Administración de Identidades y Accesos: guía … · mainframe o de la red?) ... Seguimiento y reportes de actividades de uso y alteración de identidades y accesos en toda la empresa

GUIA DE USUARIO: ADMINISTRACION DE IDENTIDADES Y ACCESOS

Administración de Identidades y Accesos: guía general de usuarioNOVIEMBRE DE 2007

Índice

SECCION 1 1Visión general

SECCION 2 1El escenario de la administración de identidades y accesos

La creciente importancia de la administraciónde la identidad y el acceso

La necesidad de control

Inicio

Los componentes técnicos de una solución IAM

SECCION 3 4Matriz de evaluación de la solución IAM

Consideraciones generales sobre la solución

Administración y aprovisionamiento de identidades

Administración de accesos

Auditoría y monitoreo

SECCION 4 22La solución de CA

ACERCA DE CA Contratapa

Copyright © 2007 CA. Todos los derechos reservados. Todas las marcas registradas, nombres comerciales, marcas de servicio y logotipos mencionados em este documento pertenecen a sus respectivas empresas. Este documento tiene finalidad exclusivamente informativa. De acuerdo con lo que es aplicable por la ley, CA provee este documento "como está" sin garantía, incluyendo, pero no limitado a, cualquier garantía de comercialización o ajustes para un fin particular, o no violación. En ninguna circunstancia CA será responsable por cualquier pérdida o daño, directo o indirecto, provocado por el uso de este documento, incluyendo, pero no limitado a, la pérdida de lucro, interrupción de los negocios, pérdida de datos o valor de los negocios, aunque CA sea expresamente informada sobre esos daños.

GUIA DEL USUARIO: ADMINISTRACION DE IDENTIDADES Y ACCESOS 1

SECCION 1

Visión general

SECCION 2

El escenario de la administración de identidades y accesos

La creciente importancia de la administración de la identidad y el acceso

Para los encargados de seleccionar toda o parte de la solución de administración de identidades y accesos (IAM) de la organización, tomar la decisión correcta puede parecer un desafío. Una solución integral posee muchos elementos combinados. Nuevas tecnologías y nuevas amenazas se presentan continuamente. La información con la cual usted se enfrenta es compleja.

Este documento provee una guía concisa y completa que lo ayudará a determinar lo más importan-te a la hora de seleccionar una solución IAM. La primera sección describe brevemente el escenario actual de administración de identidades y accesos, y ofrece una amplia visión general de los elementos principales de una solución IAM global. La segunda sección, Matriz de Evaluación de la Solución IAM, contiene un listado de los elementos más importantes para un sistema IAM comple-to, de acuerdo con la experiencia de CA. Esa matriz puede ser usada como una herramienta para evaluar posibles soluciones.

Si usted estuviese comenzando a implementar una amplia solución IAM o resolviendo un problema específico inmediato, recuerde que un compromiso efectivo con IAM raramente ocurre en una etapa única. Su organización adoptará un nuevo estilo de administración que involucra a toda la empresa, un nuevo estilo de administración brindará una mayor productividad, seguridad, satisfacción al usuario y capacidad de atender los requisitos de cumplimiento de las regulaciones.

Una confluencia de motivaciones comerciales, regulatorias y tecnológicas está haciendo que muchas organizaciones reconsideren la forma en que brindan soporte a sus comunidades de usuarios y protegen sus datos y aplicaciones, todo eso manteniendo los costos bajo control y esforzándose continuamente para permanecer al frente de la competencia. Actualmente, las organizaciones también están rechazando un enfoque “de reparación rápida" para la seguridad, que soluciona el problema actual, pero crea límites a medida que las necesidades cambian. Em lugar de eso, las organizaciones están explorando cómo una estrategia de seguridad de información sólida y de largo plazo no sólo puede ofrecer soporte a la forma y el lugar donde trabajan las personas, sino también crear una base que contribuya con sus objetivos generales. En un mundo cada vez más complejo, rápido e interconectado, esto puede ser un gran desafío, que su organización probable-mente está enfrentando.

¿Qué factores están impulsando ese creciente interés en IAM?

La explosión de número y los tipos de aplicaciones y comunidades de usuarios soportados, dentro y fuera de los límites de la organización: empleados, clientes, socios, vendedores, reguladores y auditores.

Altas expectativas del usuario: acceso rápido y fácil a la información que necesita, cuándo, cómo y dónde la precisa.

Crecimiento mundial de la cantidad de requisitos regulatorios, programas de cumplimiento e iniciativas de calidad.

Rápida expansión del ecosistema tecnológico y comercial, la "Internet exponencial" de la arquitec-tura orientada a los servicios (SOA), Software as a Service (SaaS), Web 2.0 e ID 2.0.

•

•

•

•

Junto a esos factores, está la continua publicidad negativa asociada a cualquier falla de seguridad, robo de identidad, vaciamiento de datos o violación de privacidad. Ningún CEO quiere que su organi-zación esté en las noticias principales por robo o exposición inadecuada de información de cuenta, o porque una laptop que contenía información confidencial ha sido perdida. La antigua creencia de que "no existe publicidad negativa" simplemente no es verdad. Los problemas de identidades y accesos son costosos, no sólo en términos de pérdidas financieras, sino también por minar la confianza de empleados, clientes y accionistas de la organización.

Al lidiar con esas nuevas aplicaciones, los usuarios, las necesidades y los temores se vuelven para la TI, generando una gran responsabilidad combinada con la presión constante de hacer más con menos. Algunas de las presiones para “hacer más” que usted está enfrentando son:

Muchos usuarios. Muchas identidades. Muchas aplicaciones. Muchos administradores. En ese entorno, las organizaciones de TI enfrentan necesidades tanto internas como externas para perfec-cionar el control sobre políticas, procedimientos y procesos de IAM de cada organización. Ante esas exigencias, usted precisa implementar un sistema que sustituya los enfoques fragmentados por uno más sistemático y consistente para usuarios y aplicaciones.

Usted precisa un sistema automatizado y blindado, fácil de usar y administrar y, por lo tanto, menos sujeto a errores humanos costos y violaciones frecuentes de reglas. Precisa implementar un sistema que aproveche y se integre con sus inversiones en TI existentes, y no que necesite de reinvenciones simultáneas en cada sector de la organización.

