Descargar Presentación

Anuncio
Presentada por:
Ricardo José Gadea
Gerente General
Assertiva S.A.
Agenda

Malas prácticas habituales

¿Por qué Roles?

Enfoque metodológico

La importancia de las herramientas

Caso de éxito

Conclusiones
Un caso de la vida real
3
2
¿Puede demostrar que los
privilegios del usuario X son
los “apropiados”?
CSO
¿Podrías verificar si el perfil
asignado al usuario X es el
“apropiado”?
4
Puedo decirte los permisos
que el usuario posee en este
momento, no sabría si son
los apropiados o no.
5
Auditor
1
¿Estamos cumpliendo con
los requisitos de la
regulación XYZ?
CFO
6
¿Podrías verificar si el perfil
asignado al usuario X de tu
Gerencia es el “apropiado”?
Bueno, tal vez podría si fuera
experto en tecnología. ¿Qué
significan todos esos
códigos?
Gerente
de negocio
Administrador
Un caso de la vida real
3
2
¿Puede demostrar que los
privilegios del usuario X son
los “apropiados”?
El desafío es…
-
CSO
¿Podrías verificar si el perfil
asignado al usuario X es el
“apropiado”?
4
Puedo decirte los permisos
que el usuario posee
actualmente, no sabría si
son los apropiados o no.
Dar la visibilidad necesaria a los decisores de negocio
para que puedan tomar decisiones que afectan el nivel
5 ¿Podrías verificar si el perfil
Auditorde acceso sobre los activos de
información.
asignado al usuario X de tu
1
-
Gerencia es el “apropiado”?
Administrador
Incorporar un proceso continuo que permita revalidar
6 Bueno, tal vez podría si fuera
dichos accesos regularmente.
¿Estamos cumpliendo con
los requisitos de la
regulación XYZ?
CFO
experto en tecnología. ¿Qué
significan todos esos
códigos?
Gerente
de negocio
Descripción de la problemática
 En los modelos distribuidos la administración de la
seguridad exige gran cantidad de tareas manuales y un
alto nivel de especialización.
 La seguridad se administra “clonando” los permisos de
usuarios referenciales.
 Los privilegios que poseen los usuarios tienden a
acumularse y nunca a disminuir.
 Se otorgan nuevos accesos sin una visión alineada con las
necesidades del negocio:
o Tecnología vs negocio
o Problemas de segregación de funciones (SoD)
 Bajo nivel de registro de eventos de seguridad (problemas
de cumplimiento - auditorías).
Agenda

Malas prácticas habituales

¿Por qué Roles?

Enfoque metodológico

La importancia de las herramientas

Caso de éxito

Conclusiones
Administración basada en Roles
Concepto

“Enfoque o principio por el cual el acceso a los recursos
críticos de la compañía está basado en la función o el rol de
las personas, otorgando los permisos suficientes, de acuerdo
las responsabilidades y tareas que estos realizan”.
Rol
•
•
•
•
•
•
Nombre
Ocupantes
Funciones
Tareas
Sistemas
Privilegios
Rol
Usuario
Permisos
¿Por qué Roles?
(cont.)
Resumen de beneficios
Privilegios mínimos
Sólo se asignan al usuario los privilegios mínimos necesarios para
ejecutar la tarea requerida.
Segregación de funciones
Un mismo usuario no puede poseer dos roles mutuamente
excluyentes.
Eficiencia operativa
U=
P=
número de personas ocupando un cargo.
(U + P ) < (U ⋅ P )
número de privilegios requeridos.
n jp
Para todos los cargos:
n jp
∑ (U + P ) < ∑ (U ⋅ P )
i
i
i
i
i
i
Agenda

Introducción a Caja Los Andes

¿Por donde comenzar?

Proceso de Ingeniería de Roles

Resultados obtenidos

Próximos pasos

Conclusiones
Fases del Proyecto
Fases
1
2
3
4
Definición del modelo
Definición del marco de
Gobernabilidad
Implementación del modelo
Puesta en marcha
Actividades
• Diagnóstico de la situación actual (alcance funcional,
tecnológico y procesos).
• Modelo conceptual para definir los alcances y
elementos del Rol como entidad.
• Política general.
• Procedimientos :
• Operación y asignación.
• Análisis, diseño de roles.
• Monitoreo y mantenimiento.
•
•
•
•
Extracción de datos y entrevistas con áreas usuarias.
Análisis y definición de Roles.
Depuración y normalización de usuarios y perfiles.
Generación del catálogo de Roles.
• Inserción del modelo dentro de los procesos de la
organización.
• Implementar una herramienta.
11
Análisis y definición de Roles
Proceso iterativo
Extracción
Consolidación
Entrevistas
Análisis
Reportes
Novedades
de RRHH
Novedades
de Accesos
Roles
definidos
Catálogo
de Roles
Proceso de Análisis de Roles
Análisis de Riesgo
Accesos actuales
Negocio
Privilegios
Cargos y funciones (RRHH)
FUNCIONES
Tecnología
Segregación de funciones
Ingeniería de Roles
El puente entre la tecnología y el negocio
NEGOCIO
Rol Organizacional
Función A
Función B
Función C
Función D
TECNOLOGÍA
Proceso de Negocio A
...
Función N
Proceso de Negocio B
Perfil a
Perfil b
Perfil c
...
Perfil x
Acceso 1
Acceso 2
Acceso 3
...
Acceso m
Acceso 4
Acceso 5
Acceso 6
Acceso 7
Gobernabilidad de Roles
Proyectos
Nuevos
requerimientos
Contratos con
proveedores
Areas usuarias
Cambios
organizacionales
Modificaciones
a los sistemas
RBAC
RRHH
Nuevos
sistemas
Sistemas en
desuso
Ingresos
Tecnología
Cambios de
área
Desvinculaciones
Agenda

