IBM Forum El valor de la gestión de Identidades MORSE 02 de Marzo de 2006 Morse is a technology integrator. We've been established for 20 years and employ 1,100 staff across Europe, well over half of whom are involved in devising and delivering providing professional services for our customers.   This presentation includes an overview of the issues we see facing customers today, and discusses the framework and skills we use to help them manage costs and to improve the efficiency of their IT investment. 1 29/03/2017

Agenda Los tópicos en gestión de identidades revisados Caso práctico real Un paso atrás, para tener más perspectiva Visión global integrada 2 29/03/2017

El valor de la gestión de identidades, los tópicos: REVISED …. El objetivo de esta parte es hacer una revisión de implantación de la solución centralizada de usuarios Tim en BdE. 3 29/03/2017

La problemática de la gestión de seguridad Costes elevados en la administración de seguridad Falta de información sobre qué usuarios pueden acceder a qué recursos, y si la realidad está alineada con las políticas establecidas Los usuarios tardan mucho en estar habilitados en los diferentes entornos Gestión de contraseñas es cada vez más difícil a medida que incrementa la complejidad del entorno La seguridad de las aplicaciones propietarias es inadecuada y cara Es necesario limitar el acceso a información de carácter personal en los sistemas, para poder cumplir con la LOPD Es necesario un mayor control para poder cumplir con las auditorías de seguridad La información sobre identidades está repartida en muchos repositorios y no es coherente Existen muchas fuentes de alertas de seguridad que no aportan información útil y manejable 4 29/03/2017

El coste de una gestión de Identidad deficiente Gestionar Identidades en una empresa es un proceso complejo y de gran carga para los administradores Nuevo usuario establecido Usuario productivo Desplegar nuevas iniciativas Deshabilitar usuarios/ iniciativas Habilitar nuevo usuario 29% de compañias ven el despliegue e-business a los clientes como la preocupación número 1 Tiempo necesario hasta 12 dias Help Desk cuesta 20$ por llamada para pw resets Hasta el 20% del tiempo de desarrollo en app. para control de acceso 30-60% de cuentas existentes son inválidas Proceso aprobación manual Habilitación manual de cada cuenta de usuario Multiple logins Multiple Help Desk calls for password resets and account updates Código de seguridad escrito en cada aplicación Habilitación manual y actualización de derechos en cada recurso Cada cuenta de usuario gestionada manualmente Our first of two investment areas looks at how we manage security policy across the entire user lifecycle. The business problems appear in the ‘gaps’ – that is, as we try to map the policy consistently across an increasingly heterogeneous environment. For example, because new users must access several resources, and generally security rights are managed within each resource, users end up having to login multiple times. This not only lowers user productivity and satisfaction, but also increases our help desk costs, since users will forget a password much more often when they have 10 passwords vs. a single one. These pains hit the three key groups involved with our IT systems – users, admin, and developers. We’re going to talk about how our investments in this area help the identified business problems that each group faces. Mas tiempo para que el usuario sea productivo Costes administrativos mas altos Productividad y satisfacción mas bajos de los usuarios Costes de Help-desk mas altos Costes de desarrollo mas altos Mas tiempo en desarrollo Muchos incidentes de cuentas huerfanas 5 29/03/2017

Arquitectura de la gestión de identidades REPOSITORIOS DIRECTORIOS METADIRECTORIOS BASES DATOS SEGURIDAD AUTENTICACIÓN AUTORIZACIÓN AUDITORÍA VALOR SSO AD.DELEGADA PWD. SYNC WEB-SSO AUTOSERVICIO COLABORACIÓN LIBERTY WS* SAML SERVICE ORIENTED ARCHITECTURES CICLO DE VIDA PROVISIONING WORKFLOW RECONCILIACIÓN 6 29/03/2017

