Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Authentication

Anuncio 
Identity and Access
Management
Tendencia Global
Agenda
• Contexto y Tendencias de CyberSeguridad
• Arquitectura Global de Identidades
• Access Management
− Autenticación Fuerte y Adaptiva
− Federación
− Seguridad en APIs
• Identity Management
• Conclusiones
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
2
Hoy en día, dados los complejos entornos
de las Compañías, la aceleración de nuevas
tecnologías disruptivas y su rápida
incorporación permiten que aparezcan
nuevas y mayores vulnerabilidades tornando
muy difícil su adecuada y oportuna
administración.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
3
Contexto Actual
Entendimiento
Actualmente, dados los complejos entornos de las Compañías, las
vulnerabilidades se tornan más difíciles de administrar y las amenazas aumentan
fuertemente. Para entender el desafío es importante visualizar los tres entornos
de evolución que provocan la aparición de mayores riesgos:
•
El entorno del negocio evoluciona debido a la competitividad del mercado y
las necesidades de los clientes que también evolucionan, originando nuevos
modelos de negocios, nuevos procesos y nuevas formas de trabajar.
•
El entorno de IT evoluciona para soportar los nuevos modelos así como
también las expectativas de los usuarios que adoptan nuevas herramientas
para estar conectados y ser productivos.
•
El entorno de las amenazas evoluciona como consecuencia de los cambios
en el Negocio e IT creando nuevas vulnerabilidades y se tiene mayor
“colaboración y creatividad” para encontrar dichas vulnerabilidades y
explotarlas.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
4
Contexto Actual
Desaparecieron las Fronteras - Aparecieron
nuevas tecnologías
BYOD
Redes Sociales
Cloud
Mobile
Streamming
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
5
Contexto futuro
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
6
Cyber riesgos
Preocupación de los CFOs’
• Los cyber ataques se han instalado en la lista de los riesgos que más
preocupan a los CFO (según la encuesta de Deloitte CFO SignalsTM ) .
• Hace cuatro años cuando se lanzó la encuesta, los cyber- riesgos eran
raramente mencionados, cuando hoy día son citados rutinariamente.
• Los CFO se encuentran cada vez más preocupados por los cyber ataques.
• Ese cambio en el modo de pensar tiene su correlación en la frecuencia y
costos de los cyber ataques.
3,5
Millones de dólares es
el costo promedio de
una filtración de
información
Es la probabilidad que una
Compañía sufra una filtración
material (10.000 registros o más)
15%22%
Más que
el año
anterior
Ponemon Institute’s “2014 Cost of Breach: Global Analysis”
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
en los próximos
24 meses
7
Cyber seguridad
Se focalizaron los ataques
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
8
Arquitectura Global de Identidades
Accesos inadecuados:
Cuentas huérfanas y privilegiadas
Users
Business
Partners
SOA ESB
WS Gateway
Robo de información:
Ataques por malformaciones de
paquetes
Middleware
and Apps
HR DBs
Legacy Apps
Terminal
Emulation
Internal Apps
“Fat” Clients
App-specific
Datastores
Enterprise-wide
Datastores
Employees,
Contractors, etc.
Citrix / WTS
Java, .NET, etc. Enterprise Apps
Identity
Store(s)
Local Apps
Portlets
HTTP Server
Web Browsers
Portal
Customer
Java, .NET, etc.
Wep Apps
Portal
HTTP Server
Cloud
Web Apps (standalone)
Mobiles and
Tablets
Cyber ataques web,
phising, robos de
identidades (MITM)
Contraseñas débiles
Desktop / Client
Connection
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
HTTP (incl. SOAP/
HTTP) Connection
Cyber ataques web,
phising, robos de
identidades (MITM)
Contraseñas débiles
Envío de contraseñas
Desdoblamiento de
repositorios
Confianza
Web Services
Connection
Security Policy
Repository
Desktop / Client
Connection
Local Identity and
Policy Stores
9
Arquitectura Global de IAM
Users
Business
Partners
SOA ESB
WS Gateway
IDENTIY GOVERNANCE
Middleware
and Apps
HR DBs
Legacy Apps
Employees,
Contractors, etc.
