Manuel GrandosoLíder de Seguridad de la Informaciónmgrandoso@xelere.com

Reduciendo la brecha entre

TI y el Negocio

IBM Security Identity Governance

Security Services

Agenda

Problemáticas y necesidades de las áreas de seguridad

Problemáticas en la gestión de identidades

Solución ISIG

Casos de uso

Contexto: Problemas y necesidades de las áreas de Seguridad

Paradigmas de Seguridad Cumplimiento de Normativas Escasez de Recursos

• La implementación de lasCAMS rompen losparadigmas tradicionales deseguridad.

• Crece la necesidad deestablecer nuevos modelosde seguridad.

• Los directivos de lasOrganizaciones demandansoluciones de Seguridad.

• Gran cantidad de regulacionesexternas y controles internos.

• Sistemas y aplicaciones encontinua evolución dificultanlos controles decumplimiento.

• Equipos de Seguridadpequeños en relación a laorganización.

• Dificultad para justificarproyectos de gran escala.

• Dificultad para encontrarpersonal con las habilidadesnecesarias.

T.I. Seg. Info.

Contexto: El círculo vicioso

¿Podemos verificar si

Juan Perez tiene los

perfiles correctamente

definidos?

2

Application Managers

IT Security

¿Podemos demostrar que

Juan Perez tiene los

accesos “apropiados”

según las “definiciones”?

1

Solo puedo informarte

sobre lo que Juan Pérez

tiene asignado. No podría

decirte si sus accesos

son los correctos

3

Business Manager

¿Podrías verificar si

Juan Pérez tiene los

accesos correctos?

4

Podría, si tuviera los

conocimientos técnicos para

comprender los detalles

técnicos de su perfil

5

CFO, CRO

¿Estamos cumpliendo

con la regulación XYZ?

¿Cómo estamos

midiendo y mitigando

los riegos?

0

Auditors

Contexto: Problemática en la Gestión de Identidades

La Administración y Gobierno de identidades son controles separados con integración limitada.

Dificultad para alinear las actividades de negocio con los riesgos.

Los auditores no pueden analizar los accesos sin la ayuda de los equipos de TI.

Falta de soporte para el aprovisionamiento y control de accesos.

Administración

Gobierno

Análisis

Falta de información para la aprobación y recertificación de accesos.

RIESGO

ROLES

GRUPOS

CUENTAS DE

USUARIOPRIVILEGIOS

USO REAL

NECESIDADES

DE NEGOCIO

Maduración de los Controles propuestos por el Framework

Optimized

Security Intelligence:User activity monitoring, Anomaly detection, Identity Analytics & Reporting

IAM Integration with GRC

Fine-grained entitlements

Integrated Web & Mobile Access

Gateway

Risk / Context based Access

Governance of SaaS applications

IAM as a SaaS

IAM integration with GRC

Risk/ Context-based IAM Governance

Risk / Context-based Privileged

Identity Mgmt

Proficient

Closed-loop Identity & Access

Mgmt

Strong Authentication

Strong Authentication (e.g.

device based)

Web Application Protection

Bring your own ID

Integrated IAM for IaaS, PaaS & SaaS

(Enterprise)

Closed-loop Identity and Access Mgmt

Access Certification & fulfillment (Enterprise)

Closed-loop Privileged Identity

Mgmt

Basic

Request based

Identity Mgmt

Web Access Management

Federated SSO

Mobile User Access Management

Federated access to SaaS (LoB)

User Provisioning for Cloud/SaaS

Access Certification(LoB)

Request based Identity Mgmt.

Shared Access and Password Management

Sub-dominios Compliance Mobile Security Cloud Security IAM Governance Privileged IdM

Solución ISIG

Identity Governance 101

y

¿Qué es ISIG?Capa de gobierno y visibilidad Otorga visibilidad de los accesos e identidades de usuarios Consolida los datos de accesos en una plataforma única Permite revisión, análisis y certificación de accesos

¿Qué no es?Capa de aprovisionamiento Procesos de ABM automáticos Implementación de políticas de acceso

Solicitud de Accesos

Administración de Roles

Visibilidad de Accesos

Recertificación

Segregación de Tareas

Una nueva forma de resolver los problemas

La forma de integrar aplicaciones cambió…

IntegraciónTécnica

IntegraciónLógica

Disminuye el foco en la

automatización (ABM)

Aumenta el foco basado en los

requerimientos de Negocio

Ciclo de vida del Gobierno de Identidades

Ciclo de vida de Identidades

Eliminar

Cambiar

Crear

Ciclo de vidade Roles

Descubrir

Crear

Revisar

Asignar

Cambiar

Ciclo de vidade Riesgo

ModelarMedir

MitigarDetectar

Funcionalidades por tipo de usuario

Gerente o

Responsable

o Realizar certificaciones

o Iniciar solicitudes de acceso y aprobar las solicitudes de sus empleados

o Administrar delegaciones de terceros

Dueño de

Aplicación

Aprobar solicitudes de accesos

Analizar cuentas huérfanas o sin asignar

Definir “Transformaciones Técnicas”

Gerente de Riesgo

o Aprobar solicitudes que posean violaciones a la política de SoD

o Realizar campañas de mitigación de violaciones

Operador

o Ejecutar manualmente las tareas el cumplimiento de las solicitudes

de accesos

Oficial de Seguridad

Supervisar certificaciones

Bloquear / Desbloquear usuarios

Empleado

Autoservicio para solicitud de accesos

Delegar accesos a otro empelado

Arquitectura de ISIG

Solicitud de Accesos

Autoservicio

Workflow de Accesos

Gobierno de Accesos

Segregación de Tareas

Access Review

Controles de compliance SAP

Optimización

Análisis de Riesgo

Minería de Roles

IDEAS CoreIDEAS Warehouse

Users, Permissions, Organizations, Policies

Rule Engine

Event Processing

Authorization Manager

Entitlement Server

Conectores (AD, LDAP, JDBC, MSQL, SAP, …) NetIQ IDM IBM SIM

Modelo de datos ISIG

Roles deNegocio

Roles de TI

Permisos de aplicación o átomosAplicación 1

Aplicación 2

RolesExternos

Entitlements

Roles vs Actividades

Roles

Efectivos para la automatización

de ABM de usuarios

Actividades

Efectivas para el modelado de

controles de segregación de

tareas (SoD)

Clara distinción entre el aprovisionamiento y el control de accesos

Casos de uso

1) Mejora la visibilidad para el gobierno y gestión de accesos

Interfaz de usuario intuitiva y orientada al negocio

Campañas de certificación organizadas por aplicaciones, unidad de negocio, roles, etc

Flujos de aprobaciones con múltiples niveles

2) Facilita la colaboración entre las áreas de TI y de Negocio

Evalué actividades de negocio con roles y accesos para ejecutar controles de segregación de funciones (SoD)

2) Facilita la colaboración entre las áreas de TI y de Negocio

Realice seguimiento para certificar, modificar o eliminar accesos

Los auditores pueden abstraerse de la definición de roles de TI

Soporte nativo para realizar controles de SoD en SAP

2) Facilita la colaboración entre las áreas de TI y de Negocio

3) Optimización de accesos inteligente

Minería de roles visual para el descubrimiento y optimización de roles

Validación de roles en base a la política de segregación de funciones (SoD) definida

Muchas Gracias !

www.xelere.comseguridad@xelere.com

Viamonte 577 – Piso 9 [C1053ABK]| Buenos AiresTel. +54 (11) 5353-8300