Embed Size (px)
Citation preview
Capítulo 5
i
Capítulo 5: Administración de identidades y accesos .........................................................................101
Enfoque en la identidad .....................................................................................................................102
La necesidad de una administración de identidades ..........................................................................103
¿Quiénes están en el entorno de TI? ......................................................................................103
¿Qué pueden hacer los usuarios? ...........................................................................................104
La necesidad de brindar acceso a los múltiples recursos...........................................104
Cumplimiento de las regulaciones.........................................................................................106
Ley Sarbanes-Oxley...................................................................................................106
HIPAA .......................................................................................................................107
Ley 1386 del Senado de California............................................................................107
Directiva de privacidad de la Unión Europea ............................................................107
Otras directivas nacionales de privacidad..................................................................107
Título 21 del CFR, Parte 11 .......................................................................................108
Regulaciones gubernamentales de agencias de gobierno...........................................108
Beneficios de la administración de identidades .................................................................................108
Uso de las economías de escala .............................................................................................109
Administración de identidades en entornos distribuidos ...........................................109
Recompensa de la integración ...............................................................................................112
Eficiencias operacionales: reducciones de costos y operaciones mejoradas .........................114
Estructura de la administración de identidades..................................................................................115
Tecnologías constitutivas.......................................................................................................115
Directorios..................................................................................................................117
Opciones de implementación para directorios...........................................................118
Abastecimiento ..........................................................................................................120
Auditorías e informes.................................................................................................121
Política y herramientas para la administración de confianza.....................................122
Procesos estrechamente integrados............................................................................122
Usuario final y apoyo administrativo.........................................................................123
Integración con otros sistemas de seguridad..............................................................124
Resumen.............................................................................................................................................124
Capítulo 5
ii
Declaración de derechos de autor© 2006 Realtimepublishers.com, Inc. Todos los derechos reservados. Este sitio contiene material que ha sido creado, desarrollado, o autorizado por, y publicado con el permiso de Realtimepublishers.com, Inc. (los “Materiales”). Además, este sitio y todos los Materiales están protegidos por leyes internacionales de derechos de autor y de marcas comerciales.
LOS MATERIALES SE PRESENTAN “EN EL ESTADO EN QUE SE ENCUENTRAN” Y ESTÁN DISPONIBLES SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O TÁCITA, INCLUYENDO, PERO SIN LIMITARSE A, CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN ESPECÍFICO, TÍTULO O DE NO VIOLACIÓN. Los Materiales se encuentran sujetos a cambios sin previo aviso y no representan un compromiso por parte de Realtimepublishers.com, Inc. o los patrocinadores de su sitio web. En ningún caso, Realtimepublishers.com, Inc. o los patrocinadores de su sitio web serán responsables por errores u omisiones técnicas o editoriales de los Materiales, incluyendo sin limitación, cualquier daño directo, indirecto, accidental, especial, ejemplar o consiguiente que resulte del uso de cualquier información incluida en los Materiales.
Los Materiales (incluyendo sin limitación, textos, imágenes, audio y/o videos) no pueden copiarse, reproducirse, reeditarse, cargarse, publicarse, transmitirse o distribuirse de ningún modo, de manera total o parcial; excepto que una copia se descargue para uso personal y no comercial en la computadora de un solo usuario. En relación con tal uso, no puede modificar ni ocultar ningún derecho de autor u otra notificación de propiedad.
Los Materiales pueden incluir marcas comerciales, marcas de servicios y logotipos que son propiedad de terceros. Usted no está autorizado para utilizar estas marcas comerciales, marcas de servicios o logotipos sin el previo consentimiento por escrito de dichos terceros.
Realtimepublishers.com y el logotipo de Realtimepublishers están registrados en la Oficina de Patentes y Marcas Comerciales de los EE. UU. (US Patent & Trademark Office). Todos los nombres de servicios o productos son propiedad de sus respectivos propietarios.
Si tiene alguna pregunta sobre estos términos o si desea más información sobre materiales de licencias de Realtimepublishers.com, comuníquese con nosotros por correo electrónico a [email protected].
Capítulo 5
101
Capítulo 5: Administración de identidades y accesos
Los conceptos de identidad y acceso son esenciales para la administración de seguridad. Tal es el caso en el pasado cuando la informática de los sistemas mainframe era el paradigma dominante y aún lo es en la actualidad: cuando los modelos informáticos distribuidos, como por ejemplo los servicios de Internet, definen el modelo dominante para el diseño del sistema. El uso emergente de los servicios de Internet pueden crear potencialmente grupos de usuarios muy grandes y un acceso relativamente abierto a los servicios informáticos. Este capítulo se enfocará en el desafío de administrar grandes grupos de usuarios mediante la administración de identidades y accesos (IAM).El capítulo 6 analizará la administración de accesos.
La identidad es un concepto fundamental sobre administrar la información sobre las personas a las que se les permite el acceso a la información, a las aplicaciones y a los servicios. Debe existir una identidad antes de que un usuario pueda realizar un trabajo productivo. Al mismo tiempo que las identidades se utilizan para controlar el acceso a la información, esos mismos datos deben protegerse para garantizar la integridad y privacidad de la información confidencial. Las identidades y la administración de acceso están estrechamente vinculadas y no pueden separarse.
Lógicamente, una persona debe tener una identidad. Sin embargo, la necesidad de acceso ha contribuido con la creación de silos de identidad y dominios de acceso, lo cuales son costosos y difíciles de administrar. Las inquietudes relacionadas con la administración de identidades no sólo tienen que ver con los costos de administración. El control de riesgos, tales como el robo de información, las infracciones y los ataques, depende cada vez más de una efectiva administración de identidades y accesos. El cumplimiento de regulaciones también incluye la administración de identidades, el control del acceso y los controles de auditorías a prueba de manipulaciones, que son de mayor complejidad en entornos de silos.
Una administración efectiva de identidades depende de la integración de la administración de usuarios (abastecimiento y administración de identidades), del control de acceso a los recursos en base a las identidades y de las actividades de auditoría con activos protegidos. La administración de identidades no es una práctica opcional. Las organizaciones recurren a la administración de identidades por la necesidad de:
Reducir costos y mejorar deficiencias operacionales
Cumplir con las regulaciones
Permitir operaciones comerciales más ágiles
Mitigar riesgos
La administración de identidades siempre ha sido una parte integral de la administración de TI, pero las tecnologías emergentes, el incremento de los riesgos y la necesidad de cumplir con las regulaciones gubernamentales se están enfocando en esta área central de la administración de seguridad.