Terminal
Emulation
Internal Apps
“Fat” Clients
App-specific
Datastores
Enterprise-7
Datastores
Citrix / WTS
Java, .NET, etc. Enterprise Apps
Identity
Store(s)
Local Apps
Portlets
HTTP Server
Web Browsers
Portal
Customer
Java, .NET, etc.
Wep Apps
Portal
HTTP Server
Cloud
Web Apps (standalone)
Mobiles and
Tablets
ACCESS
MANAGEMENT
Desktop / Client
Connection
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
HTTP (incl. SOAP/
HTTP) Connection
ACCESS
MANAGEMENT
Web Services
Connection
Security Policy
Repository
Desktop / Client
Connection
Local Identity and
Policy Stores
10
Módulos IAM
IDENTITY MANAGER
Identity Manager ofrece la gestión de
identidad, que permite a las organizaciones
simplificar la gestión del ciclo de vida de la
identidad y garantizar el acceso desde
cualquier dispositivo para todos los recursos
de la empresa.
ACCESS MANAGER
Es la solución de seguridad encargada de
proteger aplicaciones, datos, servicios web y
servicios basados en nube. Construido en una
arquitectura moderna entrega la flexibilidad
para implementar una solución completa
brindando autenticación, inicio de sesión único,
autorización, federación, inicio de sesión social
y móvil, propagación de identidad, y
autentificación basada en riesgos y autorización
en el perímetro de la red.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
La solución permite a los administradores
de IT trabajar en los sistemas de la
empresa sin exponer contraseñas
administrativas. Específicamente
administra, controla y graba todas las
actividades de los administradores con
privilegios en los distintos ambientes.
USUARIOS PRIVILEGIADOS
GOVERNANCE
Fortalece la gestión de los roles y simplifica el
proceso de gestión del ciclo de vida de roles y
certificación de acceso. Permite la realización de
actividades de descubrimiento de accesos a través
de minerías de roles.
11
Plataforma de Identidades Extendida
Asegurar las aplicaciones de la Compañía y
los datos en los dispositívos móviles.
Asegurar los servicios de accesos para
la Economía de APIs.
Servicios de identidad para y en la
nube.
Automatización de Identidades y Gobierno
Empresarial.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
12
Access Management
Framework General
Authentication
Integrated Strong
Intelligent Risk
Authentication
Based
Authentication
Authorization
Real
Time
Mobile and API
External
Security
Policies
RESTful
Interfaces
API Management
Federation
Standards
Based
Social
Platform
Common Policy Model Standards Bases
Approach
Cloud Apps
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Desktop
Apps
Scalable High
Availability and
DR
Enterprise Apps
Authentication
Plugin Framework
Mobile Apps
13
Access Management
Características generales
• Simplifica el Web Single Sign On (WebSSO).
• Posibilita mejoras en la autenticación y autorización.
• Administración de Políticas centralizada.
• Administración avanzada de sesiones.
• Administración centralizada de agentes.
• Administración nativa de contraseñas.
• Integración con esquemas de autenticación de Windows.
• Auditoría y registración de eventos.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
14
Users
Business
Partners
SOA ESB
WS Gateway
Tendencia
Autenticación Fuerte y Adaptiva
Middleware
and Apps
HR DBs
Legacy Apps
Employees,
Contractors, etc.
Terminal
Emulation
Internal Apps
“Fat” Clients
App-specific
Datastores
Enterprise-wide
Datastores
Citrix / WTS
Java, .NET, etc. Enterprise Apps
Identity
Store(s)
Local Apps
Portlets
Web Apps (standalone)
Mobiles and
Tablets
Cyber ataques web,
phising, robos de
identidades (MITM)
Contraseñas
débiles
Cyber ataques web,
phising, robos de
identidades (MITM)
Contraseñas débiles
Desktop / Client
Connection
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
HTTP (incl. SOAP/
HTTP) Connection
Web Services
Connection
HTTP Server
Web Browsers
Portal
Customer
Java, .NET, etc.
