Upload
xelere-seguridad
View
340
Download
1
Embed Size (px)
Citation preview
Manuel GrandosoLíder de Seguridad de la Informació[email protected]
Reduciendo la brecha entre
TI y el Negocio
IBM Security Identity Governance
Security Services
Agenda
Problemáticas y necesidades de las áreas de seguridad
Problemáticas en la gestión de identidades
Solución ISIG
Casos de uso
Contexto: Problemas y necesidades de las áreas de Seguridad
Paradigmas de Seguridad Cumplimiento de Normativas Escasez de Recursos
• La implementación de lasCAMS rompen losparadigmas tradicionales deseguridad.
• Crece la necesidad deestablecer nuevos modelosde seguridad.
• Los directivos de lasOrganizaciones demandansoluciones de Seguridad.
• Gran cantidad de regulacionesexternas y controles internos.
• Sistemas y aplicaciones encontinua evolución dificultanlos controles decumplimiento.
• Equipos de Seguridadpequeños en relación a laorganización.
• Dificultad para justificarproyectos de gran escala.
• Dificultad para encontrarpersonal con las habilidadesnecesarias.
T.I. Seg. Info.
Contexto: El círculo vicioso
¿Podemos verificar si
Juan Perez tiene los
perfiles correctamente
definidos?
2
Application Managers
IT Security
¿Podemos demostrar que
Juan Perez tiene los
accesos “apropiados”
según las “definiciones”?
1
Solo puedo informarte
sobre lo que Juan Pérez
tiene asignado. No podría
decirte si sus accesos
son los correctos
3
Business Manager
¿Podrías verificar si
Juan Pérez tiene los
accesos correctos?
4
Podría, si tuviera los
conocimientos técnicos para
comprender los detalles
técnicos de su perfil
5
CFO, CRO
¿Estamos cumpliendo
con la regulación XYZ?
¿Cómo estamos
midiendo y mitigando
los riegos?
0
Auditors
Contexto: Problemática en la Gestión de Identidades
La Administración y Gobierno de identidades son controles separados con integración limitada.
Dificultad para alinear las actividades de negocio con los riesgos.
Los auditores no pueden analizar los accesos sin la ayuda de los equipos de TI.
Falta de soporte para el aprovisionamiento y control de accesos.
Administración
Gobierno
Análisis
Falta de información para la aprobación y recertificación de accesos.
RIESGO
ROLES
GRUPOS
CUENTAS DE
USUARIOPRIVILEGIOS
USO REAL
NECESIDADES
DE NEGOCIO
Maduración de los Controles propuestos por el Framework
Optimized
Security Intelligence:User activity monitoring, Anomaly detection, Identity Analytics & Reporting
IAM Integration with GRC
Fine-grained entitlements
Integrated Web & Mobile Access
Gateway
Risk / Context based Access
Governance of SaaS applications
IAM as a SaaS
IAM integration with GRC
Risk/ Context-based IAM Governance
Risk / Context-based Privileged
Identity Mgmt
Proficient
Closed-loop Identity & Access
Mgmt
Strong Authentication
Strong Authentication (e.g.
device based)
Web Application Protection
Bring your own ID
Integrated IAM for IaaS, PaaS & SaaS
(Enterprise)
Closed-loop Identity and Access Mgmt
Access Certification & fulfillment (Enterprise)
Closed-loop Privileged Identity
Mgmt
Basic
Request based
Identity Mgmt
Web Access Management
Federated SSO
Mobile User Access Management
Federated access to SaaS (LoB)
User Provisioning for Cloud/SaaS
Access Certification(LoB)
Request based Identity Mgmt.
Shared Access and Password Management
Sub-dominios Compliance Mobile Security Cloud Security IAM Governance Privileged IdM
Identity Governance 101
y
¿Qué es ISIG?Capa de gobierno y visibilidad Otorga visibilidad de los accesos e identidades de usuarios Consolida los datos de accesos en una plataforma única Permite revisión, análisis y certificación de accesos
¿Qué no es?Capa de aprovisionamiento Procesos de ABM automáticos Implementación de políticas de acceso
Solicitud de Accesos
Administración de Roles
Visibilidad de Accesos
Recertificación
Segregación de Tareas
Una nueva forma de resolver los problemas
La forma de integrar aplicaciones cambió…
IntegraciónTécnica
IntegraciónLógica
Disminuye el foco en la
automatización (ABM)
Aumenta el foco basado en los
requerimientos de Negocio
Ciclo de vida del Gobierno de Identidades
Ciclo de vida de Identidades
Eliminar
Cambiar
Crear
Ciclo de vidade Roles
Descubrir
Crear
Revisar
Asignar
Cambiar
Ciclo de vidade Riesgo
ModelarMedir
MitigarDetectar
Funcionalidades por tipo de usuario
Gerente o
Responsable
o Realizar certificaciones
o Iniciar solicitudes de acceso y aprobar las solicitudes de sus empleados
o Administrar delegaciones de terceros
Dueño de
Aplicación
Aprobar solicitudes de accesos
Analizar cuentas huérfanas o sin asignar
Definir “Transformaciones Técnicas”
Gerente de Riesgo
o Aprobar solicitudes que posean violaciones a la política de SoD
o Realizar campañas de mitigación de violaciones
Operador
o Ejecutar manualmente las tareas el cumplimiento de las solicitudes
de accesos
Oficial de Seguridad
Supervisar certificaciones
Bloquear / Desbloquear usuarios
Empleado
Autoservicio para solicitud de accesos
Delegar accesos a otro empelado
Arquitectura de ISIG
Solicitud de Accesos
Autoservicio
Workflow de Accesos
Gobierno de Accesos
Segregación de Tareas
Access Review
Controles de compliance SAP
Optimización
Análisis de Riesgo
Minería de Roles
IDEAS CoreIDEAS Warehouse
Users, Permissions, Organizations, Policies
Rule Engine
Event Processing
Authorization Manager
Entitlement Server
Conectores (AD, LDAP, JDBC, MSQL, SAP, …) NetIQ IDM IBM SIM
Modelo de datos ISIG
Roles deNegocio
Roles de TI
Permisos de aplicación o átomosAplicación 1
Aplicación 2
RolesExternos
Entitlements
Roles vs Actividades
Roles
Efectivos para la automatización
de ABM de usuarios
Actividades
Efectivas para el modelado de
controles de segregación de
tareas (SoD)
Clara distinción entre el aprovisionamiento y el control de accesos
1) Mejora la visibilidad para el gobierno y gestión de accesos
Interfaz de usuario intuitiva y orientada al negocio
Campañas de certificación organizadas por aplicaciones, unidad de negocio, roles, etc
Flujos de aprobaciones con múltiples niveles
2) Facilita la colaboración entre las áreas de TI y de Negocio
Evalué actividades de negocio con roles y accesos para ejecutar controles de segregación de funciones (SoD)
2) Facilita la colaboración entre las áreas de TI y de Negocio
Realice seguimiento para certificar, modificar o eliminar accesos
Los auditores pueden abstraerse de la definición de roles de TI
Soporte nativo para realizar controles de SoD en SAP
2) Facilita la colaboración entre las áreas de TI y de Negocio
3) Optimización de accesos inteligente
Minería de roles visual para el descubrimiento y optimización de roles
Validación de roles en base a la política de segregación de funciones (SoD) definida
Muchas Gracias !
Viamonte 577 – Piso 9 [C1053ABK]| Buenos AiresTel. +54 (11) 5353-8300