Capítulo 5
102
Enfoque en la identidad
La administración de identidades es el proceso de suministrar acceso a los recursos al establecer información sobre una identidad, utilizar dicha identidad para el control de acceso y administrar el depósito de información de identidad y control de acceso. En el caso más simple, una identidad es equivalente a la identificación de usuario en un determinado sistema. La identificación tiene una variedad de atributos, tales como nombre, departamento y una lista de funciones organizacionales. En términos más generales, una identidad está asociada con los usuarios o los servicios que tienen múltiples identificaciones de usuario en diferentes sistemas.Por ejemplo, un usuario puede tener una identificación de usuario en:
Un sistema de archivos de red que aloja directorios compartidos
Múltiples aplicaciones de sistemas mainframe
Un sistema de administración de las relaciones con los clientes (CRM)
El depósito de almacenamiento de datos empresariales
En las aplicaciones de cumplimiento de un socio de la cadena de suministro
De hecho, según Gartner Research, el usuario interno promedio tiene 18 cuentas. En realidad, el personal, los socios y los clientes no son las únicas identidades en un entorno de TI. Considere un banco de Estados Unidos que debe cumplir con Ley Graham-Leach Bliley (GLB). Para hacerlo, el banco debe administrar, informar y auditar las actividades de los empleados con transacciones de clientes, así como también otras actividades de los clientes y socios comerciales que tienen acceso a los datos protegidos. El costo del cumplimiento con la GLB en un entorno con un promedio de 18 cuentas por usuario interno es insostenible en mercados competitivos. El conocimiento y la administración de las cuentas de servicio y de los usuarios con acceso a los servidores de TI es una tarea básica de la administración de seguridad. Independientemente de si una organización cuenta con procedimientos formales o con un sistema de administración de identidades, aun así dicha organización debe administrar las identidades. Las preguntas que deben plantearse son: ¿Con qué grado de eficacia se administran las identidades?, y ¿cuál es el costo de la administración?
A medida que analizamos los objetivos de negocio para lograr una mejor administración de identidades, resulta esencial reconocer que la administración de identidades no es opcional. Todas las organizaciones con múltiples sistemas y usuarios ya están administrando identidades. El objetivo es reducir el costo de la administración de identidades, cumplir con las regulaciones y mitigar los riesgos de seguridad.
Capítulo 5
103
La necesidad de una administración de identidades
La naturaleza de un “usuario” ha evolucionado durante la última década. En el pasado, un usuario era generalmente un empleado de una organización que utilizaba una terminal para obtener acceso a un sistema mainframe (macrocomputadora) o a una minicomputadora. Los cambios en los modelos comerciales están produciendo modificaciones en el grupo de usuarios. En la actualidad los asesores, contratistas, socios comerciales y clientes están utilizando sistemas que una vez estuvieron limitados a una base de usuarios interna mucho más reducida.
¿Quiénes están en el entorno de TI?Existen varios tipos de usuarios en un entorno de TI: empleados, contratistas, asesores, socios de cadenas de suministro y clientes. ¿Cómo saben los administradores y los profesionales de seguridad quién es quién? Existen varias fuentes posibles de información de identidades:
Se realiza un seguimiento de los empleados y contratistas en un sistema de recursos humanos (RR. HH.).
Se realiza un seguimiento de los contratistas en un sistema de cuentas por pagar.
Los asesores no figuran en el sistema de RR. HH., pero si tienen acceso físico a los establecimientos, una parte de la información que los identifica puede registrarse en un sistema de administración de seguridad del establecimiento.
Los clientes figuran en una o más bases de datos de clientes.
Los socios de cadenas de suministro pueden administrarse de manera ad hoc sin depósito centralizado.
¿Adónde puede recurrir un administrador de seguridad para obtener información de identidades sobre todos los usuarios de todos los sistemas? Si existen silos de identidades, los costos y los riesgos aumentan en gran medida; las organizaciones necesitan conocer, controlar y realizar un seguimiento de las personas que tienen acceso y de la información a la cual acceden. Sin un mecanismo centralizado para la administración de identidades, los profesionales de seguridad deben depender de la información improvisada de otros sistemas para asegurar el cumplimiento y la seguridad.
Los sistemas que carecen de seguridad, tales como bases de datos de los clientes y de RR. HH., se han convertido en sustitutos de los sistemas de administración de identidades. Estos sistemas pueden proporcionar información básica sobre la identidad de los usuarios, pero no pueden brindar otros servicios esenciales, como por ejemplo los controles de acceso y auditoría. También demanda mucho tiempo y es muy costoso para los profesionales de seguridad agrupar la información de identidades que proviene de varias fuentes, especialmente cuando los sistemas realizan un seguimiento de información diferente y utilizan distintos formatos para los datos. Con grupos de usuarios muy dinámicos, los esfuerzos para organizar la información desarticulada y archivada en silos sólo continuarán generando costos de TI y aumento de los riesgos. En tal entorno, se necesitaría un ejército de administradores para lidiar con los cambios diarios de usuario. Solamente un depósito consolidado de información de identidades que respalde el control de acceso y la auditoría, puede realizar un seguimiento efectivo de los usuarios.
Capítulo 5
104
¿Qué pueden hacer los usuarios?Uno de los mayores desafíos para la administración de identidades es el de conocer en detalle qué se les permite realizar a los usuarios. Los controles de acceso en la mayoría de las organizaciones se distribuyen a través de diversas plataformas. Por ejemplo, una empresa puede elegir ejecutar diferentes tipos de aplicaciones en diferentes plataformas, como por ejemplo las que se mencionan en la siguiente lista (u otro tipo de permutación de aplicaciones y plataformas):
Los servidores de Windows se utilizan para los sistemas de archivos de red
Los servidores Linux se utilizan para los servidores web
Los sistemas UNIX ejecutan aplicaciones de bases de datos de servidor
Los sistemas mainframe ejecutan sistemas operacionales principales
Una plataforma raramente satisface las necesidades de una organización mediana o grande. El hecho de que las plataformas apliquen diferentes mecanismos de control de acceso implica que no habrá una sola función de control de acceso sin una aplicación especializada. La falta de centralización también hace que el otorgamiento de identidades y acceso resulte una tarea cada vez más difícil. Como podrá notar, todos estos desafíos están interconectados.
La necesidad de brindar acceso a los múltiples recursos
Considere el proceso de incorporar a un nuevo empleado en una organización, por ejemplo, un administrador de nivel medio. La persona necesitará que se le brinde acceso a los sistemas, tales como (consulte el Gráfico 5.1):
Estaciones de trabajo
Diversos directorios de sistemas de archivos de red
Varios módulos ERP
Sistema de informes de inteligencia empresarial
Sistema de correo electrónico
Sistema de administración de documentos
Portal de negocio
Varios foros de discusión dentro del portal de negocio
Una aplicación de sistema mainframe para los informes de producción
El tipo de acceso otorgado depende de varios factores. La estación de trabajo y el acceso a algunos directorios de red están determinados por la ubicación física del empleado. El acceso a otros directorios de red, los módulos ERP, los sistemas de informes de inteligencia empresarial y otros sistemas son funcionales para el rol organizacional del empleado. Aun así, otros servicios, como una membresía en los foros de discusión, se otorgan bajo el criterio del moderador de la discusión. Nuevamente, a menudo no existe un sólo lugar al que un administrador pueda recurrir para agregar a un nuevo usuario. Los desafíos de administrar el alcance de las decisiones de control de acceso y cuentas son mucho mayores sin un proceso unificado de administración de
Capítulo 5
105
identidades. Para complicar la situación, sin una función centralizada de administración de identidades, este conjunto de eventos se repite una y otra vez en toda la organización.
