Mejores prácticas para la Gestión de Identidades y Acceso
La tendencia de que las empresas adopten tecnologías de consumo (conocida en inglés como consumerization) está aumentando rápidamente y eso supone un cambio en el funcionamiento y gestión de entornos corporativos y las aplicaciones empresariales.
Las organizaciones tienen la oportunidad de aprovechar estas tecnologías para aumentar la productividad de sus empleados y no sólo la eficacia sino también la eficiencia su gestión, especialmente en ambientes de trabajo que requieren movilidad. Esta nueva situación puede suponer un reto para los responsables de TI ya que surge la necesidad de que haya nuevas políticas de seguridad y gestión de acceso.
Un reciente estudio a 10.000 expertos en seguridad de Frost & Sullivan determinó que las amenazas que surgen de los dispositivos móviles, la nube, las redes sociales y las aplicaciones inseguras tienen un papel determinante en su percepción del riesgo.
Según el estudio, el 70% de los encuestados defiende que aunque hay políticas de seguridad para los dispositivos móviles, éstos todavía son considerados como secundarios en la lista de preocupaciones de seguridad. Además, la permisividad en incorporar dispositivos personales en el perímetro corporativo (problemática conocida como BYOD –Bring Your Own Device- por sus siglas en inglés) no hace más que agravar esta situación.
Dado que los empleados utilizan estos dispositivos para acceder a recursos corporativos, las organizaciones deben tener un sistema de Gestión de Identidades y Acceso (IAM), que simplifique y automatice el conjunto de identidades de la organización y Quest Software ha definido las ocho mejores prácticas para ayudar a las organizaciones a hacer frente a esta realidad de la empresa hoy:
1. Definir el universo de empleados. Normalmente, los empleados de una organización son gestionados por el departamento de personas/recursos humanos que , a su vez, debe gestionar la información de los que no son empleados, como los proveedores externos, la mayoría de los cuales requieren acceso a los recursos de la empresa. Todo ello suponiendo que esta gestión no pertenezca a una línea de negocio y esté fuera del control corporativo. Se debe utilizar los sistemas de recursos humanos como una fuente autorizada de datos para el sistema de IAM de manera que evitemos el trabajo repetitivo, los errores, las inconsistencias y otros problemas como que el crecimiento incontrolado del sistema.
2. Definir las identidades. Implementar un sistema único e integrado que ofrezca gestión de identidades completa de los empleados y elimine las identidades huérfanas y las cuentas fantasma que no sean necesarias en el momento adecuado. Las organizaciones suelen tener un servicio de directorio primario, un sistema de mensajería y un sistema de planificación de recursos, que deben ser integrados en la arquitectura general de gestión de identidad de manera que simplifique y automatice la operativa y el ciclo de vida de identidad de un empleado en una corporación.
3. Proporcionar los conocimientos y el control a los propietarios de negocios. Es crítico para el negocio poder responder a la pregunta: "¿Quién tiene acceso a qué, desde dónde, cuándo y cómo?". El responsable de TI coordina el inventario de identidades y permisos y ofrece la información a los datos de los responsables de negocio. Permitir a los propietarios de los datos gestionar el acceso a sus datos y presentar informes y control sobre los permisos se presenta como un aspecto fundamental en el buen gobierno corporativo.Determinar quién tiene acceso a qué datos y con qué derecho, ya que no todos necesitan pleno acceso al sistema (conocido como el concepto de least privilege) es una capacidad instrumental para proteger a la corporación frente a fugas de información.
4. Implementar procesos para gestionar los cambios de TI. Aunque la evolución en tecnología es imparable y altamente necesaria, los cambios que no son gestionados pueden causar problemas. La implementación de un flujo de trabajo de "solicitud y aprobación" proporciona una forma eficaz de administrar y documentar el cambio y es preciso contar con una herramienta que facilite la creación visual de estos procesos internos, integrándose con el sistema real del negocio y teniendo en cuenta a todos los departamentos y personas interesadas.
