Visión de la industria: Lista de comprobación para el control de accesos unificado
Anuncio
Honeywell Security & Data Collection Si desea obtener información adicional acerca de Honeywell, Visión de la industria: Lista de comprobación para el control de accesos unificado visite www.honeywell.com/security/es Honeywell Security & Data Collection Honeywell Systems Group P. I. Las Mercedes Calle Mijancas, 1 - 3ª planta 28022 Madrid España Tel: +34 902 667 800 Fax: +34 902 932 503 www.honeywell.com HSG-CONV-01-ES(1108)WP-COE Noviembre 2008 © 2008 Honeywell International Inc. Introducción Gestión y control de la política de seguridad común Aprovisionamiento común de los usuarios Credencial de acceso individual Correlation of Events En resumen palabra de la jerga de la industria de la La infraestructura de IT es la columna vertebral de La convergencia hace que la empresa La seguridad en los edificios empieza con una Con la conexión de sistemas, las La convergencia es el primer paso para que identificación que con frecuencia es una tarjeta organizaciones pueden correlacionar eventos cualquier organización conecte sus sistemas seguridad haya aparecido definida tan una solución unificada, puesto que comparte el frecuentemente en artículos y materiales conocimiento de los principales datos considere la interrelación de la seguridad física de proximidad. En la seguridad de IT, por de seguridad física y de IT aparentemente clave con el fin de proporcionar una política de con la seguridad de IT y viceversa. contra, se empieza con un nombre y una dispares. Por ejemplo, puede no parecer publicitarios como «convergencia». empresariales a través de los sistemas. El sistema seguridad coherente y exhaustiva. Con la contraseña. sospechoso que un empleado descargue integración de sistemas para compartir grandes cantidades de datos. Sin embargo, información se pueden identificar los puntos el sistema de correlación mostraría que el débiles en tiempo real y vincular los eventos de empleado únicamente descarga los datos seguridad de TI con las respuestas de cuando se encuentra solo en la habitación. seguridad física. Todas estas capacidades En los últimos años, es probable que ninguna de seguridad física no tiene un conocimiento Estas definiciones se han referido, mayoritariamente, a la integración de seguridad física y sistemas de IT y, en ocasiones, a elementos de control de edificios. Dichas definiciones, útiles para los usuarios finales, dan por sentada la pregunta decisiva: «¿Cómo hago que funcione?» La convergencia usa datos generados tanto por la seguridad física como por los sistemas de IT con el fin de conducir los procesos de eficiencia y seguridad empresarial, y su marco define una ruta de migración para el crecimiento organizativo. A continuación se exponen algunos elementos básicos para garantizar la unificación real de una solución. inherente de datos empresariales de suma importancia como el estatus de los empleados, las autorizaciones de seguridad del personal y los certificados de formación. Sin embargo, un sistema de RR.HH. informatizado con frecuencia posee dicha información. Por consiguiente, los sistemas de seguridad con dirección IP habilitada permiten a los usuarios aprovecharse de las inversiones fijas y mejorar la rentabilidad de la inversión (ROI). El desarrollo de protocolos comunes para gestionar el acceso a los activos y a los datos de la empresa permite una gestión y aprovisionamiento más eficientes. Una organización desarrolla políticas basadas en roles que pueden gestionar la expedición de identificaciones y procesos de inscripción y revocación, aprovechando las interfaces XML/SOAP para la integración con soluciones de gestión de la identidad. La principal ventaja recae en la continuidad, por parte del personal de seguridad del edificio, en el uso de las herramientas más adecuadas para su trabajo, al mismo tiempo que el personal de RR.HH. sigue usando herramientas de RR.HH. Las organizaciones deberían identificar: 1. Las fuentes autorizadas (el sistema que tiene la última palabra) para todas las personas que tengan la identificación del ¿Cuántas organizaciones pueden afirmar con toda seguridad que los empleados o Si las organizaciones desean aumentar la contratistas que han causado baja se seguridad de una tarjeta, pueden añadirle un eliminan inmediatamente de los sistemas de PIN o un dispositivo biométrico. Sin embargo, control de acceso a su edificio? ¿Cuántas dado que los sistemas de IT esperan aumentar están seguras de que ningún antiguo la seguridad, las elecciones no son Las organizaciones deben identificar: empleado que se cuele por la puerta trasera equivalentes. Las organizaciones pueden 1. Umbral del comportamiento normal de