Servidor de archivos 2
Sistema de administración de
documentos
ERP
Sistema mainframe
Usuario de la empresa
Servidor de correo electrónico
Servidor de archivos 1
Portal de información de negocio
Gráfico 5.1: Una función particular dentro de una organización puede requerir múltiples identificadores para tener acceder a los recursos de TI.
Problemas similares ocurren cuando una persona finaliza su empleo. RR. HH. puede saber que una persona se ha retirado de la organización; pero, ¿lo sabe el administrador del sistema mainframe? ¿Qué ocurre con el administrador de la base de datos que administra los roles de los usuarios para el sistema de informes de almacenamiento de datos? Los desarrolladores de software que finalizan su empleo pueden generar otra preocupación adicional. ¿Han utilizado cuentas compartidas en entornos de desarrollo y prueba? ¿Conocen las contraseñas del administrador para los servidores de desarrollo? Si éste es el caso, estas contraseñas deben cambiarse. La siguiente lista menciona ejemplos del daño causado por los antiguos empleados que retienen el acceso a los sistemas:
Durante varios días, la oficina en Taiwán de un fabricante de monitores de computadora con un ingreso anual de aproximadamente $1 mil millones, no tuvo acceso a archivos importantes ya que éstos fueron eliminados por un antiguo administrador de red que había finalizado su trabajo dos semanas antes.
Un ex programador AS/400 provocó un daño de $80,000 a su ex empleador luego de ingresar desde una ubicación remota.
Capítulo 5
106
Luego de la finalización de su empleo, el ex administrador de una empresa de servicios de transporte eliminó la base de datos de clientes de la empresa y cambió las contraseñas del sistema.
Luego de ser despedido, un ex empleado accedió a los servidores de la empresa, eliminó 675 archivos, modificó los niveles de control de acceso, alteró los registros de facturación y envió correos electrónicos a cientos de clientes con declaraciones falsas sobre la empresa.
Para obtener más información sobre estos casos u otros similares, consulte el sitio web contra el crimen cibernético del Departamento de Justicia en http://www.usdoj.gov/criminal/cybercrime/cccases.html.
Cumplimiento de las regulaciones
Las empresas y los gobiernos están sujetos a una variedad de regulaciones de seguridad de la información creadas por organismos de control internacionales, estatales y federales. Además de la GLB mencionada anteriormente, algunas de las regulaciones más conocidas con impacto en seguridad son la Ley Sarbanes-Oxley, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley 1386 del Senado de California (California Senate Bill 1386), la directiva de la Unión Europea sobre privacidad, la Ley de Privacidad de Canadá (Canadian Privacy Act), la Ley de Privacidad de Australia (Australian Privacy Act) y las regulaciones farmacéuticas de la Administración de Drogas y Alimentos (FDA), el Título 21 del Código de Regulaciones Federales (CFR), Parte 11. No sólo las organizaciones comerciales deben cumplir normas; las agencias gubernamentales de Estados Unidos también están sujetas a diversas regulaciones, incluyendo la Ley Federal de Administración de la Seguridad de la Información (FISMA). Obviamente, las regulaciones no son estáticas. Por ejemplo, el Consejo Federal de Examen de Instituciones Financieras (FFIEC) ha estipulado pautas sobre la autenticación de actividades bancarias en Internet. Si bien no es una ley, el FFIEC contiene pautas importantes y las instituciones financieras justificadamente están interesadas en comprender y cumplir con estas pautas.
Las regulaciones generalmente se clasifican en dos categorías:
Garantía de privacidad: Se requiere que se administre el acceso “apropiado” a los datos personales y que los auditores reciban un seguimiento de las actividades a prueba de manipulaciones.
Garantía de integridad: Se requiere que el acceso “apropiado” a los datos se encuentre en funcionamiento para garantizar que sólo las personas autorizadas puedan modificar la información relevante, como por ejemplo los registros financieros de la empresa.
Las siguientes secciones analizan de manera breve estas regulaciones. El capítulo 8 incluye información más detallada.
Ley Sarbanes-Oxley
La Ley Sarbanes-Oxley se aprobó en Estados Unidos luego de una serie de escándalos contables de alto perfil. El objetivo de esta ley es la de proteger a los inversores y a otras partes interesadas en las empresas que hacen pública la información financiera. Las empresas, especialmente sus
Capítulo 5
107
funcionarios y directores, son responsables de prevenir fraudes financieros. También deben implementar procedimientos que controlen y monitoreen las operaciones relacionadas con la administración financiera. Este requisito incluye el control de acceso a la información financiera y datos relacionados (como por ejemplo proyecciones de ventas), la auditoría de los cambios efectuados en dicha información y la revisión de registros de auditoría para garantizar el cumplimiento.
HIPAA
La HIPAA establece que los registros médicos y la información relacionada es información médica protegida que se encuentra sujeta a controles particulares. La información protegida incluye desde detalles sobre el diagnóstico y el estado de un paciente hasta identificadores personales, tales como nombre, número de teléfono, número de cuenta e identificadores biométricos (por ejemplo, huellas digitales o identificador de voz). La falta de cumplimiento de las normas de protección de datos genera multas de hasta $25,000 anuales por cada infracción.
Ley 1386 del Senado de California
La Ley 1386 del Senado de California requiere que las empresas que entablan relaciones comerciales con residentes de California notifiquen a dichos clientes sobre cualquier violación a la seguridad, cuando se considere de manera razonable que una persona sin autorización accedió a información personal no cifrada.
Directiva de privacidad de la Unión Europea
La directiva de privacidad de la Unión Europea requiere que la información de negocio recolectada sobre los ciudadanos de los países miembros cumpla con varias normas relacionadas con:
La transparencia en la recolección de datos
El propósito limitado de la recolección de datos
La calidad de los datos
La transferencia controlada de datos
Las protecciones especiales para datos confidenciales, tales como la información sobre raza, origen étnico, religión y opiniones políticas
Se prohíbe la transferencia de información fuera de los países de la Unión Europea, a menos que se implementen las medidas de seguridad adecuadas que se encuentran vigentes en el país meta.
Otras directivas nacionales de privacidad
Son cada vez más los países que implementan protecciones relacionadas con la privacidad. Algunas regulaciones relevantes son las siguientes:
Ley Federal de Privacidad de Australia
Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA), de Canadá
Ley de Privacidad de Nueva Zelanda
Capítulo 5
108
Ley de Protección de Datos Personales y Regulación de la Protección de Datos, de Argentina; Ley 17.838 de 2004 de Uruguay (regula la información personal comercial)
Ley 5741 de Protección de la Privacidad, de Israel
Proyecto de Ley de Protección de Datos Personales y Ley de Protección de Datos Personales Procesados por Computadora, de Japón
Sin duda alguna, las preocupaciones con respecto a la privacidad no están limitadas a un solo gobierno o sector geográfico, sino que constituyen un tema que atañe a todo el mundo.
