La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Sistemas de Información

Publicada porOdalis Balan Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Sistemas de Información"— Transcripción de la presentación:

0 Seguridad Un caso real sobre Gestión de identidades
Madrid, Marzo de 2.006 Juan Ignacio Gordon

1 Sistemas de Información
Contexto 12E34H5 NEGOCIO Sistemas de Información Seguridad Clientes Empleados intranet Empleados Exterior Colaboradores Administradores Auditores

2 ¿Cómo está mi gestión de identidades?
Seguridad Normativa ISO 17799, SOX, Basel II Políticas Cumplimiento legal LOPD Gestión de identidades ¿Qué riesgos estoy asumiendo? Sistemas Aplicaciones Plataformas Infraestructura ¿Quién tiene acceso? ¿A dónde accede? ¿Puedo auditar el sistema? ¿Puedo crecer….? ¿Cuánto me cuesta? ¿Cuánto me costará…?

3 Metodología: Dónde y cómo pueden mejorar. Qué puedo esperar del cambio
Generar hipótesis que guíen el análisis Recoger información Comparar con mejores prácticas Analizar y realizar diagnóstico Identificar y cuantificar las oportunidades Definir soluciones y modelo futuro Calcular y validar los beneficios Priorizar y definir el plan de acción Resultados clave de un proyecto A&D Hipótesis Diagnóstico Mejores prácticas Oportunidades de mejora Estrategia Modelo Políticas Soluciones Análisis de riesgos Análisis As-Is Diseño To-Be Desarrollo de capacidades Programa de Cambio Recomendaciones Lógica Planificación Recursos Responsabilidades Beneficios Costes

4 Situación de partida: Resúmen
Fortalezas Existen políticas de seguridad correctas y extendidas Se han desarrollado normas, procedimientos y órdenes de trabajo adecuadas y de obligado cumplimiento Se cumple con la legalidad LOPD Existen controles Debilidades Existe gran dificultad para implantar y aplicar las políticas Es muy difícil y costoso ejercer la actividad de control Se actúa siempre a reacción No es posible hacer previsiones realista La gestión es muy costosa e ineficiente El mantenimiento (técnico y legal) es más difícil cada día y no guarda proporción con los resultados obtenidos

5 Debilidades encontradas
Gestión Ineficacia / costes Gran complejidad Distintos puntos de entrada de la información sin interrelacionar Distintos usuarios y contraseñas para un mismo recurso Diferentes interfaces de administración según sistema Entrada de datos manual. Repetición de operaciones por error Incumplimiento de Políticas (atributos sin normalizar) Alto volumen de cuentas y atributos Alto porcentaje de cuentas sin conciliar (huérfanas) Sincronización de la información muy compleja (scripts). No se utilizan las posibilidades tecnológicas en la automatización e información de los procesos (Workflows, , mensajes, web, …) Coste alto de Administración Número alto de incidencias en CAU Imposibilidad de aplicar diferentes políticas Imprescindible presencia física de administradores o responsables para la realización de las funciones Mucho tiempo de espera en las altas y descontrol en las bajas Incapacidad de ejercer control de acceso y Auditoría Evolución difícil (cuantos más servicios mayor complejidad y coste exponencial) Procesos actuales de sincronización 36 procesos de carga más de la mitad con 2 o 3 subprocesos Aproximadamente 100 atributos / campos para un esquema global Una media de 20 atributos por proceso Necesidad de desarrollar aplicación web con diversos interfaces Estimación esfuerzo inicial 32 meses hombre a realizar en 8 meses

6 Requisitos Cumplimiento legal Eficacia Gestión
Obtención de las listas de usuarios y permisos Automatizar los cambios periódicos de contraseñas Asegurar la correcta definición de las cuentas según política de seguridad Asegurar el acceso correcto a los datos según perfiles profesionales Controlar el acceso a los sistemas y registro Controlar el uso adecuado de los identificadores Amplio control de acceso y Auditoría Utilizar la tecnología actual para facilitar la comunicación Liberar de actividad rutinaria a perfiles de administración por la utilización de interfaces únicas de Gestión Reducir drásticamente las incidencias debidas a cambios de contraseñas. Incremento del autoservicio Potenciar la aplicación extensiva de las políticas y el control de aplicación Desarrollo al máximo de la Gestión basada en WorkFlow (ciclo de validación) Altas inmediatas para los valores estándar. Bajas automáticas Facilitar los nuevos desarrollos en el marco común Un solo punto de entrada, una interfaz única y basada en Web Usuarios personales Unificación y sincronización de la información automática Minimizar las entradas manuales potenciando los valores por defecto Normalización de atributos y nombres Procedimientos automáticos de conciliación de cuentas Posibilitar la delegación de funciones Conciliación de cuentas

