico 1. Sin división de tareas.Todos los administradores de dominio tienen control total sobre todos los servidores, incluidos aquellos con datos regulados.

Privilegios de administrador

Servidor PCI Servidor HIPAA Servidor MAS Controlador de dominio

MattUsuarios de dominio

Gráfico 2. División de tareas implementada.Matt tiene privilegios de administrador de dominio en el controlador de dominio, pero no tiene acceso a los servidores con datos regulados.

Sin acceso Sin acceso Sin acceso

MattUsuarios de dominio

Privilegios de administrador

Privilegios de administrador

Privilegios de administrador

Servidor PCI Servidor HIPAA Servidor MAS Controlador de dominio

Privilegios de administrador

R E S U M E N D E L A S O L U C I Ó N

©2016 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. WWW.CENTRIFY.COM +1 (669) 444-5200

SANTA CLARA, CALIFORNIA +1 (669) 444 5200

EMEA +44 (0) 1344 317950

ASIA PACIFIC +61 1300 795 789

BRAZIL +55 11 3958 4876

LATIN AMERICA +1 305 900 5354

EMAIL sales@centrify.com

WEB www.centrify.com

Centrify es el líder en la protección de identidades empresariales contra las amenazas ciberneticas que actualmente apuntan a los entornos hibridos de TI en la nube, dispositivos móviles y en la premisa. La Plataforma de Identidad de Centrify protege el punto principal del ataque utilizado en las violaciones de datos — las credenciales comprometidas — mediante la protección de los usuarios internos y externos de la empresa, así como de sus cuentas privilegiadas. www.centrify.com.

Centrify y Centrify Server Suite son marcas comerciales registradas de Centrify Corporación. Otras marcas comerciales mencionadas en este documento son propiedad de sus respectivos dueños.

BRF000098ES-09202014

acceder a los servidores de PCI y, al mismo tiempo, permite que su equipo de administración de dominio gestione la administración de su Directorio activo mediante herramientas estándar, como ADUC, la consola de administración de DNS y otras.

En el caso ilustrado más abajo, Centrify ayudó a una importante organización financiera a separar la administración de dominios de acceso a datos regulados de PCI/SOX en el dominio de los servidores miembros. En el gráfico 1, podemos observar cómo estaba organizado (de una forma en que no logró pasar la auditoría reglamentaria). Todos los administradores de dominio tienen acceso a los servidores que contienen datos regulados.

ResumenExisten múltiples formas en las que Server Suite puede contribuir a proteger datos regulados de los administradores de dominio e implementar la división de las tareas que requieren las normativas y los auditores.

Centrify Server SuiteServer Suite le permite aprovechar de forma segura su infraestructura de directorio activo existente para administrar la autenticación de manera centralizada, el control de acceso, la gestión de privilegios, la aplicación de las políticas y el cumplimiento normativo en todos los recursos locales y en la nube. Además, la tecnología patentada de zonas de Centrify (Zone) acelera la implementación y brinda controles de acceso granulares únicos.

Para obtener más informaciónPor favor visita: www.centrify.com/products/server-suite