El modelo de provisionamiento attr Service (Resource) User Role Provisioning Policy Un role es una colección de usuarios con una responsabilidad común Los roles pueden ser estáticos o dinámicos Los roles dinámicos están definidos sobre atributos LDAP El provisionamiento está basado en la pertencia a un role Las Provisioning Policy gestionan a los miembros de un role y pueden llegar a definir atributos de un usuario A Provisioning Policy defines which roles are provisioned to which resources. A Provisioning Policy can be defined to provision accounts automatically. For example, a member of a Human Resources role would automatically be provisioned to PeopleSoft and Active Directory Provisioning Policies allow more than just accounts to be created, they can also define attributes to be populated for a given account. More importantly, attributes are most importantly the exact authorities the user is for which the user is entitled with the account. This is alwasy proprietary. TIM is designed to do this job 100%. No administrator need follow-up and complete the account definition. 7 29/03/2017

La Reconciliación compara “Qué es” con “Qué debería ser” User Service (Resource) Role Provisioning Policy La reconciliación es un proceso de comprobación de las políticas definidas (p.e. atributos en un servicio) IM puede hacer “roll back” de cambios no autorizados La reconciliación identifica cuentas huérfanas Adopted, suspended, restored or de-provisioned Reconciliation is the process of comparing “what is” to “what should be” TIM keeps a record of all person, account, role, and provisioning policy information in an LDAP directory. This LDAP directory becomes a “system of record”. By storing information in this way, TIM knows what access (I.e. what groups/attributes should be assigned) to each user for each backend system. The LDAP directory provides the “what should be” part of reconciliation. Conversely, if a user or administrator makes a change to a user’s account directly on the backend system without using TIM, reconciliation identifies those changes (the “What is” part of reconciliation). If “What is” does not match “What should be”, reconciliation identifies the differences. TIM can take 1 of 3 actions when a discrepancy is found: “rollback” the changes – Example: if a user is improperly granted admin access by a local administrator via the native platform console, recon can detect this change and restore the users account to its original state accept the changes suspend the account for further review THIS IS AN IMPORTANT POINT: ** Some vendors claim to have a function called ‘reconciliation’. However, in most cases, that ‘reconciliation’ function is simply used to import an account into the provisioning system TIM’s reconciliation function is much more advanced. Only TIM can “rollback” changes to an account and restore it to the correct state. It is this feature which allows customers to deploy TIM and still use their native administration tools. Many provisioning solutions require customers to disable their native admin tool. Reconciliation also provides the ability to identify orphan accounts. Orphan accounts can be adopted, suspended, restored or de-provisioned. You might also point out that not all systems need the same level of recon, sometimes the end-point can be the system of record and TIM told just to keep track of local settings, on the other end of the spectrum are mission critical systems where you want to ensure that processes are not bypassed and setting tampered with, so TIM would monitor and enforce any changes against 'what should be". 8 29/03/2017

Identity Manager Reconocido por los analistas como una solución líder. Fácil configuración y adaptación a entornos existentes. Amplio soporte de aplicaciones y plataformas. Add-ons propios y de terceros, enorme aportación de valor. Entorno seguro y escalable. Experiencia en instalaciones a nivel mundial. 9 29/03/2017

El valor de la gestió de identidades, caso práctico: Valor demostrado ….. El objetivo de esta parte es hacer una revisión de implantación de la solución centralizada de usuarios Tim en BdE. 10 29/03/2017

Fases del proyecto Fase 1: Análisis Fase 2: Diseño Fase 3: Implementación Fase 4: A día de hoy Fase 5: El futuro 11 29/03/2017

FASE 1 – ANÁLISIS Algunos factores a tener en cuenta… Legislación Nacional Políticas de Seguridad de IT Situación Actual Tres factores han tenido que ser tenidos en cuenta a la hora de abordar este proyecto: En primer lugar el hecho de que exista en España una ley orgánica sobre protección de información de carácter personal que obliga a la existencia de determinadas medida de seguridad. En segundo lugar la política de seguridad existente en el Banco de España que fija los principios que deben observarse en cuanto a administración de seguridad Por último también tuvo que tenerse en cuenta cual era y es la situación en el Banco en cuanto a administración de seguridad. 12 29/03/2017

