Your SlideShare is downloading. ×
La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

La Identidad Digital Unica En La Empresa, ¿Utopia o Realidad?

530
views

Published on

Análisis de viabilidad y estrategia para conseguir la gestión unificada de identidades y accesos en la empresa.

Análisis de viabilidad y estrategia para conseguir la gestión unificada de identidades y accesos en la empresa.


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
530
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. La Identidad Digital Única en la Empresa ¿Utopía o Realidad? Rames Sarwat SMARTACCESS www.smartaccess.es
  • 2. La Seguridad alineada con el Negocio • Nos ayuda a : –Cumplir con los objetivos de negocio –Cumplir con la legislación o normativa aplicable –Reducir el riesgo operativo
  • 3. ¿Riegos operativos? • Robo de propiedad intelectual o activos digitales • Publicación de información sensible o confidencial • Corte o interrupción de servicios críticos
  • 4. Identidad Digital • Capacidad de identificar a cada usuario a lo largo de la organización. • Se implementa a través de una serie de procesos y herramientas • Su gestión nos permite: – Aplicar una protección minuciosa a los recursos – Eliminar automáticamente los privilegios de acceso latentes – Abordar la creciente cantidad de disposiciones reglamentarias y normas de obligado cumplimiento.
  • 5. Tecnologías asociadas
  • 6. Algunas son más conocidas y otras menos ¿QUÉ SON ESTAS TECNOLOGÍAS?
  • 7. Servicio de Directorio • Es una base de datos estructurada que almacena datos de forma estandariza. • La mayoría son accesibles mediante el protocolo LDAP (Lightweight Directory Access Protocol) que sigue el esquema RFC 2798 (inetOrgPerson). • Implementa mecanismos de control de acceso granular y se utilizan también como servidores de autenticación o de gestión centralizada de políticas. • Su principal función es el almacenamiento de datos y su uso para otros fines es muy limitado.
  • 8. Metadirectorio • Es un servicio de sincronización de datos entre diferentes servicios de Directorio. • El motor de sincronización copia los datos de una instancia de servidor de directorio a otro, cuando se detecta su Metadirectorios permitir simple fusión de los modificación. datos de varias fuentes similares y presentar • Algunos metadirectorios pueden sincronizar datos con una visión consolidada de los datos tablas de bases de datos relacionales y archivos, pero sus características de transformación de datos suelen ser muy limitadas • También permiten una fusión de los datos de varias fuentes similares para presentar una visión consolidada.
  • 9. Directorio Virtual • Es un traductor de protocolos que permite a las aplicaciones el acceso a los datos (habitualmente residentes en diferentes repositorios o BBDD relacionales) a través de un único protocolo y mediante una vista consolidada. • Algunos sistemas de directorio virtual permiten la transformación de los datos y el almacenamiento en caché.
  • 10. Herr. de Provisioning • Permite la gestión remota de las diferentes las bases de datos que contienen información de los usuarios entre sistemas heterogéneos. • Facilitan las tareas de sincronización y transformación de datos complejas, así como su gestión y auditoría. • La mayoría incluyen un motor de workflow para controlar los flujos de los datos en procesos entre diferentes personas de la organización. • Algunas requieren el uso de agentes en los sistemas de destino mientras que otras funcionan sin agentes utilizando interfaces remotas.
  • 11. Control de Acceso • Módulos o agentes responsables de las funciones de autenticación de usuarios y la autorización a los recursos • En la mayoría de los casos estas funciones son proporcionadas por el sistema, aunque existen agentes que extienden estas funcionalidades. • Estos agentes estan vinculados a una versión específica de los sistemas y pueden ser complejos de instalar y desplegar.
  • 12. Single Sign-On • Funcionalidad que permite que un usuario se autentique una unica vez y obtenga acceso a todos los recursos y aplicaciones que requiere. • Existen dos formas de SSO – True Single Sign-On: El sistema autentica al usuario y le genera un ticket que el resto de aplicaciones y recursos reconocen. Basados en criptografía simétrica (p.e. Kerberos) o en XML ycriptografía asmimétrica (p.e. SAML). – Pseudo Single Sign-On : Mantiene un agente que aprende e «injecta» a las aplicaciones las diferentes contraseñas del usuario de forma automatizada. Genera la ilusión de un single sign-on.
  • 13. PKI • Infraestructura para emitir y utilizar certificados de Identidad Digital de Usuario protegidos por funciones criptográficas de clave publica. • La mayoría utiliza el estándar X.509 • Permite vincular los datos de un usuario a su pareja de claves (publica/privada) a través de la firma digital de un tercero de confianza. • La PKI puede utilizarse para implementar funciones de single sign-on pero requiere que todas las aplicaciones se modifiquen para admitir certificados digitales.
