1. Ciencia

“La identidad como nueva seguridad
Control de accesos en la nube”
Robertson Pimentel, CISM, CISSP
© 2004-2014. Centrify Corporation. All Rights Reserved.
Sobre Centrify
• Ataca la siguiente problemática:
¿Cómo se gestiona la identidad de manera que se optimice la productividad, se
incremente la seguridad y a la vez bajen los costos de conformidad regulatoria?
• 10 años en el mercado con más de 400 empleados y presencia global
• Tiene un portafolio único que incluye soluciones de control de accesos en la
infraestructura del centro de cómputos, la nube y dispositivos móviles.
• Con apoyo a más de 450 versiones de plataformas operativas y más de 200o aplicaciones.
• Alianzas: Samsung, Microsoft, Apple, RedHat, SAP y más de 250 revendedores.
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
2
Centrify: 5000+ clientes, 97% de retención
B A N K IN G & F IN A N CE
PHA R MA & HEA L TH
DEF EN SE & GO V ER N MEN T
4 del top 10
6 del top 10
Más de 60
instituciones
instituciones
instituciones
financieras
farmacéuticas
federales en EEUU
R ETA IL & IN TER N ET
TECHN O LO GY & TELECO M
A UTO MO TIV E
& ENERGY
Tres de los más
7 de las 12 más
2 de las 4 principales
grandes detallistas
importantes telecos
energéticas
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
3
Sobre mi
• Ingeniero de Sistemas – Universidad Católica Santo Domingo
• MBA – CUNY Baruch College, NY
• Leadership Program - Ford Motor Company
• Product Manager – Intel Corporation
• Especialidad en Control de Accesos e Identidades
• Enfoque Plataformas: Windows, Unix/Linux, SaaS y móviles
• Contacto: [email protected]
• Blog: http://centrifying.blogspot.com
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
4
La identidad – la nueva seguridad
Control de Accesos en la Nube
Objetivo:
Proporcionarles un marco de referencia para entender la gestión
de identidades en la nube y que puedan ejercer la debida
diligencia de control y mitigación de riesgos en el entorno de
aplicaciones SaaS.
Que conozcan qué se necesita para implementar la federación de
aplicaciones, y la diferencia entre federación autenticación.
Que al final de la sesión entiendan el ciclo de vida de una
identidad en la nube y las diferentes opciones como solución
interna, solución IdaaS sus pros y contras.
Que vean 3 ejemplos en acción: Office 365, Salesforce y
GoogleApps
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
5
La identidad – la nueva seguridad
Control de Accesos en la Nube
Agenda
• Motivación – Resumen del reporte Verizon 2013
• ¿Porqué la nube?
• Preguntas básicas al considerar un servicio nube
• Desafíos con la identidad en la empresa híbrida
• Ejemplos del Ciclo: Salesforce, Office365 y GoogleApps
• Las soluciones – pros y contras
• Q&A
• Demo (si el tiempo permite)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
6
Resumen del Reporte Verizon 2013
• Incidentes en el 2013
• En Estados Unidos
• 2,164 incidentes reportados
• Exposición de 822 millones de
registros
• Incluyendo 4 del top 10 de
• Información expuesta
todos los tiempos
• #1 – Data breach de Adobe
(Creative Cloud)
• #3 – Hackers de Corea del
Norte
• #5 – Target
• #10 - Pinterest
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
7
JP Morgan Chase
informó la semana
pasada que fue victima
de un data breach de
más de 76 millones de
registros. Historia en
desarrollo…
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
8
¿Porqué la nube?
• Porque tiene sentido para el negocio
Interactivo: Quienes usan
aplicaciones en la nube?
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
9
Enfoque: Software as a Service
• ERPs (Netsuite, MS Dynamics, SAP, Concur,
etc)
• CRM (Salesforce, MS Dynamics, otros)
• Nóminas (Wordkay, Paylocity, etc)
• Aplicaciones de oficina (O365, GoogleApps,
WebEx, etc)
• Contenido y cooperación (Box, dropbox, etc)
La conversación sobre plataforma (PaaS) o infraestructura (IaaS) tienen aspectos
comunes pero no es el enfoque de esta charla.
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
10
La gestión de riesgo no es opcional
Latam¿?
Está en las noticias
Más Riesgos
Empleados
Usuarios
Privilegiados
APTs y
Malware
Bajos niveles
de auditoría
Activos SaaS
SOX
HIPAA
FISMA
FFIEC
Normativas
NIST 800-53
PCI DSS
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
Activos - Premisas
11
Las reglas son claras y consistentes…
Alta
Baja
Aprovisionamiento
Eficiente
Políticas básicas
Auditoría de acceso y
privilegios
Mínimo acceso
Granularidad de
Privilegios
Separación de
funciones
… independientemente del cliente
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
12
¿Donde empezar? Clasificación de los Datos
Interactivo: Que bien conocen la política de clasificación de datos?
Modelo - Clasificación CIA:
Confidencialidad-Integridad-disponibilidAd de la información del Sistema de 1 a 3.