Título 21 del CFR, Parte 11
Las regulaciones de Estados Unidos sobre el desarrollo de productos farmacéuticos, conocidas como el Título 21 del CFR, Parte 11, establecen controles de seguridad de la información, incluyendo:
Protección de registros
Controles de acceso
Autenticación
Controles de pistas de auditoría
Verificaciones de autoridades
Seguridad de firmas electrónicas
El objetivo de estas exigencias es el de garantizar la integridad del desarrollo de medicamentos y de los procedimientos biotecnológicos relacionados.
Regulaciones gubernamentales de agencias de gobierno
Los gobiernos también deben cumplir con regulaciones de seguridad. Por ejemplo, las agencias federales de Estados Unidos se encuentran sujetas a las pautas de seguridad de la información del Instituto Nacional de Normas y Tecnología (NIST), las cuales enfatizan un monitoreo continuo.
Las cuestiones de cumplimiento afectan a organizaciones tanto comerciales como gubernamentales. Las regulaciones se basan en temas que van desde la privacidad asegurada hasta la seguridad pública. Si bien los requerimientos presentan variaciones entre sí, un tema común a todos ellos es la necesidad de proteger la integridad de la información y la necesidad de entender los antecedentes de cambios en la información a través de controles de auditoría adecuados. Con una creciente cantidad de usuarios, sistemas y normas, la base para cumplir con los requisitos antes mencionados es un sistema de administración centralizado, junto con políticas y procedimientos formales.
Beneficios de la administración de identidades
Los beneficios de la administración de identidades se centran en tres áreas:
Economías de escala
Integración de sistemas mejorados
Capítulo 5
109
Reducciones de costos operacionales
Uso de las economías de escalaLas aplicaciones de TI necesitan controles de identidades y de acceso. Desarrollar y mantener la autenticación en cada sistema es obviamente ineficiente. Considere una interacción simple con el portal informativo de una empresa:
El usuario inicia sesión en el portal
El usuario lee un correo electrónico en un cliente web implementado a través de un contenedor configurable (portlet)
El usuario revisa una pantalla detallada en panel de instrumentos (dashboard) de inteligencia empresarial
El usuario busca un documento sobre una nueva iniciativa de comercialización
En este ejemplo, según muestra el Gráfico 5.2, se tiene acceso a un total de cinco sistemas en esta sesión. (Una búsqueda puede abarcar varios sistemas. Antes de que el sistema de búsqueda rastree el documento, la aplicación verifica que el usuario tenga acceso apropiado al documento). Desde una perspectiva de desarrollo, la autenticación se realiza de mejor manera a través de un servicio centralizado, en vez de desarrollar mecanismos separados para cada aplicación. Cuando hay varios usuarios y varias aplicaciones dentro de un entorno cambiante, la necesidad de administración de identidades aumenta.
Administración de identidades en entornos distribuidos
Los desarrolladores de Windows pueden utilizar los controles de administración de usuarios del sistema operativo de escritorio para identificar a un usuario y para controlar el acceso a funciones y servicios. Si la aplicación necesita datos o servicios de otro servidor, la autenticación podría ser más compleja. Si la otra aplicación también utiliza servicios de autenticación de Windows, no existirá complejidad adicional desde la perspectiva del desarrollador. Por ejemplo, una base de datos Microsoft SQL Server que utiliza autenticación de Windows puede brindar datos a una aplicación cliente de Windows sin autenticación adicional. Si la base de datos funciona en un servidor Linux y éste no interopera con la autenticación de Windows, se requiere un paso extra en la autenticación.
Capítulo 5
110
Gráfico 5.2: Las tareas de rutina, tales como leer un correo electrónico, revisar un informe y buscar documentos, pueden requerir múltiples autenticaciones.
Los sistemas de bases de datos proporcionan servicios de administración de usuarios y funciones. Una práctica común entre los desarrolladores de aplicaciones de bases de datos es crear cuentas de usuario dentro de la misma aplicación. Realizar esto genera una propagación de cuentas aun dentro del mismo servidor de bases de datos. Por ejemplo, un usuario tendría una cuenta para ingresar a un sistema de procesamiento de transacciones y otra cuenta para ingresar al sistema de informes.
Este escenario requiere que los desarrolladores y administradores de bases de datos creen y administren cuentas y funciones redundantes. A medida que la cantidad de aplicaciones aumente, lo mismo sucederá con los problemas administrativos. Un método más eficiente para la implementación a gran escala es utilizar servicios centralizados de autorización y autenticación.
Con un sistema de administración de identidades, los usuarios y sus funciones se definen una sola vez. Los diseñadores desarrollan aplicaciones para utilizar servicios de autenticación comunes brindados por el sistema de administración de identidades, en lugar de utilizar la identificación específica de usuario del sistema operativo o base de datos. Cualquier cambio que se realice al registro de identidad de un usuario se realiza sólo una vez y se encuentra inmediatamente disponible en todas las aplicaciones que utilizan el sistema centralizado (consulte el Gráfico 5.3).
Capítulo 5
111
Gráfico 5.3: La administración de identidades centralizada simplifica la administración de autorización de aplicaciones específicas.
Capítulo 5
112
Recompensa de la integraciónLa integración es el sello de las aplicaciones de negocio. La integración de la información ha sido una preocupación en las organizaciones grandes y medianas. En el pasado, y a veces en la actualidad, las aplicaciones se han desarrollado como silos de información. Este diseño no refleja el modo en el que el trabajo verdaderamente fluye dentro de las organizaciones. Los pedidos que se introducen en un sistema necesitan información de aplicaciones de control de inventario; los sistemas de cumplimiento necesitan información de sistemas de pedidos de clientes; los programas de facturación de cuentas necesitan datos de los sistemas de cumplimiento y de pedidos. Por ejemplo, los sistemas ERP han evolucionado para incorporar estas funciones en una única aplicación. Utilizan una arquitectura común e Interfaces de Programación de Aplicaciones (API), que facilitan información al compartirla con otros sistemas. Los mismos principios se aplican a la integración de la seguridad.
Cuando los desarrolladores deben codificar diferentes sistemas de autenticación (Windows, UNIX, mainframe, etc.), el tiempo y los recursos necesarios para el desarrollo, la limpieza y el mantenimiento, son mayores que en el caso de un único mecanismo de autenticación. Estos costos pueden ser significativos y tener un efecto adverso en el nivel de los controles. El objetivo de utilizar un único sistema de administración de identidades y autenticación presenta una inquietud: ¿Cuál es el mecanismo que funciona en las diversas plataformas que encontramos en los actuales entornos heterogéneos?Se han creado varios estándares no exclusivos para brindar apoyo a los componentes esenciales de la administración de identidades:
Abastecimiento de usuarios Control de acceso; autenticación, y afirmaciones de autorización Administración de directorio
Estos estándares se tratan con más detalles técnicos en la barra lateral “Estándares industriales para la administración de identidades”.