Existen beneficios evidentes en el control total de la administración de identidades y accesos:

Más llamadas al help desk, generalmente para lidiar con solicitudes mínimas derivadas de problemas con la contraseña (¿cuál es mi login para esta aplicación? ¿La contraseña de 16 caracteres es de mi mainframe o de la red?)

Más solicitudes instantáneas e inesperadas de privilegios de acceso. Con eso, existe una necesidad mayor de asegurar que sólo los privilegios adecuados sean concedidos, así como revocados cuando ya no fueran relevantes.

Con el soporte de tantos grupos diferentes de usuarios, muchas organizaciones verán un aumento del número de sistemas separados en silos, cada uno con su propio enfoque de IAM y su función administrativa exclusiva para lidiar con la seguridad.

Mejora la productividad del usuario interno y externo. Un ejemplo de cómo esto puede ser hecho: sustituir métodos divergentes de inicio de sesión para cada aplicación o silo separado por recursos de inicio de sesión único.

Incrementa el desempeño competitivo. Un ejemplo de cómo esto puede ser hecho: aumentar la capacidad de acceso de clientes y socios a informaciones importantes a través de la identidad federa-da basada en estándares.

Reduce los costos de TI y del help desk. Un ejemplo de cómo esto puede ser hecho: emplear herra-mientas de autoayuda para resolver tareas rutinarias y repetitivas, como la recuperación de contraseñas.

Reduce el riesgo de fallas en la seguridad por medio de un control mayor del acceso a sistemas esenciales. Un ejemplo de cómo esto puede ser hecho: implementar una división de tareas de acuer-do con funciones, con el objetivo de otorgar los privilegios de acceso apropiados.

Promueve el cumplimiento continuo y sustentable de las regulaciones. Un ejemplo de cómo esto puede ser hecho: mejorar la administración, el monitoreo y la generación de reportes sobre datos de auditoría obtenidos por medio de fuentes de acceso protegido.

2 GUIA DEL USUARIO: ADMINISTRACION DE IDENTIDADES Y ACCESOS

•

•

•

La necesidad de control

•

•

•

•

•


Inicio

•

•

•

Los componentes técnicos de una solución IAM

ADMINISTRACION Y APROVISIONAMIENTO DE IDENTIDADES

ADMINISTRACION DE ACCESOS

AUDITORIA Y MONITOREO

Aunque los beneficios sean evidentes, la tarea de cambiar el modo existente de operación (costoso y manual, aunque con cierta funcionalidad) puede parecer un desafío.

¿Qué es lo que primero debe hacer? Respire profundo. Comience a pensar sobre obtener el control de la administración de identidades y accesos de su organización como un gran proyecto que puede ser dividido en partes menores y más fáciles de administrar. La mayoría de las organizaciones aborda la administración de identidades y accesos de manera gradual y evolutiva, en vez de adoptar un enfoque general de "retiro y sustitución".

Un enfoque gradual también tiene la ventaja de ofrecer un cuadro general antes que usted dé los primeros pasos. Es esencial recordar que todas las partes precisarán trabajar en conjunto y de manera integrada con todos los elementos de su ecosistema de TI. Para ayudarlo en el proceso de evaluar soluciones IAM, CA creó esta guía de usuario. Creado para ayudar a su organización a desarrollar un conocimiento claro de las características y componentes esenciales de una solución IAM, la guía general de usuario de IAM ofrece directivas para ayudarlo a reflexionar sobre lo que realmente es importante desde el punto de vista del producto y la tecnología.

La implementación exitosa de una solución IAM va mucho más allá del foco en una tecnología de soporte. Los aspectos que deben ser considerados incluyen:

La solución IAM no ocurre en una única etapa ni instantáneamente. En verdad, organizaciones prósperas reconocen que el compromiso con IAM representa un "cambio en el estilo de vida".

Muchos elementos deben ser considerados en la evaluación de una solución IAM y, a veces, esa tarea puede parecer exhaustiva. El proceso puede ser simplificado al dividir la solución IAM en tres amplios componentes o áreas funcionales:

Administración centralizada de todas las identidades de usuario y automatización de la creación, modificación, suspensión o exclusión de cuentas de usuario y derechos en todos os sistemas de TI.

Control del acceso sobre todos los recursos importantes de la empre-sa, incluyendo sistemas, archivos y bases de datos del sistema, y aplicaciones de la empresa y Web.

Seguimiento y reportes de actividades de uso y alteración de identidades y accesos en toda la empresa.

Las prácticas recomendadas actuales y emergentes, tanto generales como específicas para su sector.

Los cambios regulatorios que pueden impactar en su implementación, así como en la forma y el momento en que es efectuada.

El compromiso y la comunicación con diversas partes involucradas, tanto dentro como fuera de la organización.

Desarrollada para ayudarlo en el proceso de selección, esta matriz de evaluación de la solución IAM detalla las características más importantes para una solución completa e integral de administración de identidades y accesos. La primera parte de la matriz abarca consideraciones de alto nivel que deben ser consideradas en la evaluación de una solución general y de un proveedor. Las siguientes secciones discuten aspectos específicos que deben ser considerados en las tres grandes categorías de IAM, como lo observamos anteriormente.

Una solución eficiente debe atender el conjunto completo de requisitos de administración de identidades y accesos de su organización, es decir, debe ser capaz de posibilitar que su empresa aborde todos los aspectos de IAM en el ámbito de los clientes, los socios de negocio y la empresa. Los requisitos más importantes para una solución IAM completa pueden ser divididos en diversas categorías generales:

La solución IAM ideal combina administración y aprovi-sionamiento de la identidad, administración de accesos y auditoría integral para ayudar a garantizar que todos los aspectos del ciclo de vida de la identidad sean administrados de manera segura y eficiente, incluyendo el impacto de la actividad de la identidad en el acceso a garantizar que todos los aspectos del ciclo de vida de la identidad sean

GUIA DEL USUARIO: ADMINISTRACION DE IDENTIDADES Y ACCESOS

COMPONENTES TECNICOS DE UNA SOLUCION IAM

EMPLEADOSCONTRATISTAS

CLIENTES DE LA CADENA DE SUMINISTROSOCIOS DE NEGOCIO

SECCION 3

Matriz de evaluación de la solución IAM

Consideraciones generales sobre la solución

RECURSOS Y FUNCIONALIDADES

4

FIGURA A

Los tres componentes de una solución IAM deben posibilitar la completa integración entre emplea-dos y con la infraestructura general de TI de la organización. Las soluciones IAM más poderosas reconocen que la infraestructura de TI de una organización puede incluir una gran variedad de sistemas de hardware y red (y subsistemas), incluyendo mainframe, servidor/cliente distribuido, conjuntos de aplicaciones híbridas que abarcan aplicaciones legadas y las más recientes aplicaciones basadas en servicios Web.