Sistema
Confidencialidad
Integridad
Disponibilidad
ERP
CRM
Nómina
Email
Cooperación
La respuesta depende de la naturaleza del negocio
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
13
Lista de preguntas para servicios SaaS
• Reputación del vendedor, salud del negocio.
• ¿Quién es el responsable de qué, en caso de un evento de seguridad?
• Infraestructura
• Auditoría y Normativas
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
14
¿Cuáles son las problemáticas?
En Premisas
SaaS
Apps Móviles
Problemáticas
del
departamento
de TI:
• Falta de control y
visibilidad
• No hay
integración con el
directorio
empresarial
Clientes y dispositivos móviles
• Hay que controlar
los móviles
• Complejidad
promueve errores
• Múltiples usuarios
y contraseñas
(duplicidad)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
• Llamadas
Usuario Final:
• Soluciones
fragmentadas
15
Ciclo Completo de Gestión
Gestión basada en
roles (depende de la
aplicación)
Cambio/
Creación
Alta
Al enrolar los dispositivos
móviles automáticamente
se empujan las aplicaciones
empresariales
Licencia/
Autorización
Acceso
Móvil
Reportes de accesos,
intentos fallidos, cuentas
no usadas, creación de
reportes
SSO/
MFA/IWA
Monitoreo/
Reportería
Baja
Un empleado
con cuenta no
implica acceso a
la aplicación
Aplique los correctos
atributos de licencia y
roles dentro de la
aplicación
(afecta el $$$)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
Dependiendo de la aplicación,
quizás se necesiten múltiples
factores de autenticación ó
políticas (de red, geográficas, etc).
Baja automática de la cuenta
una vez el usuario deshabilitado
idealmente del directorio
empresarial
16
Ejemplo - Salesforce
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
17
Ejemplo – Office 365
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
18
Ejemplo: Google Apps
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
19
Las Soluciones – infraestructura interna
• Características
• Beneficios
• Desafíos
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
20
Implementación de Federación
•
•
•
•
La federación y la autenticación son capacidades distintas
En autenticación un cliente o aplicación se autentica contra un directorio
Durante el esquema de federación una aplicación (o la parte que confía),
utiliza una relación preestablecida (acuerdo de federación) con un
proveedor de identidades (IDP) para validar una afirmación (sobre un
individuo u aplicación).
Mínimo – certificado digital + URL + formato de afirmación (atributo)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
21
Las Soluciones – usando un IdaaS
• Modelo SaaS aplicado a Identidades
• Diferentes filosofías
• Beneficios
• Desafíos (dependiendo de la filosofía)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
22
En conclusión…
• En el 2013 la tendencia de los ataques se enfoca en credenciales (en vez de tarjetas)
• Las aplicaciones SaaS en la nube extienden las fronteras de la empresa más allá de su
centro de datos.
• El beneficio de estas aplicaciones es implementación rápida, eficiencias y otros
beneficios comerciales
• La postura de riesgo en la nube cambia con enfoque a los controles de acceso.
• Para empezar, parta de la política de clasificación de datos. Varía dependiendo de la
empresa.
• Una estrategia completa se implementa en todos los puntos finales (incluyendo
móviles)
• El ciclo de vida de una identidad depende de la aplicación, pero puede incluir alta, baja,
cambio, licenciamiento, roles, MFA, monitoreo y reportes.
• La sincronización y la federación son componentes de la solución. Federación y
autenticación son capacidades diferentes pero el personal de IT las confunde
• La rama IDaaS asiste en el cumplimiento y mitigación de los riesgos asociados, sin
embargo la elección del proveedor no deja de requerir escrutinio.
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
23
Preguntas y Respuestas
© 2004-2014. Centrify Corporation. All Rights Reserved.
Demo
(si el tiempo permite)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
25
Gestión de Identidades Integrada para
SaaS y Móviles
Identity
Management
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
26
Capacidades de Centrify User Suite
Inicio de Sesión
Automática (SSO)
Identidad
Hibrida
Suministro
(Altas/Bajas/Cambios)
Proporciona SSO a más de 2500
aplicaciones SaaS predefinidas y
en sus premisas.
Se integra a su Directorio Activo sin
replicación externa; y proporciona
identidades en la nube para uso con
terceros como socios y contratistas.
Suministro (alta/baja/cambio)
para la creación de cuentas,
gestión de licenciamiento SSO y
baja de usuarios.
Gestión de
Dispositivos Móviles
Políticas y Múltiples Factores
de Autenticación
Construido Para
Las Grandes Empresas
Políticas granulares por
aplicación y múltiples factores de
autenticación
Asistencia Global 24x7 con data
centers regionales, y localizado
en más de 15 lenguajes.
Gestión de Dispositivos,
Contenedores y Aplicaciones
móviles (MDM), (MAM)
| Ide ntify. Unify. Ce ntrify.
© 2004-2014. Centrify Corporation. All Rights Reserved.
27
Gracias!
Visite nuestro booth!
© 2004-2014. Centrify Corporation. All Rights Reserved.