Honeywell Security & Data Collection
Si desea obtener información adicional
acerca de Honeywell,
Visión de la industria:
Lista de comprobación para el
control de accesos unificado
visite www.honeywell.com/security/es
Honeywell Security & Data Collection
Honeywell Systems Group
P. I. Las Mercedes
Calle Mijancas, 1 - 3ª planta
28022 Madrid
España
Tel: +34 902 667 800
Fax: +34 902 932 503
www.honeywell.com
HSG-CONV-01-ES(1108)WP-COE
Noviembre 2008
© 2008 Honeywell International Inc.
Introducción
Gestión y control de la política
de seguridad común
Aprovisionamiento común de los
usuarios
Credencial de acceso individual
Correlation of Events
En resumen
palabra de la jerga de la industria de la
La infraestructura de IT es la columna vertebral de
La convergencia hace que la empresa
La seguridad en los edificios empieza con una
Con la conexión de sistemas, las
La convergencia es el primer paso para que
identificación que con frecuencia es una tarjeta
organizaciones pueden correlacionar eventos
cualquier organización conecte sus sistemas
seguridad haya aparecido definida tan
una solución unificada, puesto que comparte el
frecuentemente en artículos y materiales
conocimiento de los principales datos
considere la interrelación de la seguridad física
de proximidad. En la seguridad de IT, por
de seguridad física y de IT aparentemente
clave con el fin de proporcionar una política de
con la seguridad de IT y viceversa.
contra, se empieza con un nombre y una
dispares. Por ejemplo, puede no parecer
publicitarios como «convergencia».
empresariales a través de los sistemas. El sistema
seguridad coherente y exhaustiva. Con la
contraseña.
sospechoso que un empleado descargue
integración de sistemas para compartir
grandes cantidades de datos. Sin embargo,
información se pueden identificar los puntos
el sistema de correlación mostraría que el
débiles en tiempo real y vincular los eventos de
empleado únicamente descarga los datos
seguridad de TI con las respuestas de
cuando se encuentra solo en la habitación.
seguridad física. Todas estas capacidades
En los últimos años, es probable que ninguna
de seguridad física no tiene un conocimiento
Estas definiciones se han referido,
mayoritariamente, a la integración de seguridad
física y sistemas de IT y, en ocasiones, a
elementos de control de edificios. Dichas
definiciones, útiles para los usuarios finales, dan
por sentada la pregunta decisiva: «¿Cómo hago
que funcione?»
La convergencia usa datos generados tanto por
la seguridad física como por los sistemas de IT
con el fin de conducir los procesos de eficiencia
y seguridad empresarial, y su marco define una
ruta de migración para el crecimiento
organizativo. A continuación se exponen
algunos elementos básicos para garantizar la
unificación real de una solución.
inherente de datos empresariales de suma
importancia como el estatus de los empleados,
las autorizaciones de seguridad del personal y los
certificados de formación. Sin embargo, un
sistema de RR.HH. informatizado con frecuencia
posee dicha información. Por consiguiente, los
sistemas de seguridad con dirección IP habilitada
permiten a los usuarios aprovecharse de las
inversiones fijas y mejorar la rentabilidad de la
inversión (ROI).
El desarrollo de protocolos comunes para
gestionar el acceso a los activos y a los datos
de la empresa permite una gestión y
aprovisionamiento más eficientes. Una
organización desarrolla políticas basadas en roles
que pueden gestionar la expedición de
identificaciones y procesos de inscripción y
revocación, aprovechando las interfaces
XML/SOAP para la integración con soluciones de
gestión de la identidad. La principal ventaja recae
en la continuidad, por parte del personal de
seguridad del edificio, en el uso de las
herramientas más adecuadas para su trabajo, al
mismo tiempo que el personal de RR.HH. sigue
usando herramientas de RR.HH.
Las organizaciones deberían identificar:
1. Las fuentes autorizadas (el sistema que
tiene la última palabra) para todas las
personas que tengan la identificación del
¿Cuántas organizaciones pueden afirmar
con toda seguridad que los empleados o
Si las organizaciones desean aumentar la
contratistas que han causado baja se
seguridad de una tarjeta, pueden añadirle un
eliminan inmediatamente de los sistemas de
PIN o un dispositivo biométrico. Sin embargo,
control de acceso a su edificio? ¿Cuántas
dado que los sistemas de IT esperan aumentar
están seguras de que ningún antiguo
la seguridad, las elecciones no son
Las organizaciones deben identificar:
empleado que se cuele por la puerta trasera
equivalentes. Las organizaciones pueden
1. Umbral del comportamiento normal de
tiene cuentas de IT activas? ¿Cuántas están
añadir:
los empleados clasificado según el trabajo
El siguiente paso será la gestión proactiva, que
seguras de que su personal actual reconocería
• Un dispositivo de RSA o biométrico que
desempeñado. Puede ser necesario auditar
permite la correlación de la información en
los comportamientos actuales.
tiempo real con la información histórica. El
a un antiguo empleado y sabría que esa
persona ya no trabaja en la empresa?