Malas prácticas habituales

¿Por qué Roles?

Enfoque metodológico

La importancia de las herramientas

Caso de éxito

Conclusiones
Fundamentos de Access Governance
Relación con GRC y IAM
Governance, Risk
and Compliance
Access
Governance
Role management
Risk assessment
Risk management
IT Controls
Access Certification
SoD
Identity and Access
Management
User provisioning
Single sign-on
Workflow authorization
Web Access Management
Las herramientas en acción
El modelo IAM + SIEM
Gestión de
recursos
Procesos de Negocio
Procesos de
RRHH
Gestión de
incidentes
Controles
Certificación de
accesos
Auditoría
Automatizar
(IAM)
Validar
(SIEM)
Access
Governance
Políticas
Recursos
Acceso
Físico
Directorios
Servidores
Correo
Almacenamiento
Servicios
en la nube
Aplicaciones
Dispositivos
Agenda

Malas prácticas habituales

¿Por qué Roles?

Enfoque metodológico

La importancia de las herramientas

Caso de éxito

Conclusiones
- Una corporación sin fines de lucro.
¿Qué es la Caja de
Compensación
Los Andes?
- 60 años de vida.
-Administra prestaciones de seguridad social del Estado.
- Otorga el 65% de sus excedentes en beneficios
sociales a sus afiliados y familias, de prestaciones
adicionales y complementarias, que aportan a su calidad
de vida.
- 111 Sucursales y 34 oficinas móviles
- 22 Centros Recreacionales, red hotelera mas grande de
Chile
- 3.000.000 de Afiliados al sistema.
- 56% de empresas afiliadas y 62% de personal afiliado.
Visión
Ser líderes en la generación de bienestar social,
mejorando la calidad de vida de las personas
Situación inicial
Datos generales - Cifras
> 50
SISTEMAS
SECUNDARIOS
4500
USUARIOS
AUDITORIAS
> EXTERNAS
> INTERNAS
SUSESO
PEOPLESOFT - ERP/SAP
MENUANDES - FLEXCUBE
SIEBEL - Sistema OPERA
LEGADOS - WEBSERVICES
SLA
72 HORAS
(3 DÍAS)
BLOQUEO
CUENTAS
> 30
AL MENOS 20
CASOS DIARIOS
SISTEMAS CORE
SISTEMAS
AMB AL AÑO
4.200
SISTEMAS
8
LOGS
AUDITORIA O
EVIDENCIA DEBIL
PROCESO AMB
COMPLEJO
LUNES
< 10 VIERNES
32.000
CUENTAS
ADMINISTRADAS
6
ADMINISTRADORES DE
ACCESOS Y APOYO MESA
DE AYUDA IT
Situación inicial
Estadísticas de administración de identidades
 Total requerimientos al año = 4.200 llamados
 Horas de Mesa de Ayuda requeridas = 12.600 horas (3 horas por incidente)
 Tiempo de espera del usuario (3 días x incidente) = 100.800 horas
 Impacto promedio en la productividad del usuario durante la espera = 25%
 Horas netas improductivas = 25.200 horas
Costo Total = Costo de Administración + Pérdida de Productividad del Usuario
Costo Anual Total = USD 300.000
Resultados obtenidos
Estadísticas de Limpieza
Porcentaje de accesos eliminados = 14,4%
Porcentaje de perfiles eliminados = 20%
Catálogo de Roles
Nómina PS No. Cargos No.Roles
Roles vs cantidad
de usuarios
=10%
4186
439
399
Nivel de madurez del control de acceso
Evolución de Caja Los Andes
2015
2013
2012
Costos
2011
Riesgo
Retorno de inversión (ROI)
2014
Agenda

Malas prácticas habituales

¿Por qué Roles?

Enfoque metodológico

La importancia de las herramientas

Caso de éxito

Conclusiones
Un poco de humor
Gracias por asistir a esta sesión…
Para mayor información:
Ricardo José Gadea
Gerente General
Assertiva S.A.
email: [email protected]
Los invitamos a sumarse al grupo “Segurinfo” en
Descargar