5. Automatizar el aprovisionamiento de nuevos usuarios, de los que abandonan la organización y de los que se desplazan - o son promocionados o degradados.El aprovisionamiento, de-aprovisionamiento y re-aprovisionamiento consumen mucho tiempo si se realizan a través tareas manuales.La automatización de ellos puede reducir los gastos, reducir errores y mejorar la consistencia.
6. Alinearse con el Cumplimiento Normativo. Las regulaciones y legislaciones existentes impactan en cualquier industria, de cualquier sector, independientemente del tamaño.IAM puede desempeñar un papel central para ayudar a una organización a tener conformidad legal. Debemos centrarnos en definir claramente y documentar los roles de trabajo que tienen control sobre los datos así como los perfiles que debe tener acceso a la información de auditoría.
7. Auditar y controlar. En un sistema de IAM bien diseñado, los permisos se suelen asignar a las funciones de trabajo, no a los individuos, pero se pueden asignar permisos según sea necesario. Los permisos requieren comprobación periódica y debe existir un proceso de auditoría y control.Las organizaciones necesitan revisar quién tiene acceso a qué y determinar si deben tener o no todavía los permisos entregados en su momento.Es importante definir los roles de trabajo dentro de la organización que pueden certificar los derechos de acceso así como los propietarios de sistemas, administradores y responsables de seguridad de la información.
8. Proveer una gestión basada en roles. Es necesario que las funciones que desempeña un empleado y, en consecuencia, los permisos y accesos que tenga a la información correspondan con el desempeño de su trabajo real. Por ello una gestión basada en roles (RBAC en sus siglas en inglés) permite no asignar derechos a personas sino a funciones de manera que si, en algún momento, otra persona ocupa esa función, incluso de manera temporal, pueda gestionarse su identidad de acceso de manera sencilla y en consonancia con la visión corporativa.
Ramsés Gallego, CISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT(f), Six Sigma Black Belt
Security Strategist & Evangelist, Quest Software
Fuente: Revista eSecurity
Las organizaciones tienen la oportunidad de aprovechar estas tecnologías para aumentar la productividad de sus empleados y no sólo la eficacia sino también la eficiencia su gestión, especialmente en ambientes de trabajo que requieren movilidad. Esta nueva situación puede suponer un reto para los responsables de TI ya que surge la necesidad de que haya nuevas políticas de seguridad y gestión de acceso.
Un reciente estudio a 10.000 expertos en seguridad de Frost & Sullivan determinó que las amenazas que surgen de los dispositivos móviles, la nube, las redes sociales y las aplicaciones inseguras tienen un papel determinante en su percepción del riesgo.
Según el estudio, el 70% de los encuestados defiende que aunque hay políticas de seguridad para los dispositivos móviles, éstos todavía son considerados como secundarios en la lista de preocupaciones de seguridad. Además, la permisividad en incorporar dispositivos personales en el perímetro corporativo (problemática conocida como BYOD –Bring Your Own Device- por sus siglas en inglés) no hace más que agravar esta situación.
Dado que los empleados utilizan estos dispositivos para acceder a recursos corporativos, las organizaciones deben tener un sistema de Gestión de Identidades y Acceso (IAM), que simplifique y automatice el conjunto de identidades de la organización y Quest Software ha definido las ocho mejores prácticas para ayudar a las organizaciones a hacer frente a esta realidad de la empresa hoy:
1. Definir el universo de empleados. Normalmente, los empleados de una organización son gestionados por el departamento de personas/recursos humanos que , a su vez, debe gestionar la información de los que no son empleados, como los proveedores externos, la mayoría de los cuales requieren acceso a los recursos de la empresa. Todo ello suponiendo que esta gestión no pertenezca a una línea de negocio y esté fuera del control corporativo. Se debe utilizar los sistemas de recursos humanos como una fuente autorizada de datos para el sistema de IAM de manera que evitemos el trabajo repetitivo, los errores, las inconsistencias y otros problemas como que el crecimiento incontrolado del sistema.