Estándares industriales para la administración de identidades
Los protocolos de estándares industriales permiten una administración de identidades rentable. Los protocolos más importantes son:
Lenguaje de marcado para el suministro de servicios (SPML)
Lenguaje de marcado de afirmación de seguridad (SAML)
Lenguaje de marcado de control de acceso extensible (XACML)
Protocolo ligero de acceso a directorios (LDAP) y X.500
Lenguaje de marcado de servicios de directorio (DSML)
Descripción universal, descubrimiento e integración (UDDI)
Especificaciones Liberty Alliance
Seguridad de servicios web (seguridad WS-Security)
Estos estándares funcionan juntos para brindar apoyo al ciclo de vida completo de la administración de identidades, desde el abastecimiento, a través de la ejecución de los controles de acceso y la administración de directorios de identidades, hasta el desabastecimiento.
Capítulo 5
113
El lenguaje de marcado para el suministro de servicios (SPML) brinda un protocolo estándar para abastecer y desabastecer usuarios y recursos sin utilizar las API exclusivas, y para comunicarse con otros sistemas de administración de identidades. También cuenta con métodos para consultar, suspender y reactivar usuarios y sus cuentas a través de sistemas distribuidos. El protocolo utiliza tres entidades:
Puntos de servicio de abastecimiento (PSP): servidores que responden a pedidos de abastecimiento
Metas de servicios de abastecimiento (PST): sistemas controlados dentro del sistema de abastecimiento
Autoridad de solicitud (RA): entidades que solicitan acceso a un sistema
Como se muestra en el Gráfico 5.4, el PSP acepta solicitudes de RA para obtener acceso a los recursos, los PST.
Gráfico 5.4: SPML permite un control centralizado del abastecimiento a través de PSP.
El SAML se utiliza para describir las características, las funciones y los privilegios de un usuario o recurso dentro de un dominio de seguridad. (Estas afirmaciones basadas en XML permiten que las autenticaciones se compartan entre las aplicaciones confiables que resultan de un servicio de inicio de sesión único, SSO).
El XACML se utiliza para intercambiar solicitudes y resultados de decisiones de control de acceso. El XACML consiste de dos partes, un lenguaje de definición de políticas para describir los derechos de acceso de un usuario y un lenguaje de solicitud/respuesta para intercambiar dicha información. El lenguaje de definición de políticas permite que los administradores restrinjan las actividades a un usuario, como leer, escribir y actualizar un objeto, según las funciones y los atributos que el usuario posee. Este lenguaje también puede especificar los criterios de control de acceso basados en protocolos, por ejemplo, negación de acceso a un FTP. Para obtener más información sobre XACML, consulte “eXtensible Access Control Markup Language (XACML) versión 2.0” en http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml#XACML20.
Capítulo 5
114
Varios protocolos de directorio se utilizan para administrar la información de identidades, incluyendo X.500, LDAP y DSML. X.500 es el protocolo general para los servicios de actualización, consulta y espacio de nombre de directorios; además es un protocolo de gran alcance. El LDAP es un protocolo más pequeño con menos características, pero se implementa con mayor facilidad que el X.500. También administra servicios de actualización, consulta y espacio de nombre; por lo tanto se utiliza generalmente para servicios de administración de identidades. El DSML especifica un medio para describir la estructura de un directorio con formato XML. La versión 2 del protocolo incluye métodos para describir consultas y actualizaciones de directorio en XML.
UDDI es un protocolo para mantener directorios de información sobre servicios web, incluyendo servicios relacionados con la seguridad.
Todos estos protocolos proporcionan servicios subyacentes necesarios para administrar identidades. Liberty Alliance, OASIS y organizaciones con series WS-* de especificaciones crean iniciativas más amplias para administrar identidades a través de los límites organizacionales.
Eficiencias operacionales: reducciones de costos y operaciones mejoradasNormalmente, los proyectos de TI están justificados por el rendimiento de la inversión (ROI) o por análisis de gastos capitales similares. Estos métodos cuantifican los costos y beneficios y comparan resultados para determinar cuál proyecto representa una mayor promesa financiera. Los costos comunes en iniciativas de TI incluyen costos iniciales de hardware, software, instalación y personalización; así como también costos operacionales constantes, tales como mantenimiento y administración. Menos comprendidos pero igual de importantes son los costos de ajuste relacionados con cambios en procesos de negocio que se realizan para reconocer el valor potencial de una inversión.
Algunos beneficios de la inversión tecnológica son fácilmente cuantificados, como una reducción en la mano de obra o el reemplazo de equipamiento más costoso. Otros beneficios son más difíciles de medir. Por ejemplo, la administración de identidades mejorada puede permitir la implementación de un sistema de soporte de ventas que permita a los representantes de cuentas compartir información sobre clientes, propuestas y contratos. La colaboración que sigue al uso de dicho sistema puede mejorar las ventas pero una persona puede no identificar definitivamente una relación de causa-efecto formal entre la aplicación y los resultados del negocio.
El capítulo 7 analiza más detalladamente los costos de ajuste y el ROI.
Cuando se calcula el valor de la administración de identidades, también resulta útil considerar el costo de no implementar una solución. En tal caso, las organizaciones de todos modos incurrirían en costos reales relacionados con el abastecimiento (por ejemplo, iniciativas de identidad redundante y restauración de contraseñas). Sin administración de identidades, varios administradores necesitarían crear nuevas cuentas cada vez que se incorpora a la organización un empleado, contratista o consultor. Continuarían los costos de la mesa de ayuda para la restauración de contraseñas. Las organizaciones también continuarían corriendo el riesgo de no eliminar el acceso a todas las cuentas cuando un usuario finaliza una sesión. Con un sistema de administración de identidades, el desabastecimiento se administra centralmente; eliminar los derechos de un usuario de los sistemas de administración de identidades asegura que el usuario también se elimine de todas las plataformas meta. Según lo descrito anteriormente, el costo de no restringir el acceso a antiguos empleados y contratistas puede ser el costo de recuperarse de un ataque interno.
Capítulo 5
115
Sin administración de identidades, aún se requiere que las organizaciones cumplan con regulaciones de privacidad, confidencialidad, garantía de calidad y de integridad financiera. Muchas regulaciones requieren una prueba de cumplimiento que se obtiene a través de controles de auditoría. Sin un sistema de administración de identidades centralizado, cualquier pista de auditoría que se realice se distribuye en varios sistemas y resulta difícil agruparlas. Aun con las mejores intenciones de cumplir, resulta difícil y costoso exigir el mismo nivel de cumplimento en todos los administradores. Al monitorear los silos de información de auditoría también se incurrirá en costos no asociados con el mecanismo de monitoreo centralizado.