FASE 1 – ANÁLISIS Política de Seguridad de IT.... Cada departamento es responsable de definir y mantener su entorno de seguridad adecuado Principios La administración de la seguridad está descentralizada Política de control de acceso discrecional y basada en Roles Nuestra política de seguridad establece en cuanto a administración de seguridad tres principios: a) Cada Departamento debe establece una estructura organizativa adecuada destinada a garantizar la cumplimentación y observancia de las seguridad. En la práctica esto significa que cada departamento del banco dispone de una estructura específica relacionada con la administración de la seguridad b) La administración de la seguridad es descentralizada, es decir deben existir personas con la responsabilidad de decidir y controlar las autorizaciones que se conceden al personal. A estas personas se les denominan administradores de seguridad y su responsabilidad es decidir quien debe tener acceso a los distintos sistemas de información existentes en el banco. c) La política de control de acceso, discrecional, esta basada en el principio de necesidad para el trabajo y orientada a grupos funcionales. Los permisos se concederán autorizando a usuarios a los distintos elementos de información. No obstante se recomienda que las autorizaciones se concedan analizando las tareas que desempeñan los usuarios y las autorizaciones que se requieren. 13 29/03/2017

FASE 1 – ANÁLISIS Política de seguridad IT Administradores de recursos Actores Administradores de usuarios Derivadas de estos principios se definen una serie de figuras organizativas específicas en relación con la administración de la seguridad con unas responsabilidades asociadas. En la práctica esto se traduce en que en cada Departamento existen: Administradores de usuarios cuyas funciones son la gestión y control de las cuentas asociadas a los empleados: Gestionar la asignación y baja de los códigos de usuarios en las diferentes plataformas Gestionar la inhabilitación, renovación o puesta en primera vez de los códigos de usuarios Analizar las tareas que se realizan en el conjunto de usuarios que administra, analizando las autorizaciones que para ellas se precisan Administradores de elementos, cuya función es gestionar las autorizaciones de usuarios o grupos funcionales de los elementos de información que administra. Estos administradores que podemos denominar de forma genérica de seguridad tienen un conocimiento mínimo sobre las particularidades de las distintas plataformas que gestionan. En el departamento de Sistemas de Información existe la figura del Administrador del sistema de Seguridad cuyas funciones son: Atender a las diferentes cuestiones administrativas y dan soporte en cuanto el mantenimiento de esta estructura de seguridad. Realizar a petición de los administradores titulares las operaciones de administración de seguridad cuando no pueden ser realizadas por ellos mismos. Estos administradores del sistema disponen de un conocimiento escaso de las plataformas que gestionan. Administrador del Sistema de Seguridad 14 29/03/2017

FASE 1 – ANÁLISIS Todo junto … Department X FASE 1 – ANÁLISIS Todo junto … Grp_recursos 1 Grp_recursos 2 Grupo_Users A Grupo_Users B Grupo_Users C Supongamos en el Departamento X tiene un número de empleados y un conjunto de elementos de información a sus disposición. Los elementos pueden ser de diversos tipos: desde transacciones CICS, buzones de correo, carpetas en servidores de ficheros o elementos protegidos dentro de las aplicaciones. Cada departamento agrupará a los usuarios en grupos de usuarios atendiendo a diversos criterios: ubicación física, número de usuarios, etc y para cada uno de estos grupos designará a una persona como administrador de usuarios de este grupo de usuarios. Sus funciones serán (repetir la de antes) Con los elementos sucede algo parecido, los elementos de información se agrupan en conjuntos y para cada uno de estos grupos de elementos se designan a la persona que se encargará de decidir las autorizaciones que pueden ser concedidas. Es el administrador de elementos El administrador de usuarios podrá actuar exclusivamente sobre los usuarios incluidos en su grupos de usuarios. El administrador de elementos podrá actuar sobre el conjunto de elementos que administra pero podrá gestionar las autorizaciones de cualquiera de los usuarios del Departamento. 15 29/03/2017