Wep Apps
Portal
HTTP Server
Cloud
Security Policy
Repository
Desktop / Client
Connection
Local Identity and
Policy Stores
15
Access Management
Adaptive Access Management
El acceso adaptativo básicamente permite mejorar los esquemas de autenticación y evitar
la ocurrencia de fraudes.
• Incrementa la seguridad en la autenticación de usuarios (dispositivos virtuales,
Knowledge-Based Authentication, OTP, device fingerprint, etc).
• Métodos de desafío basados en riesgos.
• Administración de políticas centralizado.
• Análisis y correlación de eventos.
Authentication
Authorization
• Integración con IAM.
Intelligent Risk Integrated Strong
Authentication
Based
Authentication
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Real Time
External
Security
Policies
16
Acces Management
Adaptive Access Management
Otras Características:
• Auto-learning, crea un perfil base del usuario y detecta anomalías
en base al mismo.
• Motor de Políticas configurable.
Interactive authentication
or federation token
• Herramienta de análisis de fraudes.
• Tableros de indicadores.
• Disparador de alarmas.
• Reportes.
User or IDP
Context and
Credentials
Device
identity
Location
Actions
Security
Token
Service
Analytics/Rule
Engine
Allow and issue token
Allow to target application
Threat
intelligence
Deny
Step-up
Application
Authentication
information
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
17
Users
Business
Partners
SOA ESB
WS Gateway
Federación
Middleware
and Apps
HR DBs
Legacy Apps
Terminal
Emulation
Internal Apps
“Fat” Clients
App-specific
Datastores
Enterprise-wide
Datastores
Employees,
Contractors, etc.
Citrix / WTS
Java, .NET, etc. Enterprise Apps
Identity
Store(s)
Local Apps
Portlets
HTTP Server
Web Browsers
Portal
Customer
Java, .NET, etc.
Wep Apps
Portal
HTTP Server
Cloud
Web Apps (standalone)
Mobiles and
Tablets
Envío de contraseñas
Desdoblamiento de
repositorios
Confianza
Desktop / Client
Connection
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
HTTP (incl. SOAP/
HTTP) Connection
Web Services
Connection
Security Policy
Repository
Desktop / Client
Connection
Local Identity and
Policy Stores
18
Access Management
Federación
Permite autenticar usuarios entre distintos
dominios y/o compañías a través de tokens o
“assertions”, sin tener que exponer las contraseñas
o todos los atributos de la identidades.
Permite compartir algunos atributos entre distintos
dominios/Compañías
Identity Provider
Service Provider
•
•
•
•
Autentica a los
usuarios
Mantiene la custodia
de las identidades
Comparte atributos
de la identidad
(opcionalmente)
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
•
•
Federation
Standards
Based
Social
Acepta tokens o
assertions del IP
También se lo
denomina Relying
Partner
Permite el ingreso a
la aplicación
19
Access Management
Federación
Beneficios
•
•
•
•
•
Facilidad para los
usuarios (sso)
Minimizar los costos
de administración de
usuarios.
Permitir nuevos
negocios y
aplicaciones.
Integración con
Socios de Negocio.
Mitigar riesgos.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Limitaciones
•
•
•
•
Cumplimiento.
Aplicaciones y
protocolos
existentes.
Estructuras
Organizacionales.
Capacidades del
Socio de Negocio.
Federation
Standards
Based
Social
20
API Management
Tendencia
Users
Business
Partners
SOA ESB
WS Gateway
Robo de información
Ataques por malformaciones de
paquetes
Middleware
and Apps
HR DBs
Legacy Apps
Terminal
Emulation
Internal Apps
“Fat” Clients
App-specific
Datastores
Enterprise-wide
Datastores
Employees,
Contractors, etc.
Citrix / WTS
Java, .NET, etc. Enterprise Apps
Identity
Store(s)
Local Apps
Portlets
HTTP Server
Web Browsers
Portal
Customer
Java, .NET, etc.
Wep Apps
Portal
HTTP Server
Cloud
Web Apps (standalone)
Mobiles and
Tablets
Desktop / Client
Connection
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
HTTP (incl. SOAP/
HTTP) Connection
Web Services
Connection
Security Policy
Repository
Desktop / Client
Connection
Local Identity and
Policy Stores
21
Acces Management
Seguridad en APIs
Los vectores de ataque más comunes pueden dividirse en las siguientes tres
categorías:
Parámetros
• Explotan los datos enviados dentro de las APIs, incluyen
URL, parámetros de querys, HTTP Headers, y/o
contenido POST.
Identidad
• Explotan las debilidades en la autenticación, la
autorización y registro y seguimiento de sesiones.
Man-in-the-middle
• Interceptan mensajes legítimos de transacciones y
explotan los datos que no se encuentran firmados y/o
encriptados.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
22
Acces Management
API Gateway Security
Permite la administración, desarrollo,
implementación y operación de APIs
incrementando la seguridad y el cumplimiento
regulatorio a través de capacidades de
autenticación, autorización y auditoría.
Posibilita a las Compañías estandarizar las
APIs y el servicio de entrega con seguridad,
performance y alta disponibilidad.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
23
Acces Management
API Gateway Security
Características:
• Autenticación y autorización
(protocolos como SAML, Oauth,
XACML, etc.)
• Securización de los mensajes (SSL,
encripción.)
• Protección ante ataques (DoS,
mensajes malformados, sqlinjection,
etc.)
• Orquestación, mediación y
transformación de mensajes.
• Integración con servicios de cloud,
mobile e identidades sociales.
• Análisis y monitoreo.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
24
Identity Governance
Users
Business
Partners
SOA ESB
WS Gateway
Accesos inadecuados
Cuentas huérfanas
Middleware
and Apps
HR DBs
Legacy Apps
Employees,
Contractors, etc.
Terminal
Emulation
Internal Apps
“Fat” Clients
App-specific
Datastores
Enterprise-wide
Datastores
Citrix / WTS
Java, .NET, etc. Enterprise Apps
Identity
Store(s)
Local Apps
Portlets
HTTP Server
Web Browsers
Portal
Customer
Java, .NET, etc.
Wep Apps
Portal
HTTP Server
Cloud
Web Apps (standalone)
Mobiles and
Tablets
Accesos de Cuentas
Privilegiadas
Desktop / Client
Connection
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
HTTP (incl. SOAP/
HTTP) Connection
Web Services
Connection
Security Policy
Repository
Desktop / Client
Connection
Local Identity and
Policy Stores
25
Identity Manager
Funcionalidad
Presentation
Identity Manager automatiza la administración de los usuarios en los recursos de
la Compañía. Permite administrar todo el ciclo de vida de las personas, desde el
ingreso hasta la salida.
Data
Administrative and End-User Interfaces
Business Logic
Identity
Repository
Roles
Audit
Repository
Rules
Policy
Evaluation Engine
Workflow
Policy Store
Integration
Entitlement
Catalog
Authoritative Sources and Target Systems
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
26
Identity Manager
Principales Características
1
2
3
4
Repositorio central de identidades
Autogestión (contraseñas y accesos)
Conectores
Workflows de autorización
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
27
Role Management
Principales Características
Ciclo de vida de roles
Minería de roles
Segregación de funciones
Certificación de accesos
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
28
Usuarios privilegiados
Mediante las siguientes funcionalidades, la solución de gestión de usuarios
privilegiados permite conocer las actividades realizadas por usuarios con
privilegios administrativos en los recursos de la empresa:
AUDITORIA Y REPORTES
• Servicio de auditoría de Windows.