  • 14. Federación Identidades • Diferentes organizaciones comparten cierta partes de la identidad de sus usuarios y dan acceso a sus procesos de autenticación de manera segura. • Permite el acceso a recursos o aplicaciones a usuarios de otras organizaciones sin necesidad de crear nuevas cuentas. • Está diseñado para operar a través de Internet y entre sistemas heterogeneos. • Esta tecnología no esta todavía muy extendida y continua evolucionando.
  • 15. La Identidad Digital Única en la Empresa ¿PUEDO COMBINAR ESTAS TECNOLOGÍAS PARA OBTENER LA IDENTIDAD ÚNICA?
  • 16. No son soluciones completas • Ninguna de las tecnologías anteriormente indicadas puede considerarse una solución completa de Gestión de la Identidad Digital. • Sin embargo, conjuntamente y aplicadas en un orden lógico pueden generar un sistema funcional de Gestión de la Identidad Digital para obtener la Identidad Digital Única en la Empresa.
  • 17. Algunas Necesidades • Conocer las diferentes identidades de nuestros usuarios • Gestionar los procesos de alta/baja/modificación de identidades • Disponer de una visión unificada de las identidades de cada usuario. • Mejorar la productivad de los usuarios. • Reducir los costes de soporte • Evitar la suplantación de la identidad y el acceso no autorizado a los sistemas de información. • Dar acceso a otras organizaciones a nuestros sistemas de información sin comprometer la seguridad de la información. • Cumplimiento de la legislación o normativa aplicable
  • 18. Hoja de Ruta 1 • Inventario de Repositorios de IDentidad 2 • Sistema de provisioning 3 • Base de datos central de usuarios 4 • Single Sign-On (SSO) 5 • Autenticación Fuerte 6 • Convergencia físico-lógica 7 • Federación de Identidades
  • 19. 1. Inventario Repositorios de IDentidad • Realizar un análisis de los activos y recursos relacionados con las identidades en la organización: – Bases de Datos de Usuarios – Estructura Organizativa – Procedimientos de Gestión de Usuarios – Legislación aplicable, etc. • Los resultados nos ayudarán a definir los requisitos de los siguientes pasos.
  • 20. 2. Sistema de Provisioning • Automatizar los procedimientos de gestión de usuarios (ABM) • Implementar flujos de trabajo personalizados en función de la estructura organizativa. • Debe proporcionar herramientas para: – Mantenimiento de las bases de datos de usuarios – Control de acceso basado en roles (RBAC) – Auditoria y monitorización de los Sistemas
  • 21. 3. Base de Datos Central de Usuarios • Utilizar la herramienta de provisioning para crear y mantener una base de datos central de usuarios. • Habitualmente será un servicio de directorio replicado para garantizar la no interrupción del servicio. • Esta base de datos actuará como fuente principal en los siguientes pasos • Como alternativa, es posible utilizar las tecnologías de directorio virtual o de metadirectorio para su creación.
  • 22. 4. Single Sign-On (SSO) • A partir de la BBDD Central de Usuarios Implementar el Single Sign-On como servicio central de • Si es posible modificar las autenticación de los aplicaciones, integrarlas con el servicio central de autenticación. usuarios. • En caso contrario, emplear herramientas de Web SSO o Enterprise SSO. • La implementación de SSO puede ser más sencilla para aplicaciones web y más compleja para aplicaciones tradicionales de escritorio.
  • 23. 5. Autenticación Fuerte • Remplazar el uso de las contraseñas en el acceso de empleados y colaboradores externos. • En especial • Administradores de TI • Usuarios con acceso a información sensible, confidencial o sujeta a normativa/legislación. • Accesos remotos • Se recomienda utilizar plataformas de autenticación fuerte que soporten diversos métodos para ajustar la seguridad al nivel de riesgo de cada usuario. • Valorar también su usabilidad, TCO y el impacto en los sistemas actuales.
  • 24. 6. Convergencia físico-lógica • Unificación de credenciales • Consola única de gestión • Gestión de la seguridad integral • Registro único de credenciales de usuarios • Podemos llegar a relacionar eventos para incrementar la seguridad.
  • 25. 7. Federación de Identidades • Conectar los servicios de Identidad Digital de nuestra empresa con otras organizaciones. • La Federación proporcionará un mayor nivel de cooperación de los usuarios entre diferentes organizaciones, tanto públicas como privadas. • Evita la gestión de identidades digitales externas.
  • 26. Conclusiones • Es posible obtener una Identidad Digital Única en la empresa mediante el uso de tecnologías disponibles y una gestión adecuada. • Cada paso del proceso propuesto proporciona beneficios adicionales a la organización, aunque no es necesario implementarlos todos. • Para garantizar el éxito, es importante definir hasta que paso vamos a implementar desde el inicio del proyecto.
  • 27. ¿ SmartAccess ? • Empresa española que desarrolla soluciones para evitar el acceso no autorizado a los sistemas de información y la suplantación de la identidad. • Nuestras soluciones ayudan a: – Incrementar la seguridad de la información de la organización – Reducir los costes de operación www.smartaccess.es – Cumplir con normativas vigentes relativas a protección de datos y seguridad de la información – Mejorar la productividad de los usuarios