FASE 1 – ANÁLISIS “Situación de partida” La política está totalmente implementada en su sistema z/OS mediante una aplicación desarrollada internamente. Los departamentos están acostumbrados a: Gestionar y controlar sus cuentas de usuarios. Gestionar y controlar sus recursos de IT. El departamento de auditoria interna está acostumbrado a: Acceder a toda esta información. Auditar las actividades de administración de la seguridad. Esta política de administración de seguridad está totalmente implementada en la plataforma de ordenadores centrales. Para ello hace 13 años se desarrollo una aplicación mediante la cual los administradores de seguridad pueden realizar directamente todas la tareas de administración. En la práctica esto se traduce en que los administradores de usuarios pueden dar de alta y baja cuentas de usuarios en los diferentes subsistemas de ordenadores centrales (TSO, CICS, USS). Pueden inhabilitar, resumir o poner en primera vez las contraseñas de estos usuarios. Además pueden incluir o excluir usuarios de grupos funcionales de forma que con una operación de administración conceden todas las autorizaciones necesarias para desempeñar una tarea. Además disponen de forma instantánea de información sobre las autorizaciones que tienen concedidas los usuarios que administran o sobre las operaciones de administración realizadas. Los administradores de elementos disponen de una transacción mediante la cual pueden conceder y eliminar a usuarios o a grupos funcionales autorizaciones a elementos que administran (transacciones CICS, ficheros MVS, etc.). Además pueden obtener listados sobre la situación en la que se encuentran los elementos administrados. Todas estas funciones en el entorno distribuido tienen que ser realizadas directamente por los administradores de seguridad y deben ser solicitadas al ASS mediante peticiones de trabajo con la consiguiente problemática que ello implica (errores, retrasos, falta de control, etc.). Por otra parte nuestro departamento de auditoria interna hace uso de esta información. Puede tanto consultar las autorizaciones que tienen concedidas los usuarios o los elementos en el entorno de ordenadores centrales o incluso ver con detalle las operaciones de administración realizadas por cualquiera de los administradores de seguridad de cualquiera de nuestros departamentos. En esta situación no es difícil imaginar porque nuestros usuarios nos demandaban soluciones similares a las que ya tenían implementadas en el entorno de ordenadores centrales y nuestros auditores nos reclamaban el mismo tipo de información en el resto de plataformas. Los ASS no precisan disponer de unos conocimientos profundos en RACF y gestionan de una forma muy parecida perfiles de protección de ficheros MVS, Jesppool o transacciones CICS. En este sentido nuestra experiencia dice que es posible que una persona sin ningún conocimiento en Z/OS, RACF o similar pueda en un periodo de 2 o tres semanas empezar a realizar algunas funciones típicas de un administrador de RACF junior. 16 29/03/2017

FASE 2 - DISEÑO Objetivo principal Puntos clave Delegar la administración de las cuentas de los usuarios de los administradores de sistemas a los administradores de usuarios. Provisioning: add/delete, suspend/restore and change password. Granting/Revoking authorization. Auditing. Puntos clave Traducción de los conceptos de los administradores de usuarios y de recursos a TIM, punto de vista de administración. Los usuarios finales de TIM no van a ser personal técnico. Ser capaz de aprovisionar cuentas. Ser capaz de conceder autorizaciones a elementos. Un sistema de auditoría potente. El hecho que el personal usuario final del producto no sea personal tecnico lleva a tener que ocultar las peculizaridades tecnicas de la solución. ACIs. Los ambitos de administración no son transladables. 17 29/03/2017