2. Definir las identidades. Implementar un sistema único e integrado que ofrezca gestión de identidades completa de los empleados y elimine las identidades huérfanas y las cuentas fantasma que no sean necesarias en el momento adecuado. Las organizaciones suelen tener un servicio de directorio primario, un sistema de mensajería y un sistema de planificación de recursos, que deben ser integrados en la arquitectura general de gestión de identidad de manera que simplifique y automatice la operativa y el ciclo de vida de identidad de un empleado en una corporación.
3. Proporcionar los conocimientos y el control a los propietarios de negocios. Es crítico para el negocio poder responder a la pregunta: "¿Quién tiene acceso a qué, desde dónde, cuándo y cómo?". El responsable de TI coordina el inventario de identidades y permisos y ofrece la información a los datos de los responsables de negocio. Permitir a los propietarios de los datos gestionar el acceso a sus datos y presentar informes y control sobre los permisos se presenta como un aspecto fundamental en el buen gobierno corporativo.Determinar quién tiene acceso a qué datos y con qué derecho, ya que no todos necesitan pleno acceso al sistema (conocido como el concepto de least privilege) es una capacidad instrumental para proteger a la corporación frente a fugas de información.
4. Implementar procesos para gestionar los cambios de TI. Aunque la evolución en tecnología es imparable y altamente necesaria, los cambios que no son gestionados pueden causar problemas. La implementación de un flujo de trabajo de "solicitud y aprobación" proporciona una forma eficaz de administrar y documentar el cambio y es preciso contar con una herramienta que facilite la creación visual de estos procesos internos, integrándose con el sistema real del negocio y teniendo en cuenta a todos los departamentos y personas interesadas.
5. Automatizar el aprovisionamiento de nuevos usuarios, de los que abandonan la organización y de los que se desplazan - o son promocionados o degradados.El aprovisionamiento, de-aprovisionamiento y re-aprovisionamiento consumen mucho tiempo si se realizan a través tareas manuales.La automatización de ellos puede reducir los gastos, reducir errores y mejorar la consistencia.
6. Alinearse con el Cumplimiento Normativo. Las regulaciones y legislaciones existentes impactan en cualquier industria, de cualquier sector, independientemente del tamaño.IAM puede desempeñar un papel central para ayudar a una organización a tener conformidad legal. Debemos centrarnos en definir claramente y documentar los roles de trabajo que tienen control sobre los datos así como los perfiles que debe tener acceso a la información de auditoría.
7. Auditar y controlar. En un sistema de IAM bien diseñado, los permisos se suelen asignar a las funciones de trabajo, no a los individuos, pero se pueden asignar permisos según sea necesario. Los permisos requieren comprobación periódica y debe existir un proceso de auditoría y control.Las organizaciones necesitan revisar quién tiene acceso a qué y determinar si deben tener o no todavía los permisos entregados en su momento.Es importante definir los roles de trabajo dentro de la organización que pueden certificar los derechos de acceso así como los propietarios de sistemas, administradores y responsables de seguridad de la información.
8. Proveer una gestión basada en roles. Es necesario que las funciones que desempeña un empleado y, en consecuencia, los permisos y accesos que tenga a la información correspondan con el desempeño de su trabajo real. Por ello una gestión basada en roles (RBAC en sus siglas en inglés) permite no asignar derechos a personas sino a funciones de manera que si, en algún momento, otra persona ocupa esa función, incluso de manera temporal, pueda gestionarse su identidad de acceso de manera sencilla y en consonancia con la visión corporativa.
Ramsés Gallego, CISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT(f), Six Sigma Black Belt
Security Strategist & Evangelist, Quest Software
Fuente: Revista eSecurity
Justo estoy viendo un proyecto para implementar una herramienta de Gestión de Identidades... tendrás más información o literatura sobre este tema???
ResponderBorrarGracias!!!