7 Modelo de procesos candidatos muy complejos
BUSINESS OBJECTS LDAP LDAP SAVVION NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al PSEUDOREPLICA Altas y Modificaciones NAMES2 Réplica Notes 2a 2b 1 3 x1 7 11 13 4 9x 11v 10v UPDATELD NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA Altas y Modificaciones NAMES2 Directorios intranet Réplica Notes 2a 2b 1 3 x1 6 11 8s 9s 10s 11s 13 4 9x 11v 10v DIRECTORIO INTRANET RRHH ACI 1 2a MACROCARGA Notes Solicitudes al MADN 3 3 1 2b Notes MADN Notes 11v 8s 9s 10s 11s 4 SOLICITUDES PSEUDOREPLICA Notes por fichero FTP 10v 11v Notes Modificaciones Altas 10 9 LWPS Business Objects NAMES2 Notes CI Notes 14 Modificaciones 11 13 Réplica Notes 9c NAMES UDB Notes BBDD LWPS por fichero FTP BBDD LWPS UDB NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA Altas y Modificaciones Business Objects LWPS NAMES2 CI Modificaciones Réplica Notes Altas 2a 2b 1 3 x1 11 10 9 8s 9s 10s 11s 13 4 9x 11v 10v 9c LG SPACE NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA NAMES2 Learning Space Réplica Notes 2a 2b 1 3 x1 8 11 8s 9s 10s 11s 13 4 9x 11v 10v NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA NAMES2 Réplica Notes 2a 2b 1 3 x1 11 8s 9s 10s 11s 13 4 9x 11v 10v 14 Modificaciones

8 Estudio primera alternativa
Generar hipótesis que guíen el análisis Recoger información Comparar con mejores prácticas Analizar y realizar diagnóstico Identificar y cuantificar las oportunidades Definir soluciones y modelo futuro Calcular y validar los beneficios Priorizar y definir el plan de acción PROPUESTA: Alternativa 1. Inicio. Abstracción de orígenes de información para sincronización 1.1.- Altas de empleados y colaboradores externos desde las fuentes origen (RRHH,…) 1.2.- Datos que han sido procesados por L.Notes 1.3.- Desarrollo de formularios en entorno web para peticiones de altas o modificaciones. Abstracción de destinos desde el repositorio central 1.- Procesos de salida desde repositorio central hacia al resto de fuentes 2.- Resto de procesos (dentro del entorno Lotus Notes), se consideran internos al propio sistema Lotus Notes. Fuente: Capgemini Delivery

9 Primera alternativa REPOSITORIO ÚNICO METADirectorio *1 *3 *2 CI
Centro Información MACROCARGA Notes UPDATELD Notes Learning Space Leyenda Agentes de transformación Repositorios de información BBDD DB2/UDB NAMES2 ACI RRHH Solicitudes al MADN Savvion LDAP Directorios intranet Tlf. Móviles SOLICITUDES 8s 9s 10s 11s NAMES TA x1 9x PSEUDOREPLICA BBDD LWPS UDB LWPS REPOSITORIO ÚNICO METADirectorio Business Objects CI 1 2a 2b 3 4 6 7 8 9 9c 10 14 10v 11 11v 13 12 Aplicaciones sincronizadas vía metadirectorio TlfosMóviles Formularios a mantener en entorno web *1 *3 *2

10 Insuficiente alcance respecto al modelo futuro
Gestión de Identidades Admón. Usuarios METADIREC. VIRTUAL METADIRECTORIO ? ? ? ? ? ? ? ? Directorio Centralizado Múltiples Directorios Provisión de usuarios Directorios Virtuales Políticas basadas en provisión Políticas de seguridad Procesos de flujo de trabajo Gestión de Identidades delegada Autoservicio de usuarios Join Engine verificación

11 Propuesta ajustada al modelo: Nuestro objetivo
Fase I: Gestión de identidades con Tivoli Identity Manager (TIM) Fase II: Web Single Sign On: Por decidir Fase III: Single Sig On: Actualmente no contemplado Fuente: IBM WorkFlow Gestión de políticas Gestión de Identidades Cuentas de Usuario Gestión de Contraseñas Sincronización de Datos Informes Auditoría Gestión de Listas

12 Muchas Gracias por su atención

Descargar ppt "Sistemas de Información"

Presentaciones similares

Auditorías - ISO 10011 Fecha: 02.05.2001 Jornada UNED.

Auditorías - ISO Fecha: Jornada UNED.
Reunión de las Comisiones Sectoriales de la CRUE: TICs y Secretarios Generales Universidad de Córdoba, 12 y 13 de Marzo de 2009 Juan Ignacio Ferraro García.

Reunión de las Comisiones Sectoriales de la CRUE: TICs y Secretarios Generales Universidad de Córdoba, 12 y 13 de Marzo de 2009 Juan Ignacio Ferraro García.
ISO 9004:2000 ENFOQUE A PRECESOS.

ISO 9004:2000 ENFOQUE A PRECESOS.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Unidad III Sistemas de gestión de la calidad ISO 9000

Unidad III Sistemas de gestión de la calidad ISO 9000
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.

Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
Comprimido ARCHIformativo

Comprimido ARCHIformativo
La Necesidad de un Ambiente Eficaz de Controles Generales de TI

La Necesidad de un Ambiente Eficaz de Controles Generales de TI
GTT - Gestión del Tiempo de Trabajo

GTT - Gestión del Tiempo de Trabajo
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
FEBRERO 2006. OBJETIVO DE LA SESIÓN Dar una panorama general del contenido del Manual de Planeación de la Calidad, el cual da cumplimiento a la norma.

FEBRERO OBJETIVO DE LA SESIÓN Dar una panorama general del contenido del Manual de Planeación de la Calidad, el cual da cumplimiento a la norma.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Republica Bolivariana de Venezuela U.G.M.A 7mo semestre Ing. Sistema

Republica Bolivariana de Venezuela U.G.M.A 7mo semestre Ing. Sistema
Aseguramiento Calidad

Aseguramiento Calidad
Base de Datos Relacional.

Base de Datos Relacional.
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática

Presentaciones similares

Anuncios Google