FASE 3 – IMPLEMENTACIÓN Aprovisionamiento Tipo: Automatic. Entitlement Definition: parámetros básicos de cuenta. 3 CLI 2 Departamento Departamento 1 Grupo Users Now, we are going to have a short description about the solution. Los Aus son los únicos que tienen cuenta en TIM. Todo está registrigido por ACI. Un departamento diferente no puede asignar personas sobre un rol gestionado por otro departamento. Grupo Users 18 29/03/2017

FASE 3 – IMPLEMENTACIÓN Granting/Revoking Authorization 2 Tipo: Automatic Entitlement Definition: específico de grupos 3 CLI Departamento Departamento 1 Grupo Users Grupo Users 19 29/03/2017

FASE 3 – IMPLEMENTACIÓN: Aprovisionamiento + Autorización. Entitlement Definition: parámetros de cuenta Entitlement Definition: grupo A Entitlement Definition: grupo B Entitlement Definition: grupo C Entitlement Definition: grupo D Grupos de cuentas Grupo A Grupo B Grupo C Grupo D .* 20 29/03/2017

FASE 3: IMPLEMENTACIÓN Informes y Auditoria INFORMES / REPORTING Recursos a los que un usuario tiene acceso. Usuarios gestionados por un AU. Diferencias entre TIM y las plataformas nativas AUDITORIA Operaciones de cambio de password. Autorizaciones sobre recursos Grant/Revoke? Informes de TIM Comandos ldapsearch TIM DB 21 29/03/2017

FASE 3: IMPLEMENTACIÓN Alcance 2800 personas. 3900 cuentas Windows sobre 1 Active Directory. 3150 buzones de Exchange repartidos en 2 sites. 1800 cuentas UNIX/DCE en 30 servidores. 1300 cuentas Oracle en 32 instancias. 22 29/03/2017

Fase 4: A día de hoy En producción: Siguientes pasos: 100 % de las unidades de negocio. Siguientes pasos: Crecimiento de los recursos gestionados. Definición de Roles funcionales, nuevos tipos de Roles, Jerarquía. Aumentar el tipo de sistemas gestionados: Windows 2003, ya está hecho. Exchange 2003. SQL Server. Paso de DCE a Kerberos, con IDI. Set up de nuevas funcionalidades de TIM Workflows para aprobaciones y autorizaciones. Integración de TIM y TAM. 23 29/03/2017

Lo que dicen nuestros clientes Se redujo el tiempo para dar de alta usuarios desde más de dos días hasta menos de dos horas. La modificación de permisos a usuarios existentes se realiza en 15 minutos. El personal de TI cualificado puede utilizar su tiempo en actividades mucho más importantes y estratégicas, y no en los problemas de gestión del día a día. La gestión de usuarios puede ser realizada por personal técnico de nivel medio. Se emplea un 40% menos de tiempo en reseteo de contraseñas. La tasa de error ha descendido desde un 10% a prácticamente un 0%, y los administradores de seguridad son capaces de localizar las cuentas huérfanas. Los informes son mucho más sencillos al disponer de información consolidada en un repositorio. Se tiene la seguridad de que sólo las personas autorizadas tienen acceso a datos y sistemas sensibles. 24 29/03/2017

FASE 5: Después de TIM …… y el futuro Mejora continua del sistema de gestión de identidades Otras soluciones de seguridad TIVOLI implementadas: IBM Tivoli Risk Manager IBM Tivoli Access Manager for e-Business IBM Tivoli Access Manager for Business Integrator? IBM Tivoli Access Manager for Operating Systems? 25 29/03/2017

Un paso atrás, perspectiva y visión global integrada: El valor no evidente que aparece…. El objetivo de esta parte es hacer una revisión de implantación de la solución centralizada de usuarios Tim en BdE. 26 29/03/2017

MORSE en España integra los aspectos clave de la seguridad IT Sólo una visión integral de la seguridad, del servicio y de la tecnología puede producir soluciones de seguridad adaptada al negocio Gestión del Servicio Tecnología e infraestruturas Gestión de la Seguridad 27 29/03/2017