Administraciónde identidades

Activos físicos

CELULARCREDENCIALES

PDATELEFONO

Plataformas

SISTEMASSERVICIOS DE SISTEMA

MAINFRAMEARCHIVOS DE SISTEMA

Aprovisionamiento Administraciónde accesos

Auditoria/Monitoreo

Roles, políticas, reportes y flujos de trabajo comunesSistema RR.HH.

Directorio Registro de eventosINFRAESTRUCTURA CORPORATIVA

Aplicaciones

SCMERPSAP

PERSONALIZADAS


administrados de manera segura y eficiente, incluyendo el impacto de la actividad de la identidad en el acceso a ítems comerciales esenciales. Para asegurar la consistencia de la ejecución de la seguridad, esas habilidades deben estar disponibles en todos los sistemas y plataformas del entorno de la empresa.

Una solución integrada reduce los costos, facilita la imple-mentación y administración, aloja y correlaciona múltiples directorios de identidades, y ayuda a garantizar la auditoría consistente de todas las actividades relacionadas con la identidad y el acceso.

Para obtener un valor de negocio superior, los componentes funcionales de una solución IAM deben ser integrados e interactuar con componentes de otros proveedores o con aplicaciones desarrolladas de forma personalizada. Esto permite que las organizaciones escojan una solución completamente integrada de un solo proveedor, a fin de combinar los componentes seleccionados de diferentes proveedores que trabajarán en conjunto, o para planificar en fases las partes de una solución completa de administración de identidades y accesos con el tiempo. Lo ideal es que las soluciones compartan una infraestructura común y una interfaz de usuario consistente.

La base de usuarios de las organizaciones actuales se expandió para incluir no sólo empleados (generalmente trabajando en diferentes entornos y continentes), sino también socios de negocio, proveedores, clientes y otros. Para atender a esos usuarios, las organizaciones precisan una solución IAM que facilite, de forma segura, el flujo de negocios por las barreras tradicionales, tanto externamente como dentro de la empresa. El establecimiento de identidades y su relación con la organización deben ser obtenidos de forma sencilla, y su uso debe ser fácil de monitorear. Además, debe garantizarse la protección de recursos valorizados en un entorno abierto. Por lo tanto, las soluciones deben estar basadas en estándares para maximizar su capacidad de integración al proteger sus inversiones en tecnología actual.

El número de usuarios, aplicaciones y sistemas está aumen-tando rápidamente, muchas veces de manera exponencial. Para respaldar ese crecimiento, una solución IAM debe ser altamente escalable. Debe respaldar cualquier cantidad de identi-dades e instancias, y proteger todos los sistemas, aplicaciones, archivos, bases de datos y servicios Web. La implementación global debe ser concluida fácilmente. Servicios comunes, tales como reportes o auditoría, deben funcionar a nivel general. La actividad de administra-ción de identidades y accesos nunca termina. Para ese fin, la solución ideal de administración de identidades y accesos debe proveer operaciones, sistemas de resolución de fallas y recur-sos de equilibrio de carga continuos. La tecnología de administración de identidades y accesos debe funcionar con operaciones fáciles, escalables y distribuidas, las 24 horas de día, los 7 días de la semana, sin causar fallas en ninguna parte del entorno.

Una solución IAM debe reducir la complejidad, los costos y los riesgos, brindando un enfoque consistente para administrar entornos diferentes y políticas específicas. Debe ser posible desarrollar una solución en fases, evitando la necesidad de implementar simultáneamente una solución completa de administración de identidades y accesos en todos los sistemas de la empresa. Además, para proporcionar un desarrollo completo y permitir el crecimiento futuro en diversas plataformas, debe brindar soporte para una gran variedad de plataformas y entornos. La solución IAM debe proveer cobertura com-pleta e integral para los entornos internos y externos de la organización. La solución necesita la flexibilidad para aprovisionar cualquier sistema, aplicación, recurso o servicio de ese entor-no. Debe brindar acceso seguro a cualquier recurso, en cualquier lugar, a todo momento. Todas las actividades deberían ser auditadas.

IINTEGRACION Y MODULARIDAD

INTEROPERATIVIDAD (BASADA EN ESTANDARES)

ESCALABILIDAD Y DISPONIBILIDAD

CONSISTENCIA Y AMPLITUD

¿Quién tiene autorización para acceder a qué aplicaciones, datos e infraestructura? ¿Cómo son integrados los nuevos empleados para obtener el acceso necesario? ¿Cómo son tratados los empleados que están dejando la empresa o cambiando de cargo?

La administración y la gestión de identidades engloban cómo los derechos son concedidos, aprovisionados, accedidos y revocados, tanto para empleados como para usuarios externos de una división empresarial que se está disolviendo. Para proporcionar una buena relación costo-beneficio, una mejor experiencia de usuario y la disminución de errores totalmente humanos, las soluciones que brindan administración y gestión de identidades son cada vez más automatizadas. La administración y el aprovisionamiento total de identidades permiten la administración centralizada de todas las identidades de usuario y la automatización de la creación, modificación, suspensión o exclusión de cuentas de usuario y derechos en todos los sistemas de TI.


Administración y aprovisionamiento de identidades

6

ACSNOITAREDISNOC LLAREVO ALTERNATIVE

Al desarrollar e implementar soluciones, el proveedor se basa en:

– ¿Procesos estandarizados?

– ¿Mejores prácticas del sector?

