martes, 20 de mayo de 2014

Aspectos a tener en cuenta en proyectos de Gestión de Identidades


El acceso a la información es de primordial importancia. Tras muchos años intentando facilitar y automatizar el acceso a la información, también se han generado otra clase de problemas:
  • Accesos no permitidos a información confidencial.
  • Usuarios activos eternamente en los sistemas.
Los sistemas aumentan y el número de usuarios también. Pero no solo aumentan en número sino también en diversidad.
  • Se diversifican los sistemas de control de privilegios de accesos, mecanismos de seguridad, repositorios e interfaces.
  • La diversificación de usuarios y sistemas provoca, entre otros:
    •  un aumento en la plantilla de IT para la administración y mantenimiento de los sistemas,
    • experiencias poco satisfactorias de los usuarios al tener credenciales distintas en sistemas distintos.
  • Se tiene que conseguir homogeneizar los mecanismos de control de acceso a la información.
En la actualidad las entidades, ante los nuevos avances y requisitos de interconexión, se encuentran con:
  • Sus usuarios necesitan múltiples contraseñas para acceder a sus aplicaciones.
  • Otros proveedores deben permitir el acceso a los usuarios de las entidades.
  • El tiempo medio para que un empleado empiece a trabajar con los sistemas internos es 5 días. (en el mejor de los casos).
  • La información de los usuarios está distribuida en multitud de repositorios.
  • Los sistemas se vuelven complejos y heterogéneos.
  • Aumentan los costes de los departamentos de IT.



Problemática a resolver:
  • Disminución de costes de administración IT.
  • Mejora de la visión de seguridad de nuestros sistemas.
  • Flexibilidad en la interacción con otros proveedores.
  • Mejora de la satisfacción de los usuarios/clientes al interactuar en nuestros sistemas.
  • Robustez en la arquitectura de seguridad.
  • Disminución de los costes de desarrollo de nuevas aplicaciones de negocio.
Los objetivos de un marco de gestión de identidades deben estar basados en un enfoque de seguridad centrado en los procesos que identifican, crean, capturan y mantienen el valor de la seguridad en la compañía.

Ahora el objetivo de un sistema de gestión de identidades es cubrir:
  • Autenticación
  • Control de acceso
  • Gestión de usuarios
  • Repositorio central de usuarios 
Este marco da respuesta a la siguiente ecuación: Usuarios + Gestión de Identidades + Aplicaciones
  • Usuarios= Externos, Proveedores, Empleados
  • Gestión de identidades= Autenticación, Control de acceso, Gestión de Usuarios, repositorio de usuarios
  • Aplicaciones= ERP, WEB, CRM, Legacy, Correo electrónico



Elementos de la ecuación:

    1. Autenticación: Algo que sé, algo que tengo, algo que son
  • Autenticación de factor único:
    • Identificador de usuario y contraseña.
    • Contraseñas robustas.
    • PINs.
  • Autenticación multi-factor (autenticación fuerte):
    • Contraseñas de un sólo uso.
    • Dispositivos hardware de autenticación (smartcards, tokens).
    • Certificados Digitales (PKI).
    • Sistemas desafío-respuesta.
    • Dispositivos Biométricos (de reconocimiento de huella dactilar, reconocimiento de retina e iris, reconocimiento de voz, escáner facial, escáner de la palma de la mano, escáner de firma).
    • Combinaciones de los anteriores.
  •  Enfoque tradicional:
    • Cada aplicación ha de contemplar mecanismos de autenticación
    • Los controles sobre contraseñas no son homogéneos entre aplicaciones
    • La definición del concepto usuario no corresponde con el de identidad
    • Soporta un único esquema de autenticación
  • Gestión de identidades:
    • Proporciona capacidades de Single-Sign-On (web)
    • El nivel de autenticación varía en función de la criticidad de la información
    • Soporta múltiples esquemas de autenticación
    • Los accesos se gestionan entorno al concepto identidad
   2. Control de acceso:
  • Una Infraestructura que posibilita un enfoque común para la autenticación y autorización entre múltiples plataformas.
  • Proporciona Single Sign-On para aplicaciones Web (y otras aplicaciones).
  • Permite varias aproximaciones de control de acceso: basadas en usuarios (ACLs, control de acceso por reglas o de niveles de seguridad jerárquicos), en roles y en políticas.
  • Reduce los costes de operación asociados con el control de acceso de usuario.
  • Reduce los costes de desarrollo de nuevas aplicaciones y agiliza su implantación.
  •  Enfoque tradicional:
    • La definición del control de acceso es propio de cada aplicación
    • Existen múltiples herramientas de control de acceso
    • Nivel de acceso no homogéneo
    • Altos costes de administración
  • Gestión de Identidades:
    • El control de acceso se independiza de las aplicaciones
    • Se reduce el tiempo y coste necesario para la incorporación de nuevas aplicaciones
    • Los controles y perfiles definidos son aplicables a múltiples aplicaciones
   3. Gestión de Usuarios
  • Workflows automatizados para la creación y modificación de usuarios y perfiles con los derechos de acceso a los usuarios y aprovisionamiento de los elementos necesarios
  • Eliminación automática de los derechos de acceso cuando un usuario deja la organización o cambia de funciones
  • Posibilita el uso de capacidades de autoservicio (autoregistro de usuarios, modificación de información de identidad e inicialización de contraseñas) y administración delegada
  • Enfoque tradicional:
    • Costes aumentan más que proporcionalmente
    • El modelo no escala bien al aumentar el número de aplicaciones o usuarios
    • Se acumulan usuarios en desuso
    • No responde ante cambios organizativos o de funciones
  • Gestión de identidades:
    • Aprovisionamiento de usuarios
    • Automatización del proceso a través de workflow
   4. Repositorio de Usuarios
  • Repositorio centralizado, seguro y fiable para los perfiles de usuario
  • Capacidad de escalabilidad a millones de usuarios
  • Posibilidad de integración mediante el uso de estándares con gran número de aplicaciones
  • Se consiguen tiempos de respuesta razonables con peticiones concurrentes




Hoja de ruta de la Gestión de Identidades:
  • Repositorio corporativo de identidades
  • Definición e integración de fuentes autoritativas
  • Definición de roles y políticas
  • Establecimiento de mecanismos de control de acceso
  • Automatización del aprovisionamiento de cuentas
  • Implementación de mecanismos de autenticación robusta
  • Portal del empleado (Self-provisioning)
  • Federación de identidades
  • Seguridad integrada (física y lógica)
Beneficios:
  • Reducción de Costes
  • Incremento de la Seguridad
  • Cumplimiento Legal
  • Mejoras para usuario final
  • Incremento de Productividad
  • Escalabilidad y Flexibilidad


No hay comentarios: