Identity and Access Management Tendencia Global Agenda • Contexto y Tendencias de CyberSeguridad • Arquitectura Global de Identidades • Access Management − Autenticación Fuerte y Adaptiva − Federación − Seguridad en APIs • Identity Management • Conclusiones © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Hoy en día, dados los complejos entornos de las Compañías, la aceleración de nuevas tecnologías disruptivas y su rápida incorporación permiten que aparezcan nuevas y mayores vulnerabilidades tornando muy difícil su adecuada y oportuna administración. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 3 Contexto Actual Entendimiento Actualmente, dados los complejos entornos de las Compañías, las vulnerabilidades se tornan más difíciles de administrar y las amenazas aumentan fuertemente. Para entender el desafío es importante visualizar los tres entornos de evolución que provocan la aparición de mayores riesgos: • El entorno del negocio evoluciona debido a la competitividad del mercado y las necesidades de los clientes que también evolucionan, originando nuevos modelos de negocios, nuevos procesos y nuevas formas de trabajar. • El entorno de IT evoluciona para soportar los nuevos modelos así como también las expectativas de los usuarios que adoptan nuevas herramientas para estar conectados y ser productivos. • El entorno de las amenazas evoluciona como consecuencia de los cambios en el Negocio e IT creando nuevas vulnerabilidades y se tiene mayor “colaboración y creatividad” para encontrar dichas vulnerabilidades y explotarlas. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 4 Contexto Actual Desaparecieron las Fronteras - Aparecieron nuevas tecnologías BYOD Redes Sociales Cloud Mobile Streamming © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 5 Contexto futuro © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 6 Cyber riesgos Preocupación de los CFOs’ • Los cyber ataques se han instalado en la lista de los riesgos que más preocupan a los CFO (según la encuesta de Deloitte CFO SignalsTM ) . • Hace cuatro años cuando se lanzó la encuesta, los cyber- riesgos eran raramente mencionados, cuando hoy día son citados rutinariamente. • Los CFO se encuentran cada vez más preocupados por los cyber ataques. • Ese cambio en el modo de pensar tiene su correlación en la frecuencia y costos de los cyber ataques. 3,5 Millones de dólares es el costo promedio de una filtración de información Es la probabilidad que una Compañía sufra una filtración material (10.000 registros o más) 15%22% Más que el año anterior Ponemon Institute’s “2014 Cost of Breach: Global Analysis” © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. en los próximos 24 meses 7 Cyber seguridad Se focalizaron los ataques © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 8 Arquitectura Global de Identidades Accesos inadecuados: Cuentas huérfanas y privilegiadas Users Business Partners SOA ESB WS Gateway Robo de información: Ataques por malformaciones de paquetes Middleware and Apps HR DBs Legacy Apps Terminal Emulation Internal Apps “Fat” Clients App-specific Datastores Enterprise-wide Datastores Employees, Contractors, etc. Citrix / WTS Java, .NET, etc. Enterprise Apps Identity Store(s) Local Apps Portlets HTTP Server Web Browsers Portal Customer Java, .NET, etc. Wep Apps Portal HTTP Server Cloud Web Apps (standalone) Mobiles and Tablets Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles Desktop / Client Connection © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. HTTP (incl. SOAP/ HTTP) Connection Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles Envío de contraseñas Desdoblamiento de repositorios Confianza Web Services Connection Security Policy Repository Desktop / Client Connection Local Identity and Policy Stores 9 Arquitectura Global de IAM Users Business Partners SOA ESB WS Gateway IDENTIY GOVERNANCE Middleware and Apps HR DBs Legacy Apps Employees, Contractors, etc. Terminal Emulation Internal Apps “Fat” Clients App-specific Datastores Enterprise-7 Datastores Citrix / WTS Java, .NET, etc. Enterprise Apps Identity Store(s) Local Apps Portlets HTTP Server Web Browsers Portal Customer Java, .NET, etc. Wep Apps Portal HTTP Server Cloud Web Apps (standalone) Mobiles and Tablets ACCESS MANAGEMENT Desktop / Client Connection © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. HTTP (incl. SOAP/ HTTP) Connection ACCESS MANAGEMENT Web Services Connection Security Policy Repository Desktop / Client Connection Local Identity and Policy Stores 10 Módulos IAM IDENTITY MANAGER Identity Manager ofrece la gestión de identidad, que permite a las organizaciones simplificar la gestión del ciclo de vida de la identidad y garantizar el acceso desde cualquier dispositivo para todos los recursos de la empresa. ACCESS MANAGER Es la solución de seguridad encargada de proteger aplicaciones, datos, servicios web y servicios basados en nube. Construido en una arquitectura moderna entrega la flexibilidad para implementar una solución completa brindando autenticación, inicio de sesión único, autorización, federación, inicio de sesión social y móvil, propagación de identidad, y autentificación basada en riesgos y autorización en el perímetro de la red. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. La solución permite a los administradores de IT trabajar en los sistemas de la empresa sin exponer contraseñas administrativas. Específicamente administra, controla y graba todas las actividades de los administradores con privilegios en los distintos ambientes. USUARIOS PRIVILEGIADOS GOVERNANCE Fortalece la gestión de los roles y simplifica el proceso de gestión del ciclo de vida de roles y certificación de acceso. Permite la realización de actividades de descubrimiento de accesos a través de minerías de roles. 11 Plataforma de Identidades Extendida Asegurar las aplicaciones de la Compañía y los datos en los dispositívos móviles. Asegurar los servicios de accesos para la Economía de APIs. Servicios de identidad para y en la nube. Automatización de Identidades y Gobierno Empresarial. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 12 Access Management Framework General Authentication Integrated Strong Intelligent Risk Authentication Based Authentication Authorization Real Time Mobile and API External Security Policies RESTful Interfaces API Management Federation Standards Based Social Platform Common Policy Model Standards Bases Approach Cloud Apps © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. Desktop Apps Scalable High Availability and DR Enterprise Apps Authentication Plugin Framework Mobile Apps 13 Access Management Características generales • Simplifica el Web Single Sign On (WebSSO). • Posibilita mejoras en la autenticación y autorización. • Administración de Políticas centralizada. • Administración avanzada de sesiones. • Administración centralizada de agentes. • Administración nativa de contraseñas. • Integración con esquemas de autenticación de Windows. • Auditoría y registración de eventos. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 14 Users Business Partners SOA ESB WS Gateway Tendencia Autenticación Fuerte y Adaptiva Middleware and Apps HR DBs Legacy Apps Employees, Contractors, etc. Terminal Emulation Internal Apps “Fat” Clients App-specific Datastores Enterprise-wide Datastores Citrix / WTS Java, .NET, etc. Enterprise Apps Identity Store(s) Local Apps Portlets Web Apps (standalone) Mobiles and Tablets Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles Desktop / Client Connection © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. HTTP (incl. SOAP/ HTTP) Connection Web Services Connection HTTP Server Web Browsers Portal Customer Java, .NET, etc. Wep Apps Portal HTTP Server Cloud Security Policy Repository Desktop / Client Connection Local Identity and Policy Stores 15 Access Management Adaptive Access Management El acceso adaptativo básicamente permite mejorar los esquemas de autenticación y evitar la ocurrencia de fraudes. • Incrementa la seguridad en la autenticación de usuarios (dispositivos virtuales, Knowledge-Based Authentication, OTP, device fingerprint, etc). • Métodos de desafío basados en riesgos. • Administración de políticas centralizado. • Análisis y correlación de eventos. Authentication Authorization • Integración con IAM. Intelligent Risk Integrated Strong Authentication Based Authentication © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. Real Time External Security Policies 16 Acces Management Adaptive Access Management Otras Características: • Auto-learning, crea un perfil base del usuario y detecta anomalías en base al mismo. • Motor de Políticas configurable. Interactive authentication or federation token • Herramienta de análisis de fraudes. • Tableros de indicadores. • Disparador de alarmas. • Reportes. User or IDP Context and Credentials Device identity Location Actions Security Token Service Analytics/Rule Engine Allow and issue token Allow to target application Threat intelligence Deny Step-up Application Authentication information © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 17 Users Business Partners SOA ESB WS Gateway Federación Middleware and Apps HR DBs Legacy Apps Terminal Emulation Internal Apps “Fat” Clients App-specific Datastores Enterprise-wide Datastores Employees, Contractors, etc. Citrix / WTS Java, .NET, etc. Enterprise Apps Identity Store(s) Local Apps Portlets HTTP Server Web Browsers Portal Customer Java, .NET, etc. Wep Apps Portal HTTP Server Cloud Web Apps (standalone) Mobiles and Tablets Envío de contraseñas Desdoblamiento de repositorios Confianza Desktop / Client Connection © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. HTTP (incl. SOAP/ HTTP) Connection Web Services Connection Security Policy Repository Desktop / Client Connection Local Identity and Policy Stores 18 Access Management Federación Permite autenticar usuarios entre distintos dominios y/o compañías a través de tokens o “assertions”, sin tener que exponer las contraseñas o todos los atributos de la identidades. Permite compartir algunos atributos entre distintos dominios/Compañías Identity Provider Service Provider • • • • Autentica a los usuarios Mantiene la custodia de las identidades Comparte atributos de la identidad (opcionalmente) © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. • • Federation Standards Based Social Acepta tokens o assertions del IP También se lo denomina Relying Partner Permite el ingreso a la aplicación 19 Access Management Federación Beneficios • • • • • Facilidad para los usuarios (sso) Minimizar los costos de administración de usuarios. Permitir nuevos negocios y aplicaciones. Integración con Socios de Negocio. Mitigar riesgos. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. Limitaciones • • • • Cumplimiento. Aplicaciones y protocolos existentes. Estructuras Organizacionales. Capacidades del Socio de Negocio. Federation Standards Based Social 20 API Management Tendencia Users Business Partners SOA ESB WS Gateway Robo de información Ataques por malformaciones de paquetes Middleware and Apps HR DBs Legacy Apps Terminal Emulation Internal Apps “Fat” Clients App-specific Datastores Enterprise-wide Datastores Employees, Contractors, etc. Citrix / WTS Java, .NET, etc. Enterprise Apps Identity Store(s) Local Apps Portlets HTTP Server Web Browsers Portal Customer Java, .NET, etc. Wep Apps Portal HTTP Server Cloud Web Apps (standalone) Mobiles and Tablets Desktop / Client Connection © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. HTTP (incl. SOAP/ HTTP) Connection Web Services Connection Security Policy Repository Desktop / Client Connection Local Identity and Policy Stores 21 Acces Management Seguridad en APIs Los vectores de ataque más comunes pueden dividirse en las siguientes tres categorías: Parámetros • Explotan los datos enviados dentro de las APIs, incluyen URL, parámetros de querys, HTTP Headers, y/o contenido POST. Identidad • Explotan las debilidades en la autenticación, la autorización y registro y seguimiento de sesiones. Man-in-the-middle • Interceptan mensajes legítimos de transacciones y explotan los datos que no se encuentran firmados y/o encriptados. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 22 Acces Management API Gateway Security Permite la administración, desarrollo, implementación y operación de APIs incrementando la seguridad y el cumplimiento regulatorio a través de capacidades de autenticación, autorización y auditoría. Posibilita a las Compañías estandarizar las APIs y el servicio de entrega con seguridad, performance y alta disponibilidad. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 23 Acces Management API Gateway Security Características: • Autenticación y autorización (protocolos como SAML, Oauth, XACML, etc.) • Securización de los mensajes (SSL, encripción.) • Protección ante ataques (DoS, mensajes malformados, sqlinjection, etc.) • Orquestación, mediación y transformación de mensajes. • Integración con servicios de cloud, mobile e identidades sociales. • Análisis y monitoreo. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 24 Identity Governance Users Business Partners SOA ESB WS Gateway Accesos inadecuados Cuentas huérfanas Middleware and Apps HR DBs Legacy Apps Employees, Contractors, etc. Terminal Emulation Internal Apps “Fat” Clients App-specific Datastores Enterprise-wide Datastores Citrix / WTS Java, .NET, etc. Enterprise Apps Identity Store(s) Local Apps Portlets HTTP Server Web Browsers Portal Customer Java, .NET, etc. Wep Apps Portal HTTP Server Cloud Web Apps (standalone) Mobiles and Tablets Accesos de Cuentas Privilegiadas Desktop / Client Connection © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. HTTP (incl. SOAP/ HTTP) Connection Web Services Connection Security Policy Repository Desktop / Client Connection Local Identity and Policy Stores 25 Identity Manager Funcionalidad Presentation Identity Manager automatiza la administración de los usuarios en los recursos de la Compañía. Permite administrar todo el ciclo de vida de las personas, desde el ingreso hasta la salida. Data Administrative and End-User Interfaces Business Logic Identity Repository Roles Audit Repository Rules Policy Evaluation Engine Workflow Policy Store Integration Entitlement Catalog Authoritative Sources and Target Systems © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 26 Identity Manager Principales Características 1 2 3 4 Repositorio central de identidades Autogestión (contraseñas y accesos) Conectores Workflows de autorización © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 27 Role Management Principales Características Ciclo de vida de roles Minería de roles Segregación de funciones Certificación de accesos © 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 28 Usuarios privilegiados Mediante las siguientes funcionalidades, la solución de gestión de usuarios privilegiados permite conocer las actividades realizadas por usuarios con privilegios administrativos en los recursos de la empresa: AUDITORIA Y REPORTES • Servicio de auditoría de Windows. • Filtrado automático de datos para cumplimiento continuo. • Notificaciones automáticas. • Flujos de trabajo. • Restricciones ACL. 4 3 2 1 GESTIÓN DE POLÍTICAS • • • • Consola administrativa WEB. Refuerzo mediante políticas y grupos de WINDOWS. Librerías y comandos reutilizables. Estructura de reglas heredada. ANÁLISIS DE RIESGO • Análisis detallado con rating de riesgo por código y color. • Grabación de sesiones UNIX, Linux y Windows. SEGURIDAD • Gestión de usuarios privilegiados multiplataforma. • Remote Desktop Proxy (RDP) Seguro. • Autenticación a través de Active Directory y LDAP. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 29 Las Compañías y sus CxO están luchando batallas de larga duración, con múltiples frentes de ataques y donde la victoria es difícil de medir. Para tener alguna oportunidad de ganar estas CyberGuerras, como CxO se deben entender determinadas realidades… © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 30 Cyber Seguridad Realidades 1 2 3 4 5 SU RED DE INFORMACIÓN VA A SER COMPROMETIDA Desafortunadamente, es inevitable que su Cía. sea atacada. Si opera una red de información, no es posible tener cero riesgo y 100% de seguridad. LA SEGURIDAD FÍSICA Y LA CYBERSEGURIDAD SE ENCUENTRAN MUY VINCULADAS Mientras que amenazas como espionaje, robo de propiedad intelectual, fraudes, ciberterrorismo pueden involucrar filtraciones de seguridad, las mismas pueden originarse con un acceso físico. LOS DAÑOS POR CYBER RIESGOS VAN MÁS ALLÁ DE LO ECONÓMICO Mientras que el costo promedio de una filtración de seguridad puede estar bien documentado, los efectos a largo plazo sobre la reputación de la Compañía y la Marca pueden incrementar dicho costo. Muchas Compañías están considerando la contratación de Cyber Seguros para limitar dichos costos. TODO NO PUEDE SER PROTEGIDO DE LA MISMA FORMA Después de todo, cada pieza de información no es de la misma importancia. Se debe crear una categorización o jerarquía de la información de manera personalizada para la Compañía y la industria. Y en dicho proceso son los CFOs’ quienes pueden tomar mejores decisiones respecto de cómo priorizar las protecciones y monitoreos. LAS DEFENSAS PROBABLEMENTE SON SUFICIENTES Las Cías. continúan invirtiendo fuertemente en el aspecto de la protección de la CyberSeguridad (más FW, IDS, etc) . Las protecciones son probablemente tan buenas como se necesitan pero los hackers pueden que ya se hayan infiltrado. Se debe focalizar más en la detección y monitoreo de ataques y sus respuestas y resiliencia. © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 31 ¡Muchas gracias! © 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 32 Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro. Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias. Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes, aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 200,000 profesionales, todos comprometidos a ser el modelo de excelencia. Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en, y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México, bajo el nombre de “Deloitte”. Esta publicación es únicamente para distribución y uso interno del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus respectivas afiliadas (en conjunto la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de la pérdida que pueda sufrir cualquier persona que consulte esta publicación.