También existen costos desconocidos o difíciles de medir asociados con la falta de implementación de una solución de administración de identidades:
¿Cuál es el valor de la información confidencial perdida? ¿Podría la divulgación de información de cliente provocar la pérdida de futuras
actividades comerciales? ¿Cómo se vería afectada una iniciativa de comercialización por la divulgación de
información de comercialización confidencial a un competidor? ¿Los empleados hacen copias de documentos que describen procesos exclusivos antes
de retirarse?La reducción de gastos se produce por la disminución de los elevados costos de mesa de ayuda, entre otros, y la disminución de costos flexibles, tales como el menor riesgo en la divulgación de información confidencial. Nuevamente, con independencia de si una organización instala un sistema de administración de identidades, la organización aún incurrirá en el costo de administrar identidades. En la siguiente sección, la discusión cambia de los beneficios de negocio y técnicos de la administración de identidades a un análisis de los requisitos funcionales de esos sistemas.
Estructura de la administración de identidades
La creciente complejidad de entornos de TI distribuidos que puede abarcar líneas organizacionales está impulsando la necesidad de una administración de identidades rentable y efectiva. Los estándares abiertos ya se están implementando y otros se encuentran en desarrollo para admitir servicios de autorización y autenticación con todos los proveedores. Para muchas organizaciones, las cuestiones más apremiantes en la actualidad apuntan a qué buscar en un sistema de administración de identidades y cómo implementar este sistema. Las dimensiones importantes de los sistemas de administración de identidades incluyen:
Tecnologías y componentes que las integran Procesos estrechamente combinados Control y administración Integración con otros sistemas de administración de seguridad de la información
Tecnologías constitutivasLos sistemas de administración de identidades brindan varios servicios en entornos heterogéneos y amplios. Para que esto ocurra, los sistemas utilizan varias tecnologías clave:
Directorios y directorios virtuales Abastecimiento
Capítulo 5
116
Auditorías e informes, Políticas y herramientas para la administración de confianza Procesos estrechamente integrados Asistencia a la administración y al usuario final Integración con otros sistemas de seguridad
Capítulo 5
117
Directorios
La administración de identidades y accesos involucra usuarios, y los usuarios se almacenan en directorios. A través de estándares, los directorios brindan un servicio de seguridad independiente para plataformas y proveedores. Éstos evitan la réplica al administrar información compartida, tales como perfiles y políticas, y además ayudan a brindar servicios comunes como autenticación y autorización.
Los grandes beneficios de los directorios se materializan cuando las funciones comunes se delegan al servicio de directorio y las aplicaciones “habilitadas por el directorio” aprovechan el mismo para no tener que desarrollar y mantener su propia base de información sobre usuarios, clientes, proveedores y otras aplicaciones (consulte el Gráfico 5.5).
Aunque los directorios son similares a las bases de datos porque almacenan información en un entorno distribuido, son mucho más flexibles, seguros y fáciles de interactuar. Los directorios brindan un depósito dinámicamente configurable y naturalmente orientado hacia objetos con estándares para el acceso, la seguridad y la administración de la información. Se diferencian de las bases de datos en que están orientados al servicio, y no al almacenamiento. Además, ofrecen seguridad, velocidad, distribución, réplica, tipos de datos universales y normas extensibles para la administración de la información. Para facilitar una escalabilidad potencialmente ilimitada, los directorios organizan sus datos jerárquicamente.
Gráfico 5.5: Los directorios son bases de datos jerárquicas de información sobre objetos identificados, tales como empleados, clientes y socios.
Los directorios están diseñados para responder rápidamente a consultas, ya que normalmente, la información de un directorio se consulta con mayor frecuencia que con la que se actualiza. La confiabilidad es también una cuestión clave para los directorios de empresas. Ésta es la razón por la cual los directorios diseñados sobre bases de datos relacionales se prefieren frente a directorios que cuentan con almacenamiento exclusivo de información.
Capítulo 5
118
Opciones de implementación para directorios
X.500 y LDAP son dos estándares de directorios comunes. X.500 se desarrolló primero y se utiliza en instalaciones de directorios de gran escala. LDAP se desarrolló como una simple interfaz basada en cadenas para acceder a un directorio X.500.
Al contrario de lo que popularmente se cree, LDAP y X.500 son complementarios. LDAP es un protocolo cliente-servidor y X.500 define los protocolos servidor-servidor que se requieren para la distribución y replicación. Es mejor admitir ambos protocolos en lugar de sólo uno.
Directorios independientes
Existen muchos productos “sólo-LDAP” en el mercado. Estos directorios proporcionan soluciones departamentales adecuadas pero no se adaptan a las soluciones relacionadas con Internet, y la empresa electrónica requiere distribución y replicación en múltiples ubicaciones. Si existen más de uno en una organización, la información del directorio se segmenta en “islas” ya que los servidores que utilizan sólo LDAP no pueden comunicarse entre ellos de ninguna manera estándar. En términos técnicos, los servidores que sólo utilizan LDAP no pueden “encadenar” consultas a otros servidores que utilizan sólo LDAP; en lugar de eso, utilizan “referencias” entre las islas del directorio. Este método de comunicación requiere mucha más interacción de las aplicaciones y significa que la red de directorios no es transparente para la aplicación final.
Directorios distribuidos
Un directorio distribuido, algunas veces llamado un directorio de red troncal, proporciona una vista sencilla de la información para el usuario o aplicación. Un directorio de red troncal permite que la información sea distribuida a través de muchos servidores, quizás cientos de servidores, de un modo que es transparente para el usuario. Esta distribución es análoga a una red de teléfonos o teléfonos celulares: el usuario no conoce cuántos servidores se encuentran en la red. La diferencia entre un directorio de red troncal y un conjunto de directorios independientes radica en el abastecimiento de servicios de enrutamiento y de intercambio de alta velocidad. La red troncal se compone de muchos servidores de directorios conectados y todos los servidores necesarios cooperan para resolver consultas.
Gráfico 5.6: Los directorios X.500 admiten consultas distribuidas en múltiples directorios.
Capítulo 5
119
Numerosas organizaciones que han implementado los directorios LDAP enfrentan la necesidad de proporcionar una vista consolidada de múltiples directorios. Existen dos enfoques de este problema: los metadirectorios y los directorios virtuales.
Metadirectorios
Los metadirectorios son bases de datos de información copiada de otros directorios. Debido a que la información se copia de directorios de origen, no es necesario que los protocolos adicionales soporten consultas distribuidas u operaciones de actualización (consulte el Gráfico 5.7). Esto hace que la implementación de una vista consolidada de múltiples directorios se simplifique; sin embargo, existen desventajas. Por ejemplo, un metadirectorio no está sincronizado con sus directorios de origen cuando se actualizan entre operaciones de sincronización.
Sin
cro
niz
aci
ón
Sin
cro
niz
aci
ón
Sin
cro
niz
aci
ón
Gráfico 5.7: Los metadirectorios dependen de la sincronización de la información de la IAM, desde múltiples almacenamientos hasta un único depósito.
Capítulo 5
120
Directorios virtuales
Los directorios virtuales proporcionan una sola vista lógica de múltiples directorios (consulte el Gráfico 5.8). A diferencia de los metadirectorios, la información en los directorios virtuales no se copia desde varios directorios de origen a un solo depósito. Los directorios virtuales intentan hacer lo que los metadirectorios hacen “sobre la marcha”, lo cual presenta la ventaja de que los datos no se copian, pero presenta limitaciones en cuanto a la flexibilidad del rendimiento.