– ¿Flujos de trabajo integrados?

– ¿Arquitecturas de referencia comprobadas?

– ¿Modelos de madurez proyectados para identificar su nivel actual de recursos de proceso IAM?

¿La solución del proveedor incluye todos los elementos necesarios para una solución IAM: administración y aprovisionamiento de identidades, administración de accesos, auditoría y monitoreo

¿El proveedor "posee" los elementos principales necesarios para una solución IAM?

¿Todos los componentes de la solución del proveedor pueden ser combinados con otros componentes de la empresa?

¿La solución del proveedor puede ser integrada fácilmente con otras funciones de TI, como help desk, administración de equipos y operaciones de TI?

¿La solución del proveedor puede ser personalizada en escala para respaldar el crecimiento de su organización?

¿El proveedor es capaz de comprobar el éxito en la implementación de soluciones IAM en una empresa global

CA ENFOQUE ALTERNATIVOCONSIDERACIONES GLOBALES


Estas soluciones simplifican el proceso de administración de contraseñas para usuarios y administradores, y aumentan la seguridad de la empresa, garantizando el cumplimiento de las políticas de la empresa y las regulaciones externas.

7

ADMINISTRACION DE CONTRASEÑAS

ADMINISTRACION DE CONTRASEÑAS CA ENFOQUE ALTERNATIVO

¿La solución permite a los usuarios (empleados, socios de negocio, clientes y proveedores) administrar sus propias contraseñas a través del autoservicio, permitiendo que especi-fiquen una contraseña al iniciar sesión en un sitio web corpora-tivo o modifiquen contraseñas sin ayuda o soporte de TI?

¿La solución brinda servicios interactivos de inicio de sesión por medio de la identificación y modificación gráfica de Windows (GINA)?

¿La solución permite que el usuario recupere o restablezca de forma segura una contraseña olvidada luego de la verificación de su Identidad?

¿La solución provee controles administrativos para ejecutar reglas y restricciones, tales como políticas de expiración de contraseñas definidas por fallas en el inicio de sesión y contra-señas inactivas, y políticas que obligan a los usuarios a crear una nueva contraseña basadas en intervalos de tiempo, contraseñas expiradas y no utilizadas?

¿La solución brinda un conjunto completo de reglas y políticas de nuevas contraseñas, tales como número mínimo/máximo de caracteres, números, caracteres especiales, uso de mayús-culas y minúsculas, etc.?

¿La solución ofrece sincronización de contraseñas para permitir una única contraseña para todos los sistemas de destino?

¿La solución de administración de contraseñas ofrece la ventaja de hacer concesiones sin la necesidad de desarrollar un nuevo producto?


Diversos grupos de usuarios requieren acceso a múltiples sistemas y aplicaciones. Administrar ese acceso es una preocupación diaria que no puede ser ignorada. Lãs herramientas ideales de aprovisionamiento disminuyen la complejidad de la administra-ción de identidades, automatizando el proceso de creación, alteración, desactivación, remo-ción o exclusión de cuentas de manera eficiente y confiable.

APROVISIONAMIENTO

8

EVITANRETLAACGNINOISIVORPAPROVISIONAMIENTO CA ENFOQUE ALTERNATIVO

¿La solución soporta una gran variedad de comunidades de usuarios dentro y fuera de la empresa, como empleados, socios de negocio, contratistas, proveedores, etc.?

¿La solución brinda soporte para recursos de autoregistro y autoadministración para usuarios globales?

¿La solución puede ejecutar una división de tareas basadas en las funciones profesionales del usuario y en otros aspectos de su relación con la organización?

En caso afirmativo, ¿la solución brinda delegación detallada, con la posibilidad de definir fechas de inicio y finalización para cada delegación?

¿La solución incluye un amplio sistema de flujo de trabajo integrado?

¿La solución brinda soporte para el control del acceso basado en funciones con derechos altamente personalizados?

¿La solución permite que los administradores programen tareas en horarios específicos?

¿La solución brinda soporte para la sincronización inversa de derechos?

¿La solución brinda integración inmediata con el mainframe principal y los sistemas distribuidos, incluyendo SQL, People-Soft y SAP?

¿La solución brinda soporte para interfaces abiertas, tales como SPML, interfaz de servicios web y APl Java?

¿La solución brinda herramientas (asistentes) simples para simplificar las conexiones a aplicaciones personalizadas usando protocolos de interfaz estándar, como LDAP, ODBC y servicios web?


Los directorios -depósitos en los cuales la información importante es almacenada y accesible; son la base de los servicios de negocio en línea actuales, 24 horas al día, 7 días a la semana. Si bien el concepto de directorio es simple, ofrecer una solución que atienda los niveles rigurosos de servicios en línea es algo mucho más difícil.

DIRECTORIO

EVITANRETLAACGNINOISIVORPDIRECTORIO CA ENFOQUE ALTERNATIVO

¿La solución brinda escalabilidad para sustentar el crecimiento futuro de más de 500 millones de usuarios y miles de millones de entradas?

En caso afirmativo, ¿la solución es capaz de lidiar con los requisitos transaccionales para sustentar el crecimiento por bastante tiempo (p. ej., procesar más de 10.000 búsquedas por segundo en un único CPU de 2 GHz)?

¿La solución brinda un esquema de replicación de varios dominios que permite la replicación de cualquier número de servidores?

¿La solución brinda replicación simultánea, garantizando que todos los servidores sean mantenidos en sincronización en tiempo real?

¿La solución provee tolerancia de fallas inteligente e integrada con failover y failback, con replicación y confiabilidad para evitar la pérdida de servicios?

¿La solución brinda equilibrio de carga incorporado para que las solicitudes sean automáticamente dirigidas a directorios menos ocupados, distribuyendo la carga por la infraestructura de la empresa?

¿La solución ofrece integración plena de servidores LDAP en una base de directorio distribuida, como directorio virtual, para simplificar la administración de la empresa?

¿La solución está basada en una arquitectura basada en estándares, con soporte detallado para estándares comoLDAP, DAP, Common Criteria, FIPS 140-2, IPv6, etc., garanti-zando la integración con diversas aplicaciones en mainframe y entornos distribuidos?