Las dinámicas de aprovisionamiento están
adaptando y dirigiendo las autorizaciones de
los usuarios hacia sistemas distintos a los de
IT así como de IT externos.
Las organizaciones deben:
1. Determinar cuántos empleados o contratistas
cesados siguen teniendo identificaciones del
edificio y cuentas de IT.
2. Determinar cuántos contratistas que han
estado ausentes durante los últimos tres
meses siguen teniendo identificaciones del
edificio activas.
3. Realizar estudios para comprobar si alguien
interroga a las personas que se cuelan por la
puerta trasera.
4. Evaluar cuánto se tarda en suministrar o
retirar la identificación a alguien.
5. Proporcionar educación sobre los riesgos de
seguridad a los empleados.
autentifique a la persona correcta.
• Un chip inteligente por contacto –
datos claves utilizadas para determinar si
una persona tiene autorización para utilizar
un recurso o acceder a un área.
3. Las necesidades de conformidad o auditoría
en los casos en los que los datos están
presentes en múltiples sistemas.
4. Cualquier preocupación sobre la empresa o
la seguridad, que sea única o especialmente
importante para una organización.
5. Los procesos empresariales clave (integración
del personal, desvinculación de la empresa,
movilidad interna) y determinar las
responsabilidades de los distintos sistemas.
6. Una plataforma de políticas que admita
herramientas de creación de flujos de tra
bajo personalizables para modelar más fá
cilmente los procesos y las homologaciones.
tiempo real.
2. Los eventos empresariales que puedan
sistema «aprenderá» a gestionar el entorno
agregado en una tarjeta o bien en una
causar brechas en la seguridad (recepción de
actual y a reaccionar en tiempo real,
mochila USB– que autentifique a la persona
una carta de renuncia, cese por causa, cambio
aumentando así su valor y mejorando el
correcta y que también se utilice para firmas
inesperado de las horas de trabajo).
rendimiento de la inversión. El sistema, por
digitales no acreditadas. Las firmas digitales
3. Los recursos de IT y/o las ubicaciones
ejemplo, puede clasificar comportamientos
son importantes en entornos regulados
con información confidencial (propiedad
como el de un empleado intentando entrar
porque sirven para verificar que una persona
intelectual, datos de identidad) y desarrollar
aleatoriamente por las puertas cada ciertos
ha aprobado o realizado una acción.
un plan para bloquear los niveles de
días, o acciones inusuales de un grupo de
seguridad normales e intensificar la
empleados que tenían autorizaciones de
seguridad. Las organizaciones deben
seguridad, procesados por un juez concreto.
Una solución de tarjeta individual que incluye
un chip inteligente por contacto para las
tecnologías de la información y de proximidad
(tarjeta inteligente a distancia o 125 kHz prox)
permite a la organización gestionar un recurso
para cada empleado, minimizando así los
costes tanto materiales como administrativos.
determinar el grado de riesgo que tiene cada
elemento o dato confidencial y desarrollar unos
planes de respuesta de seguridad acordes.
4 El uso normal de cada recurso confidencial y
qué se consideraría anormal (descargar todos
los datos o las tarjetas de crédito de un cliente).
El uso de un sistema unificado puede aportar
grandes ventajas y proporcionará, en el futuro,
aún más beneficios gracias a la continua
evolución de la convergencia. La forma que las
organizaciones elijan para implementar estas
Un proceso de expedición de tarjetas
nuevas herramientas sólo depende de ellas y
optimizado permite que la seguridad del edificio
de sus necesidades individuales de seguridad y
siga expidiendo identificaciones, y dicho
conformidad.
proceso estará conectado a un sistema de IT
para el aprovisionamiento como proceso
individual.
edificio o una cuenta de TI.
2. Las fuentes (sistemas de IT o personas) de
dirigen la gestión de la política de seguridad en
Pasos a seguir:
1. Los equipos de seguridad del edificio
deberían hablar sobre las credenciales de
acceso con sus homólogos de IT para
identificar las oportunidades de
aprovechamiento de las tarjetas por toda
la organización.
2. Los departamentos de IT deberían revisar la
autentificación y los requisitos/necesidades
de la infraestructura de clave pública (PKI).
Descargar

Visión de la industria: Lista de comprobación para el control de accesos unificado