Gobierno de la Seguridad Seguridad de la información La gestión de la seguridad de la información es un componente del gobierno corporativo El gobierno corporativo (governance) es el proceso que establece la dirección para asegurar el logro de dos objetivos: Uso eficiente de activos en el negocio actual Disponibilidad de activos para nuevos negocios que maximicen el retorno Aspectos clave de buen gobierno: Obtención de valor y gestión del riesgo Asignación de responsables y medición de resultados No existe un solo marco global aplicable, sino complementarios Gobierno corporativo Gobierno de la Seguridad Seguridad de la información Gobierno IT El buen gobierno está cambiando de un enfoque de mejores prácticas a un enfoque normativo y legal 28 29/03/2017

La gestión del servicio respecto a la seguridad, es una vulnerabilidad Preservar la seguridad de la información Garantizar la continuidad del negocio Proporcionar un entorno de confianza Seguridad de los procesos de negocio Confianza de clientes, empleados y socios Identificación de nuevas oportunidades de negocio Cumplir el marco legal Gestionar y planificar recursos de seguridad en términos de rentabilidad y eficiencia Dar respuestas al negocio Cambiar visiones obsoletas La seguridad es un problema tecnológico La seguridad es un problema de otro La seguridad es un añadido en el diseño de sistemas y procesos Objetivos Retos Retos crecientes 29 29/03/2017

Mejor seguridad requiere integrar y desplegar los componentes de la plataforma de seguridad Gestión de la seguridad de la información (ISO 17799) Gestión de Identidades y Control de Acceso Protección y Contramedidas Gestión de Incidentes y Recuperación Infraestructura segura Evaluación, diagnóstico y auditoría de gestión Análisis y gestión de riesgos Planificación de la seguridad Implantación SGSI Asesoría y formación en seguridad y nuevas tecnologías Sistema de gestión de identidades Sistema de control de accesos Gestión de vulnerabilidades Anti-virus y Anti-spam Seguridad perimetral y cortafuegos de aplicaciones Sistemas de Detección de intrusiones Sistemas de Gestión de incidencias Sistemas de Gestión de políticas Continuidad y Sistemas BRS Disaster recovery Diseño de arquitecturas seguras Consolidación de servidores y almacenamiento Soluciones SBC Consolidación de soluciones de seguridad Auditorías técnicas (sistemas y red) Componentes Soluciones Retos crecientes Es necesario un enfoque de mejora continua para desplegar tal variedad de componentes y soluciones 30 29/03/2017

La visión coordinada genera entornos superiores desde el punto de vista de gestión Infraestructuras de almacenamiento, servidores y redes Consolidación de servidores y almacenamiento Soluciones Thin Client Gestión de datos Business Continuity Soluciones eBusiness Gestión de la seguridad de la información (ISO 17799) Gestión de Identidades y Control de Acceso Protección y Contramedidas Gestión de Incidentes y Recuperación Infraestructura segura Gestión del Servicio de TI (ITIL-BS 15000) Gestión de sistemas y redes Gestión de Incidentes y soporte del servicio Infraestructura Eficiente Tecnología e Infraestructuras Seguridad Leonardo was one of the first scholars to undertake systematic studies on friction, which he called "cofregazione" (rubbing together), sensing its great importance for the operation of machines. He approached and studied various types of friction, distinguishing between sliding and rolling friction. Moreover, he studied pivot friction and experimented on how friction developed as a function of the nature and shape of the contact materials and of the use of lubricants or rollers Servicio 31 29/03/2017

Muchas Gracias 32 29/03/2017

Preguntas 33 29/03/2017

Business-aligned IT helps our customers get more from less Business-aligned IT helps our customers get more from less. We call it ‘A to e’ because getting there is like going on a journey together, one step at a time.   34 29/03/2017