¿La solución incluye funcionalidades de seguridad avanzadas, necesarias para brindar soporte a aplicaciones seguras, tales como sistemas de administración de identidades y accesos, servidores de inicio de sesión único, portales web y autentica-ción UNIX a gran escala?

9


Las grandes empresas actuales precisan brindar acceso y control para una amplia variedad de grupos. Los empleados están, generalmente, distribuidos en oficinas en diferentes ubicaciones. Ellos precisan acceso a diversos entornos, tales como sitios de clientes, cuartos de hotel, salas de aeropuertos y oficinas hogareñas. La empresa extendida también incluye diversos usuarios externos: clientes, socios de negocio, proveedores, contratistas de procesos de negocio y reguladores. Esos usuarios demandan acceso simple y rápido a los sistemas y aplicaciones de información esenciales. Mientras tanto, el cumplimiento de regulaciones y la administración interna exigen que los recursos usados por los usuarios estén adecuadamente protegidos.

Para atender esas demandas, su organización necesita un enfoque fácil de implementar, rápido de modificar y altamente seguro. Las soluciones de administración de accesos incluyen recursos de administración de políticas, combinando la autenticación, la autorización y los recursos de administración de accesos con esas políticas. Las soluciones de administración de accesos deben brindar control de acceso completo sobre todos los recursos importantes de la empresa.

– Autenticación sólida o avanzada a través del uso de certifica-dos X.509 y Modelos de Seguridad de Hardware para autenti-car los usuarios con seguridad?

– Control de acceso altamente individualizado para brindarcontroles de acceso basados en reglas y funciones que permi-tan proteger informaciones tales como recursos, aplicaciones y perfiles de usuario?

– Políticas de contraseñas para aplicar reglas amplias para contraseñas, opciones de administración del ciclo de vida de las contraseñas que pueden ayudar a su organización a mitigar riesgos y alcanzar el cumplimiento de las exigencias de auditoría?

– Encriptado poderoso que brinda soporte para estándares de SSL (Secure Sockets Layer) y TLS (Transport Layer Security), así como para la mayoría de los estándares de contraseñas fragmentados que ayudan a garantizar la confidencialidad de los links y la seguridad de las contraseñas?

Administración de accesos

10

ACYROTCERID ALTERNATIVE

En caso afirmativo, ¿el sistema también brinda soporte para:

CA ENFOQUE ALTERNATIVODIRECTORIO


Permite a las organizaciones autenticar los usuarios y controlar el acceso a aplicaciones web y portales de aplicaciones de Internet e Intranet, posibili-tando la provisión segura de informaciones y aplicaciones esenciales para empleados, socios de negocio, proveedores y clientes.

¿La solución brinda suporte para diversos métodos de autenti-cación rígida o avanzada, incluyendo contraseña, credencial de contraseña única, certificados X.509, tarjetas inteligentes, dispositivos biométricos, métodos de combinación y personali-zación, SAML (Security Assertions Markup Language) y WS-Federation/ADFS?

¿La administración de accesos web brinda poderosos servicios de administración de la autenticación, tales como aplicar el nivel/tipo de autenticación de acuerdo con el nivel deseado de acceso a aplicaciones?

¿La solución de administración de accesos web brinda capaci-dades de administración de la empresa por medio de recursos tales como instalaciones autónomas, administración centrali-zada de componentes, interfaces de script y monitoreo opera-tivo?

¿La solución de administración de accesos web brinda soporte para la migración de políticas de acceso de un entorno (desarrollo, preparación, producción) a otro?

¿La solución de administración de accesos web puede ser integrada a un producto de inicio de sesión único de una empresa acompañante?

¿La solución de administración de accesos web brinda soporte para mecanismos de autenticación distintos para grupos de aplicaciones?

¿La solución de administración de accesos web ofrece a lasorganizaciones la opción de arquitectura de implementación para usar agentes distribuidos en la Web, servidores proxyweb o una combinación de ambos, con servidores de directi-vas?

¿La solución de administración de accesos web ofrece control de accesos a dispositivos móviles usando recursos de la Web?

¿La solución de administración de accesos web brinda soporte para un conjunto diversificado de directorios de usuario (p. ej., Sun Java System Directory Server, Novell eDirectory, Microsoft Active Directory, Microsoft AD/AM, Microsoft SQL Server, Microsoft NT Domain, Oracle InternetDirectory, Oracle RDBMS, Lotus Domino LDAP,CriticalPath Directory Server, Siemens Dir/ DirXEE, IBMDirectory Server, IBM DB2, CA Directory)?

11

ADMINISTRACION DE ACCESOS WEB

CA ENFOQUE ALTERNATIVOADMINISTRACION DE ACCESOS WEB


¿La solución de administración de accesos web ofrece integra-ción del inicio de sesión único y seguro con sistemas ERP/CRM (p. ej., Siebel, Oracle, SAP, PeopleSoft)?

¿La solución de administración de accesos web permite la autenticación de usuarios de un directorio y la autorización de otro directorio, cuando esos directorios aplican tecnologías diferentes (como LDAP y RDBMS)?

¿La solución de administración de accesos web brinda soporte para el almacenamiento de usuarios LDAP y RDBMS?

¿La solución de administración de accesos web ofrece amplios recursos de auditoría, incluyendo actividad, invasión, y repor-tes administrativos y de series temporales?

¿La solución de administración de accesos web permite la inclusión dinámica de datos o sistemas externos en la política de decisión de la autorización del acceso?

¿La solución de administración de accesos web ofrece escala-bilidad comprobada en situaciones reales para 100 millones de usuarios o más?

12

ACTNEMEGANAM SSECCA BEW ALTERNATIVECA ENFOQUE ALTERNATIVOADMINISTRACION DE ACCESOS WEB


Un paso esencial en la protección de aplicaciones confidenciales, transacciones o datos es asegurar el acceso a los sistemas que almacenan esos recursos, lo que, generalmente, carece de controles nativos suficientes para proteger con eficiencia los recursos importantes o cumplir con las demandas regulatorias. Una solución de administración de accesos al host brinda la seguridad necesaria para aplicar y administrar el acceso apropiado a sistemas de servidor y mainframe esenciales.