Cliente
LDAP
Directorio X.500 LDAP
Agente corredor LDAP
Agente corredor LDAP
Directorio virtualAgente corredor
LDAP
GRÁFICO 5.8: LOS DIRECTORIOS VIRTUALES PROPORCIONAN UNA VISTA LÓGICA DE MÚLTIPLES DIRECTORIOS SIN COPIAR DATOS.
Abastecimiento
El abastecimiento es el proceso de coordinación de la creación de cuentas de usuarios, de las autorizaciones en forma de reglas y funciones y de otras tareas, tales como el abastecimiento de recursos físicos asociados con la habilitación de nuevos usuarios. Además de los protocolos mencionados en la barra lateral, las consideraciones industriales con respecto a la administración de identidades y los sistemas de abastecimiento deberían incluir como componente el flujo de trabajo.
El flujo de trabajo permite a los administradores especificar una secuencia de eventos para incorporar usuarios en base a las funciones de los usuarios y a la aprobación de otras personas en la organización. El proceso automatizado asegura la consistencia y permite el control de cada paso en el proceso de abastecimiento.
Capítulo 5
121
Otro elemento del proceso de abastecimiento es la administración de contraseñas. Los usuarios,incluso en organizaciones pequeñas y medianas, necesitan múltiples contraseñas para utilizar aplicaciones personales, departamentales y empresariales. Asimismo, las contraseñas deben cambiarse regularmente por motivos de seguridad y cumplimiento de normas. Realizar un seguimiento de las contraseñas a veces crea inconvenientes predecibles, tales como usuarios que anotan las contraseñas, usan las mismas para diversos sistemas o las olvidan. Esto ocasiona llamadas a la mesa de ayuda y por lo tanto, los costos aumentan. La administración de contraseñas y las aplicaciones de autoservicio están diseñadas para resolver estos tipos de problemas. Las aplicaciones de autoservicio permiten a los usuarios autoregistrarse y restaurar contraseñas con asistencia de las mesas de ayuda o administradores de sistemas, lo cual reduce del 25 al 60 por ciento las llamadas a las mesas de ayudas en cualquier lugar.
Se han utilizado dos estrategias generales para minimizar la carga de los usuarios de recordar contraseñas: la sincronización de contraseñas y el SSO. Los sistemas de sincronización de contraseñas configuran todas las contraseñas de usuarios con la misma serie de caracteres. Esto le ahorra al usuario tener que recordar múltiples contraseñas; sin embargo, su costo es relativamente alto: Si alguien descubre la contraseña para alguno de esos sistemas, esa persona tiene la contraseña para todos los demás. Aunque la sincronización de contraseñas es una opción para la administración de contraseñas, definitivamente no se recomienda este método.
El SSO es más complejo. El servidor de SSO almacena contraseñas individuales para cada sistema al que un usuario accede. Los usuarios se autentican una vez con el servidor de SSO, por ejemplo, cuando ingresan a una red o a un portal de negocio. Cuando una aplicación le solicita credenciales a un usuario, el servidor de SSO intercepta la solicitud y responde por el usuario. Los servidores de SSO trabajan directamente con aplicaciones basadas en la Web que interceptan el tráfico HTTP y responden las solicitudes de contraseñas. Sin embargo, las aplicaciones heredadas por lo general requieren códigos especializados, a veces personalizados, para implementar el SSO.
Auditorías e informes
Los procedimientos de cumplimiento y una administración de seguridad eficaces requieren controlar los eventos importantes que ocurren en sistemas informáticos. La función central de la administración de identidades en el control de acceso es necesaria para tener registros confiables y a prueba de manipulaciones de todas las operaciones (como por ejemplo, autenticación de una aplicación, consulta de registros de bases de datos y modificación de información de clientes). Aunque la mayoría de los sistemas operativos ofrecen funcionalidad de registro, estos archivos de registro pueden manipularse fácilmente; los registros de seguridad son un requisito para brindar pruebas fidedignas durante las auditorías normativas y de seguridad. Los informes de auditoría permiten que los gerentes y administradores monitoreen las actividades y demuestren el cumplimiento de las regulaciones relevantes. Los informes de auditorías eficaces son también un conductor clave para reducir costos asociados con las pruebas de cumplimiento.
El capítulo 7 proporciona más información sobre el impacto de las auditorías y de los informes en el costo del cumplimiento.
Capítulo 5
122
Política y herramientas para la administración de confianza
La administración de confianza implica la habilidad para verificar la autenticidad de las identidades desde otros sistemas de administración de identidades en un entorno federado. Los límites organizacionales tradicionales que han marcado los alcances de las aplicaciones denegocio ya no limitan el alcance de estos sistemas. Las organizaciones gubernamentales y comerciales necesitan compartir información de identidades para utilizar eficaz y efectivamente los sistemas de todas las organizaciones.
Por ejemplo, los ingenieros en una fábrica de aeronaves necesitan acceso a las especificaciones de los productos de un proveedor de partes. Con las miles de partes que se necesitan para los componentes y subcomponentes, se necesita acceso en línea para obtener información sobre productos y así mantener el desarrollo conjunto. En lugar de una réplica de información de identidades en el directorio de cada organización, los directorios federados poseen relaciones de confianza con los sistemas de administración de identidades.
El gobierno federal de los EE. UU. ha lanzado una iniciativa para desarrollar un sistema de administración de identidades federadas para apoyar sus iniciativas de gobiernos electrónicos. Para obtener más información, consulte el sitio web http://asc.gsa.gov/.
Federación y administración de confianza son tecnologías que están emergiendo; sin embargo, los principales proveedores empresariales apoyan los estándares de federación, como por ejemplo los de Liberty Alliance.
Para obtener más información sobre Liberty Alliance, consulte el sitio web http://www.projectliberty.org/.
La infraestructura de la administración de confianza depende de las tecnologías de infraestructura de clave pública (PKI). PKI da lugar a la confianza en entornos distribuidos a través de terceros confiables, autoridades de certificación (CA), administración de claves utilizadas para firmas digitales y para cifrado de mensajes.
Para obtener más información sobre PKI, consulte el sitio web PKI de NIST en http://csrc.nist.gov/pki/.
Procesos estrechamente integrados
El abastecimiento, la auditoria y el control de acceso están relacionados con la administración de identidades. Las tareas de abastecimiento, como por ejemplo la creación de cuentas, deben registrarse en una pista de auditoría. Las pistas de auditoría también deben incluir datos de control de acceso. Los intentos de infracción de las reglas de control de acceso deben registrarse en los sistemas de cumplimiento. Si bien los sistemas de cumplimiento variarán de acuerdo con la plataforma, los administradores de sistemas deben tener a su disposición una vista lógicamente centralizada de las auditorías de cumplimiento.