• Filtrado automático de datos para cumplimiento continuo.
• Notificaciones automáticas.
• Flujos de trabajo.
• Restricciones ACL.
4
3
2
1
GESTIÓN DE POLÍTICAS
•
•
•
•
Consola administrativa WEB.
Refuerzo mediante políticas y grupos de WINDOWS.
Librerías y comandos reutilizables.
Estructura de reglas heredada.
ANÁLISIS DE RIESGO
• Análisis detallado con rating de riesgo por código y color.
• Grabación de sesiones UNIX, Linux y Windows.
SEGURIDAD
• Gestión de usuarios privilegiados multiplataforma.
• Remote Desktop Proxy (RDP) Seguro.
• Autenticación a través de Active Directory y LDAP.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
29
Las Compañías y sus CxO están luchando
batallas de larga duración, con múltiples
frentes de ataques y donde la victoria es
difícil de medir. Para tener alguna
oportunidad de ganar estas CyberGuerras,
como CxO se deben entender determinadas
realidades…
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
30
Cyber Seguridad
Realidades
1
2
3
4
5
SU RED DE INFORMACIÓN VA A SER COMPROMETIDA
Desafortunadamente, es inevitable que su Cía. sea atacada. Si opera una red de información, no es posible tener
cero riesgo y 100% de seguridad.
LA SEGURIDAD FÍSICA Y LA CYBERSEGURIDAD SE ENCUENTRAN MUY VINCULADAS
Mientras que amenazas como espionaje, robo de propiedad intelectual, fraudes, ciberterrorismo pueden involucrar
filtraciones de seguridad, las mismas pueden originarse con un acceso físico.
LOS DAÑOS POR CYBER RIESGOS VAN MÁS ALLÁ DE LO ECONÓMICO
Mientras que el costo promedio de una filtración de seguridad puede estar bien documentado, los efectos a largo
plazo sobre la reputación de la Compañía y la Marca pueden incrementar dicho costo. Muchas Compañías están
considerando la contratación de Cyber Seguros para limitar dichos costos.
TODO NO PUEDE SER PROTEGIDO DE LA MISMA FORMA
Después de todo, cada pieza de información no es de la misma importancia. Se debe crear una categorización o
jerarquía de la información de manera personalizada para la Compañía y la industria. Y en dicho proceso son los
CFOs’ quienes pueden tomar mejores decisiones respecto de cómo priorizar las protecciones y monitoreos.
LAS DEFENSAS PROBABLEMENTE SON SUFICIENTES
Las Cías. continúan invirtiendo fuertemente en el aspecto de la protección de la CyberSeguridad (más FW, IDS, etc) .
Las protecciones son probablemente tan buenas como se necesitan pero los hackers pueden que ya se hayan
infiltrado. Se debe focalizar más en la detección y monitoreo de ataques y sus respuestas y resiliencia.
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
31
¡Muchas gracias!
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
32
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura
legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.
Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 200,000 profesionales,
todos comprometidos a ser el modelo de excelencia.
Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,
bajo el nombre de “Deloitte”.
Esta publicación es únicamente para distribución y uso interno del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus respectivas
afiliadas (en conjunto la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de la pérdida que pueda sufrir cualquier persona que consulte
esta publicación.
Documentos relacionados
DELOITTE, Paquete económico 2010 10 15
DELOITTE, Paquete económico 2010 10 15
GOOGLE APPS
GOOGLE APPS
Experiencias en la Incorporación y de Tecnología Arquitectura.
Experiencias en la Incorporación y de Tecnología Arquitectura.
Título de una o dos líneas si es necesario
Título de una o dos líneas si es necesario
COSO Marco de referencia para la implementación
COSO Marco de referencia para la implementación
El “Huaso” Galaz ganó la maratón “X Trail Puchuncaví 2015"
El “Huaso” Galaz ganó la maratón “X Trail Puchuncaví 2015"
Descargar
Anuncio
Anuncio