¿La solución ofrece control altamente personalizado sobre el acceso a recursos confidenciales, archivos de programas y procesos basados en el servidor?

¿La solución puede aplicar la división de tareas basada en la función profesional del usuario para asegurar el nivel apropia-do de acceso al servidor?

¿Los criterios adoptados para desarrollar esas políticas de acceso incluyen fecha y hora, método de inicio de sesión, atributos de red y programa de acceso?

¿La solución puede limitar los recursos de cuenta del súper usuario altamente privilegiado (raíz, administrador)?

¿La solución puede rastrear las acciones tomadas con los privilegios de cuenta del súper usuario para identificar la identidad del usuario original?

¿La solución brinda soporte para una amplia variedad de sistemas operativos del servidor que su organización aplicó (incluyendo Windows, UNIX y Linux)?

¿La solución puede proteger plataformas de visualización,como VMware?

¿Las políticas de acceso pueden ser aplicadas en una jerarquía para posibilitar la distribución automatizada de políticas, actualizaciones y reutilización?

¿La solución brinda reportes para identificar posibles desvíos de la política con el tiempo?

¿La solución puede generar seguimientos de auditoría específi-cos de todas las acciones de usuarios en cualquier nivel necesario?

¿La solución permite a los administradores delegar, de manera segura, derechos de acceso temporario a otros usuarios?

13

ADMINISTRACION DE ACCESOS A HOSTS

HOST ACCESS MANAGEMENT–SERVER HOST CA ALTERNATIVECA ENFOQUE ALTERNATIVOADMINISTRACION DE ACCESOS AL HOST- HOST DE SERVIDOR


¿La solución puede restringir a los usuarios a ejecutar opera-ciones confidenciales sólo a través de las aplicaciones aproba-das?

¿La solución puede enviar registros de auditoría para ubicacio-nes centrales o sistemas de administración de la información de seguridad?

¿La solución puede mantener la integridad de los registros de auditoría a través del acceso limitado del auditor y la autopro-tección?

¿La solución ayuda a proteger recursos de mainframe y aplicaciones?

¿El ESM (Enterprise Security Manager) protege recursos como conjuntos de datos, bases de datos (p. ej., IMS, DB2) y siste-mas de transacción (p. ej., CICS)?

¿Las soluciones pueden ayudar a mantener la responsabilidad individual?

¿El mainframe ESM soporta autenticaciones seguras, como certificados digitais X.509, smartcards y credenciales?

¿El mainframe ESM puede ser integrado con aplicaciones de seguridad distribuidas?

¿La solución de seguridad de mainframe brinda soporte para seguridad en diversos niveles?

¿La solución de seguridad de mainframe genera reportes inmediatos de auditoría?

¿La solución de seguridad de mainframe brinda soporte para otros sistemas operativos de mainframe, como z/VM, z/VSE, z/Linux y Unix System Services?

¿El ESM puede aceptar solicitudes de LDAP?

¿La solución de seguridad de mainframe ofrece protección específica para recursos, como protección a nivel de miembro PDS?

¿El ESM puede generar eventos de violación de auditoría automáticamente?

14

HOST ACCESS MANAGEMENT–SERVER HOST CA ALTERNATIVECA ENFOQUE ALTERNATIVOADMINISTRACION DE ACCESOS AL HOST- HOST DE SERVIDOR


¿La solución puede restringir a los usuarios a ejecutar opera-ciones confidenciales sólo a través de las aplicaciones aproba-das?

¿La solución puede enviar registros de auditoría para ubicacio-nes centrales o sistemas de administración de la información de seguridad?

¿La solución puede mantener la integridad de los registros de auditoría a través del acceso limitado del auditor y la autopro-tección?

¿La solución ayuda a proteger recursos de mainframe y aplicaciones?

¿El ESM (Enterprise Security Manager) protege recursos como conjuntos de datos, bases de datos (p. ej., IMS, DB2) y siste-mas de transacción (p. ej., CICS)?

¿Las soluciones pueden ayudar a mantener la responsabilidad individual?

¿El mainframe ESM soporta autenticaciones seguras, como certificados digitais X.509, smartcards y credenciales?

¿El mainframe ESM puede ser integrado con aplicaciones de seguridad distribuidas?

¿La solución de seguridad de mainframe brinda soporte para seguridad en diversos niveles?

¿La solución de seguridad de mainframe genera reportes inmediatos de auditoría?

¿La solución de seguridad de mainframe brinda soporte para otros sistemas operativos de mainframe, como z/VM, z/VSE, z/Linux y Unix System Services?

¿El ESM puede aceptar solicitudes de LDAP?

¿La solución de seguridad de mainframe ofrece protección específica para recursos, como protección a nivel de miembro PDS?

¿El ESM puede generar eventos de violación de auditoría automáticamente?

Frecuentemente, los empleados tienen dificulta-des para administrar los diferentes conjuntos de credenciales para cada aplicación, lo que lleva a una experiencia de usuario poco satisfactoria o a prácticas inseguras en relación a las medidas de seguridad de las aplicaciones. Las soluciones ESSO automatizan el acceso a todas las aplica-ciones relevantes a través de una única autenticación. El resultado es una experiencia mejorada y el aumento en la productividad de los usuarios, reduciendo los costos del help desk relacionados con contraseñas y manteniendo el nivel adecuado de seguridad para las aplicaciones de la organización.

INICIO DE SESION ÚNICO CORPORATIVO (ESSO)

15

ACNO-NGIS ELGNIS ESIRPRETNE ALTERNATIVECA ENFOQUE ALTERNATIVOINICIO DE SESION ÚNICO CORPORATIVO


¿La solución brinda una plataforma de federación que puede ser configurada exclusivamente con cada socio de federación sin necesidad de desarrollo personalizado?

¿La solución brinda soporte de protocolo para diversas federa-ciones, incluyendo soporte para diversas versiones de SAML (1.x y 2.0) y WS-Federation/Microsoft ADFS?

¿La solución brinda soporte para la inserción flexible de atributos de identidades e indicaciones de aserciones de identidades de directorios a través de la configuración?