Flujo de trabajo
Las operaciones de administración de identidades que se aplican a múltiples sistemas debenejecutarse mediante un mecanismo de flujo de trabajo. El flujo de trabajo permite a las organizaciones mantener controles comerciales al asegurar que se obtengan siempre las
Capítulo 5
123
autorizaciones correspondientes. Además, el flujo de trabajo asegura responsabilidad al auditar estas autorizaciones (suministro de información con respecto a cuándo se realizó la autorización y quién la emitió). Los flujos de trabajo también permiten habilitar diseños modulares de sistemas de administración de identidades.
Implementación por fases
Si bien es cierto que las operaciones de administración de identidades pueden estar estrechamente integradas, las organizaciones generalmente no implementan un sistema total de administración de identidades, de una sola vez. Un mejor enfoque es el de adoptar un único módulo por vez e integrar los módulos en una implementación por fases. Sin embargo, debido a que las soluciones de la IAM están íntimamente relacionadas y requieren de múltiples puntos de integración, los analistas líderes han indicado que la mayoría de las empresas recurrirán a paquetes integrados de un sólo proveedor en vez de lidiar con la integración “luego del hecho”, lo cual ha sido uno de los motivos clave de la falla de muchos proyectos de identidades. Por lo tanto, una vez que se encuentre en funcionamiento el plan de la IAM desde una sola vista, las organizaciones deben implementar módulos que tratarían las deficiencias principales de las organizaciones. Por ejemplo:
Si los costos de soporte de la mesa de ayuda están aumentando rápidamente y los usuarios se sienten cada vez más frustrados por la proliferación de contraseñas que deben administrar, entonces se debe comenzar con un SSO o una restauración de contraseñas por autoservicio.
Si su organización tiene un alto volumen de ventas y ha sufrido las consecuencias de una administración contable deficiente (por ejemplo, un ex empleado insatisfecho ha ingresado a uno de sus servidores), entonces un buen inicio sería un sistema de abastecimiento.
Si sus usuarios necesitan acceder a un gran número de sistemas y si su personal administrativo dedica demasiado tiempo a restaurar contraseñas y controlar el acceso a múltiples sistemas, entonces considere un módulo de cumplimiento como inicio.
Los módulos que se implementan por separado aún necesitan integrarse (un argumento para la estandarización en base a protocolos ampliamente reconocidos, como por ejemplo SPML y SAML, e iniciativas más extensas, como por ejemplo Liberty Alliance). Esta integración requiere más que sólo flujo de trabajo para trasladar datos; los módulos también deben contener datos de auditoría a prueba de manipulación para cumplir con varias regulaciones.
Usuario final y apoyo administrativo
Los sistemas de administración de identidades proporcionan idealmente un único punto de acceso para usuarios finales para que administren su información de identidad y una consola de control para los administradores. Los usuarios deben tener un único recurso para operaciones comunes, tales como:
Actualización de contraseñas
Solicitud de acceso a las aplicaciones y a otros recursos
Actualización de la información personal en sus perfiles de administración de identidades
Capítulo 5
124
Recuperación de políticas de seguridad
Las consolas de control de los administradores pueden abarcar operaciones comunes, como por ejemplo revisar las alertas de los sistemas de seguridad y modificar las políticas.
Integración con otros sistemas de seguridad
La administración de información de seguridad consiste en la recolección, clasificación y análisis de la información sobre su entorno. Los sistemas de administración de identidades deben proporcionar información sobre las actividades relacionadas con el abastecimiento y el cumplimiento de las políticas, en forma adicional, y de esta manera podrán ser asociadas con otros eventos.
Por ejemplo, un ataque de virus puede ser detectado en una oficina regional y poco tiempo después un número inusual de contraseñas es restaurado. Éstas son dos clases distintas de información sobre seguridad que en forma individual garantizan un tipo de respuesta, pero juntas pueden indicar una amenaza más seria. Mediante la combinación y asociación de la información, los profesionales de la seguridad pueden responder más efectivamente a los ataques multifuncionales.
Los sistemas de administración de identidades desempeñan un rol fundamental en la administración de seguridad de la empresa. Ellos proporcionan una forma consistente de identificación y autenticación de los usuarios en todas las aplicaciones y servicios. Incluyen servicios de flujo de trabajo que permiten un mecanismo más consistente y menos propenso a errores, a fin de completar y auditar tareas escalonadas comunes en el abastecimiento. Los sistemas pueden construirse sobre la base de protocolos ampliamente adoptados que permiten la interoperabilidad. La tecnología para el desarrollo de la administración de identidades de la empresa existe en la actualidad y se encuentra en progreso para apoyar la administración de identidades federadas entre las empresas.
Resumen
La administración de identidades no es un proceso opcional. Aun si la administración de identidades formal no se encuentra en uso, las organizaciones deben administrar identidades. Las organizaciones deben:
Crear de cuentas para nuevos empleados, contratistas, clientes y socios
Definir roles relacionados con tareas laborales particulares (a menudo surgen definiciones de roles redundantes e inconsistentes, especialmente a medida que la organización crece)
Asociar tareas laborales con roles
Definir las reglas de control de acceso en servidores individuales, sistemas de archivos y aplicaciones
Crear y publicar políticas que luego se implementan, quizás para diferentes grados, en los sistemas individuales
Revisar los sistemas y registros de aplicaciones y alertas
Intentar asociar los eventos a través de sistemas múltiples, con éxito combinado
Capítulo 5
125
Cumplir con las regulaciones relacionadas con la privacidad, confidencialidad e integridad de los informes públicos
El efecto neto es que las organizaciones pagan por administración de identidades independientemente de si la llevan a cabo o no. Aunque la lista anterior de tareas es costosa, no incluye las oportunidades perdidas y el costo de los errores. Los administradores pueden preguntarse:
¿La empresa ha perdido clientes debido a que el abastecimiento mediante el conocido sitio “customer self-service” (autoservicio del cliente) es demasiado complicado y frustrante para los usuarios?
¿Se han alterado datos debido a que un empleado que ha finalizado su empleo en la empresa aún tenía acceso a una cuenta de base de datos?
¿Los usuarios no autorizados tienen acceso a la información confidencial del cliente?
¿En qué medida el tiempo perdido se debe a las demoras para acceder a las aplicaciones para las cuales los empleados tienen uso legítimo?
El proceso de administración de identidades es fundamental para la administración de seguridad y para la eficiente administración de las aplicaciones en toda la empresa y más allá de la misma. La combinación de directorios, el flujo de trabajo, las auditorías, los informes y los mecanismos de cumplimiento pueden tratar efectivamente los problemas citados. Los desafíos que implica la implementación de la administración de identidades no son sencillos, pero los sistemas de administración de identidades modulares pueden implementarse gradualmente. Primero pueden tratarse los problemas que sean más urgentes, siempre que se tenga conocimiento de que otros módulos pueden introducirse después por etapas. Los estándares también se encuentran vigentes y siguen desarrollándose a fin de compartir información en todos los sistemas de administración de identidades. El rol de la administración de identidades, como muchos otros aspectos de la administración de seguridad, no se limita a cuestiones organizacionales. El próximo capítulo profundizará aún más en la IAM, centrándose en el cumplimiento de acceso, la administración y la auditoría.