tiene cuentas de IT activas? ¿Cuántas están añadir: los empleados clasificado según el trabajo El siguiente paso será la gestión proactiva, que seguras de que su personal actual reconocería • Un dispositivo de RSA o biométrico que desempeñado. Puede ser necesario auditar permite la correlación de la información en los comportamientos actuales. tiempo real con la información histórica. El a un antiguo empleado y sabría que esa persona ya no trabaja en la empresa? Las dinámicas de aprovisionamiento están adaptando y dirigiendo las autorizaciones de los usuarios hacia sistemas distintos a los de IT así como de IT externos. Las organizaciones deben: 1. Determinar cuántos empleados o contratistas cesados siguen teniendo identificaciones del edificio y cuentas de IT. 2. Determinar cuántos contratistas que han estado ausentes durante los últimos tres meses siguen teniendo identificaciones del edificio activas. 3. Realizar estudios para comprobar si alguien interroga a las personas que se cuelan por la puerta trasera. 4. Evaluar cuánto se tarda en suministrar o retirar la identificación a alguien. 5. Proporcionar educación sobre los riesgos de seguridad a los empleados. autentifique a la persona correcta. • Un chip inteligente por contacto – datos claves utilizadas para determinar si una persona tiene autorización para utilizar un recurso o acceder a un área. 3. Las necesidades de conformidad o auditoría en los casos en los que los datos están presentes en múltiples sistemas. 4. Cualquier preocupación sobre la empresa o la seguridad, que sea única o especialmente importante para una organización. 5. Los procesos empresariales clave (integración del personal, desvinculación de la empresa, movilidad interna) y determinar las responsabilidades de los distintos sistemas. 6. Una plataforma de políticas que admita herramientas de creación de flujos de tra bajo personalizables para modelar más fá cilmente los procesos y las homologaciones. tiempo real. 2. Los eventos empresariales que puedan sistema «aprenderá» a gestionar el entorno agregado en una tarjeta o bien en una causar brechas en la seguridad (recepción de actual y a reaccionar en tiempo real, mochila USB– que autentifique a la persona una carta de renuncia, cese por causa, cambio aumentando así su valor y mejorando el correcta y que también se utilice para firmas inesperado de las horas de trabajo). rendimiento de la inversión. El sistema, por digitales no acreditadas. Las firmas digitales 3. Los recursos de IT y/o las ubicaciones ejemplo, puede clasificar comportamientos son importantes en entornos regulados con información confidencial (propiedad como el de un empleado intentando entrar porque sirven para verificar que una persona intelectual, datos de identidad) y desarrollar aleatoriamente por las puertas cada ciertos ha aprobado o realizado una acción. un plan para bloquear los niveles de días, o acciones inusuales de un grupo de seguridad normales e intensificar la empleados que tenían autorizaciones de seguridad. Las organizaciones deben seguridad, procesados por un juez concreto. Una solución de tarjeta individual que incluye un chip inteligente por contacto para las tecnologías de la información y de proximidad (tarjeta inteligente a distancia o 125 kHz prox) permite a la organización gestionar un recurso para cada empleado, minimizando así los costes tanto materiales como administrativos. determinar el grado de riesgo que tiene cada elemento o dato confidencial y desarrollar unos planes de respuesta de seguridad acordes. 4 El uso normal de cada recurso confidencial y qué se consideraría anormal (descargar todos los datos o las tarjetas de crédito de un cliente). El uso de un sistema unificado puede aportar grandes ventajas y proporcionará, en el futuro, aún más beneficios gracias a la continua evolución de la convergencia. La forma que las organizaciones elijan para implementar estas Un proceso de expedición de tarjetas nuevas herramientas sólo depende de ellas y optimizado permite que la seguridad del edificio de sus necesidades individuales de seguridad y siga expidiendo identificaciones, y dicho conformidad. proceso estará conectado a un sistema de IT para el aprovisionamiento como proceso individual. edificio o una cuenta de TI. 2. Las fuentes (sistemas de IT o personas) de dirigen la gestión de la política de seguridad en Pasos a seguir: 1. Los equipos de seguridad del edificio deberían hablar sobre las credenciales de acceso con sus homólogos de IT para identificar las oportunidades de aprovechamiento de las tarjetas por toda la organización. 2. Los departamentos de IT deberían revisar la autentificación y los requisitos/necesidades de la infraestructura de clave pública (PKI).