¿La solución brinda soporte para un gran número de tecnolo-gías de autenticación (UID/contraseñas, OTP, smartcards, etc.) que puede ser usado por el Proveedor de de Identidades para la autenticación antes de iniciar el inicio de sesión único federado?

¿La solución incluye opciones de producto para permitir la federación de socios que no poseen tecnología de federación?

¿La solución ha sido comprobada para la implementación a gran escala en las empresas?

¿La solución posee autenticación, autorización, auditoría y administración integradas, sin necesidad de implementar una infraestructura de administración de accesos diferenciada?

¿La solución brinda soporte para múltiples opciones de administración federada del aprovisionamiento y las identida-des, tales como soporte para SPML, administración delegada y APl de servicio en XML/Web para iniciar la creación de una cuenta de usuario?

¿La solución puede ser ampliada para brindar seguridad y federación para los servicios web?

¿La solución brinda soporte para la federación con navegado-res no tradicionales, como teléfonos celulares?

La federación de identidades a través de navegadores (federación por navegador) permite el inicio de sesión único y federado para usuarios entre dominios internos y externos, y con socios de negocios externos.

FEDERACION DE IDENTIDADES

16

ACNOITAREDEF YTITNEDI ALTERNATIVECA ENFOQUE ALTERNATIVOFEDERACION DE IDENTIDADES


¿Toda la información de auditoría relacionada con la federa-ción es reunida e informada? ¿Esos registros de auditoría son usados en conjunto con la autenticación del usuario y los datos de autorización?

¿La solución brinda, sólo a través de la configuración, la posibilidad de dividir las aserciones SAML y convertirlas en encabezamientos HTTP para pasar a las aplicaciones web de destino?

¿La solución brinda verificación PKI CRL para una mayor seguridad de las aserciones SAML asignadas?

¿La solución ofrece acceso seguro de control para los clientes de servicios web a través de la inspección de la información de seguidad contenida en los documentos XML, que son enviados por los clientes de servicios web?

¿La solución emplea políticas de seguridad centralizadas, vinculadas a identidades de usuario, para la autenticación, autorización, federación, administración de la sesión y auditoría?

¿El sistema brinda un punto de decisión de políticas centraliza-das para la funcionalidad de autenticación, autorización y auditoría, y como punto de integración con sistemas de back-end, tales como depósitos de RDBMS y directorio?

¿El sistema brinda una lógica de autorización con base en el contenido del mensaje XML?

¿El sistema brinda inicio de sesión único y administración de la sesión para servicios web en varias etapas?

¿La solución brinda la funcionalidad XML Gateway para amena-zas y la funcionalidad de traducción de proxy y protocolo?

En entornos entre aplicaciones (A2A) o entre negocios(B2B), en los cuales los servicios de la Web son cada vez más usados, el acceso remoto o de los socios a las aplicaciones y datos corporativos debe ser obtenido de manera segura y continua.

SEGURIDAD DE SERVICIOS WEB

17

ACNOITAREDEF YTITNEDI ALTERNATIVE

WEB SERVICES SECURITY CA ALTERNATIVE

CA ENFOQUE ALTERNATIVOFEDERACION DE IDENTIDADES

CA ENFOQUE ALTERNATIVOSEGURIDAD DE SERVICIOS WEB


¿El sistema posee la disponibilidad y escalabilidad comproba-das y apropiada para grandes empresas?

¿La solución permite la inclusión dinámica de datos o sistemas externos en la política de decisión de la autorización del acceso?

¿La solución brinda soporte para contenedores de servicios web con integración predeterminada?

¿La solución brinda soporte para todos los grandes estándares principales de servicio web, incluyendo XML, SOAP, WS-Security, SAML, XML Encryption, XML Signature y plataformas de servicio predominantes, como .NET y J2EE?

¿La solución brinda soporte para diversos servidores web, servidores de aplicaciones y plataformas para contenedores de aplicaciones de servicios web?

¿La solución permite la integración con sistemas de monitoreo del desempeño de servicios web?

¿La solución brinda soporta para la migración de políticas de acceso de un entorno (desarrollo, preparación, producción) a otro?

¿La solución brinda capacidades de administración corporativa a través de recursos tales como instalaciones autónomas, administración centralizada de componentes, interfaces de script y monitoreo operativo?

18

ACYTIRUCES SECIVRES BEW ALTERNATIVECA ENFOQUE ALTERNATIVOSEGURIDAD DE SERVICIOS WEB


¿La solución brinda un SDK para incorporar derechos altamen-te personalizados en aplicaciones según la demanda?

¿La solución separa la administración de identidades de usuario y las políticas de seguridad respecto de la lógica de la aplicación?

¿Las autorizaciones pueden estar basadas en:

– Atributos personalizados de usuario/grupo específicos para aplicaciones?

– Atributos globales de usuario/grupo?

– Funciones de calendario?

¿La asociación del grupo puede ser determinada por una política en lugar de una designación explícita del grupo?

¿Las políticas de derechos son almacenadas y evaluadas dentro de la aplicación para brindar respuestas más rápidas y operaciones fuera de línea?

¿Pueden exhibirse alertas y obligaciones basados en acciones en una aplicación?

¿La solución puede producir registros de auditoría para todas las acciones en la aplicación?

¿La solución brinda soporte para el estándar abierto:

– XACML para políticas de acceso?

– SAML para federación de identidades?

– SPML para aprovisionamiento?

– LDAP para interfaz de directorio?

La administración de identidades y accesos debe ser considerada al inicio del proceso de desarrollo, pero muchas organizaciones no cuentan con especialización en el desarrollo de una seguridad sólida para empresas. Las soluciones de derechos altamente personalizados combinan un conjunto de herramientas de seguridad para desarrolladores con un mecanismo de administración de políticas externo para administradores de seguridad. Esas soluciones resultan en ciclos de desarrollo más rápidos y recursos de seguri-dad consistentes en las aplicaciones, reduciendo el constante costo de administración de la seguridad.

DERECHOS ALTAMENTE PERSONALIZADOS

19

ACSTNEMELTITNE DENIARG-ENIF ALTERNATIVECA ENFOQUE ALTERNATIVODERECHOS ALTAMENTE PERSONALIZADOS


¿La solución brinda controles de acceso a la funcionalidad de generación de reportes de acuerdo con la función del usuario?

¿La solución brinda la capacidad de crear reportes personaliza-dos?

¿El conjunto de reportes estándar incluye un listado de usua-rios y sus respectivos derechos?

¿El conjunto de reportes estándar incluye un listado de siste-mas y usuarios con acceso según un período de tiempo que puede ser configurado?

¿El conjunto de reportes estándar incluye certificaciones de usuario pendientes?

¿Los reportes según demanda son ofrecidos en la solución?

¿La solución brinda soporte para la exportación de datos de reportes a formatos como texto y SQL?

Parece que todos los días nos damos cuenta de alguna falla de seguridad relacionada con el robo o la pérdida de datos altamente confidenciales. Además de esos tipos de amenazas, la recolec-ción de datos, el análisis y los reportes de controles de TI son fundamentales para los programas regulatorios y de cumplimiento de estándares (Sarbanes Oxley, Basel II, European UnionDirectives, J-SOX, SAS 70, Gramm-Leach Bliley, Know Your Customer). La capacidad de recolectar, analizar, monitorear y almacenar registros de auditoría y datos de eventos fácilmente, pero con seguridad, es esencial. Esos registros forman parte de la demostración de pruebas constantes de cumplimiento para sus auditores internos y externos acerca de que las políticas de identidades y accesos de su organización realmente mantienen la confidencialidad de los datos.

Un recurso completo de monitoreo y auditoría debe ser capaz de rastrear prácticamente todas las actividades de uso y alteración del acceso y la identidad en los eventos/registros consolida-dos de toda la empresa, compilar reportes y exhibir alertas en la infraestructura basada en servicios con una interfaz abierta para una fácil integración.

GENERACION DE REPORTES Generar reportes sobre los datos de la auditoría permite a las organi-zaciones atender las demandas internas y externas de auditoría, así como el cumplimiento de las regulaciones gubernamentales y del sector.

Auditoría y monitoreo

20

ACGNITROPER ALTERNATIVECA ENFOQUE ALTERNATIVOGENERACION DE REPORTES


¿La solución puede convertir datos de auditoría distintos en información inteligente, práctica y rastreable que puede ser administrada a partir de un punto único y centralizado?

¿La solución brinda soporte para análisis de políticas, posibili-tando la generación de reportes de consultas basadas en usuario/grupo/roles y en recursos?

¿La solución incluye soporte para análisis de políticas basado en controles preventivos y de detección?

¿La solución emplea la visualización para promover análisis de datos brutos y físicos de TI?

¿La solución emplea análisis forenses avanzados para promo-ver el análisis e investigaciones sobre violaciones de la política y fallas de seguridad?

Estas herramientas transforman grandes volúmenes de datos de seguridad provenien-tes de sistemas distintos en información de negocio significativa y práctica.ANALISIS

21

ACSISYLANA ALTERNATIVECA ENFOQUE ALTERNATIVOANALISIS


Identity & Access Management (IAM) de CA es una solución completa que le permite centrali-zar y automatizar el ciclo de vida de la identidad de los usuarios -creación, alteración y exclu-sión-, así como garantizar el acceso exclusivo de usuarios autorizados a los recursos de TI importantes. Permite la reducción de costos de TI, el control y la reducción del riesgo de seguri-dad general, posibilita nuevas oportunidades de negocio y cumplimiento regulatorio.

La oferta IAM de CA forma parte de la familia general de soluciones de GRC (Governance of Riskand Compliance). Esas soluciones (Information Governance, Identity & Access Management, Security Information Management, Change & Configuration Management, Recovery Manage-ment y Risk and Controls Management) brindan un enfoque proactivo para la administración del riesgo empresarial, ayudando a anticipar problemas antes que tengan impacto en los negocios.

Las soluciones GRC de CA se concentran en brindan controles automatizados y sustentables para permitir a quienes toman las decisiones administrar, medir, monitorear e informar sobre situaciones de riesgo y conformidad. Además, esos recursos ofrecen una solución completa y modular que permite que los clientes implementen una estrategia de GRC, con el objetivo de atender a las necesidades inmediatas en sintonía con los planes de crecimiento.

Para proteger el acceso a sistemas importantes, eventos relacionados con la identidad (inicios de sesión, alteraciones de contraseñas, cambios de derechos) y el acceso deben ser monitoreados cuidadosamente, registrando eventos de auditoría interna y externa, y exhibiéndolos en respuestas automáticas sobre eventos cuando fuera necesario.

MONITOREO DE AUDITORIA DE EVENTOS

SECCION 4

La solución de CA

Para más información sobre como las soluciones de software de CA permiten a las empresas unificar y simplificar la gestión de TI para obtener mejores resultados de negocio, visite ca.com/iam.

22

ACGNIROTINOM DNA GNITIDUA TNEVE ALTERNATIVE APPROACH

¿La solución brinda administración centralizada de eventos sobre la identidad y acceso?

¿Permite el monitoreo centralizado de eventos sobre la identidad y el acceso?

¿La solución brinda soporte para la detección de cambios no autorizados en los sistemas?

¿La solución alerta automáticamente a los empleados de seguridad en caso de de cambios no autorizados en los siste-mas?

¿La solución brinda soporte para auditoría a nivel de seguridad del acceso de usuarios y de administración de usuarios?

¿La solución registra todas las actividades de los usuarios?

¿La solución registra todas las actividades administrativas?

¿La solución exhibe automáticamente la suspensión de aplicaciones o cuentas al intentar realizar un acceso no autori-zado?

CA ENFOQUE ALTERNATIVOMONITOREO DE AUDITORIA DE EVENTOS

MP32298 BG05IAM01E

CA, una de las compañías de software para administración de tecnologías de información (TI) más grandes del mundo, unifica y simplifica la compleja gestión de TI en toda la empresa para obte-ner mejores resultados en los negocios. Con nuestra visión para la Gestión Integrada de TI, soluciones y experiencia, ayudamos a los clientes a gobernar, administrar y proteger la TI de forma efectiva.

Documents

Administración de Identidades y Accesos: guía … · mainframe o de la red?) ... Seguimiento y reportes de actividades de uso y alteración de identidades y accesos en toda la empresa