Presentada por: Ricardo José Gadea Gerente General Assertiva S.A. Agenda  Malas prácticas habituales  ¿Por qué Roles?  Enfoque metodológico  La importancia de las herramientas  Caso de éxito  Conclusiones Un caso de la vida real 3 2 ¿Puede demostrar que los privilegios del usuario X son los “apropiados”? CSO ¿Podrías verificar si el perfil asignado al usuario X es el “apropiado”? 4 Puedo decirte los permisos que el usuario posee en este momento, no sabría si son los apropiados o no. 5 Auditor 1 ¿Estamos cumpliendo con los requisitos de la regulación XYZ? CFO 6 ¿Podrías verificar si el perfil asignado al usuario X de tu Gerencia es el “apropiado”? Bueno, tal vez podría si fuera experto en tecnología. ¿Qué significan todos esos códigos? Gerente de negocio Administrador Un caso de la vida real 3 2 ¿Puede demostrar que los privilegios del usuario X son los “apropiados”? El desafío es… - CSO ¿Podrías verificar si el perfil asignado al usuario X es el “apropiado”? 4 Puedo decirte los permisos que el usuario posee actualmente, no sabría si son los apropiados o no. Dar la visibilidad necesaria a los decisores de negocio para que puedan tomar decisiones que afectan el nivel 5 ¿Podrías verificar si el perfil Auditorde acceso sobre los activos de información. asignado al usuario X de tu 1 - Gerencia es el “apropiado”? Administrador Incorporar un proceso continuo que permita revalidar 6 Bueno, tal vez podría si fuera dichos accesos regularmente. ¿Estamos cumpliendo con los requisitos de la regulación XYZ? CFO experto en tecnología. ¿Qué significan todos esos códigos? Gerente de negocio Descripción de la problemática  En los modelos distribuidos la administración de la seguridad exige gran cantidad de tareas manuales y un alto nivel de especialización.  La seguridad se administra “clonando” los permisos de usuarios referenciales.  Los privilegios que poseen los usuarios tienden a acumularse y nunca a disminuir.  Se otorgan nuevos accesos sin una visión alineada con las necesidades del negocio: o Tecnología vs negocio o Problemas de segregación de funciones (SoD)  Bajo nivel de registro de eventos de seguridad (problemas de cumplimiento - auditorías). Agenda  Malas prácticas habituales  ¿Por qué Roles?  Enfoque metodológico  La importancia de las herramientas  Caso de éxito  Conclusiones Administración basada en Roles Concepto  “Enfoque o principio por el cual el acceso a los recursos críticos de la compañía está basado en la función o el rol de las personas, otorgando los permisos suficientes, de acuerdo las responsabilidades y tareas que estos realizan”. Rol • • • • • • Nombre Ocupantes Funciones Tareas Sistemas Privilegios Rol Usuario Permisos ¿Por qué Roles? (cont.) Resumen de beneficios Privilegios mínimos Sólo se asignan al usuario los privilegios mínimos necesarios para ejecutar la tarea requerida. Segregación de funciones Un mismo usuario no puede poseer dos roles mutuamente excluyentes. Eficiencia operativa U= P= número de personas ocupando un cargo. (U + P ) < (U ⋅ P ) número de privilegios requeridos. n jp Para todos los cargos: n jp ∑ (U + P ) < ∑ (U ⋅ P ) i i i i i i Agenda  Introducción a Caja Los Andes  ¿Por donde comenzar?  Proceso de Ingeniería de Roles  Resultados obtenidos  Próximos pasos  Conclusiones Fases del Proyecto Fases 1 2 3 4 Definición del modelo Definición del marco de Gobernabilidad Implementación del modelo Puesta en marcha Actividades • Diagnóstico de la situación actual (alcance funcional, tecnológico y procesos). • Modelo conceptual para definir los alcances y elementos del Rol como entidad. • Política general. • Procedimientos : • Operación y asignación. • Análisis, diseño de roles. • Monitoreo y mantenimiento. • • • • Extracción de datos y entrevistas con áreas usuarias. Análisis y definición de Roles. Depuración y normalización de usuarios y perfiles. Generación del catálogo de Roles. • Inserción del modelo dentro de los procesos de la organización. • Implementar una herramienta. 11 Análisis y definición de Roles Proceso iterativo Extracción Consolidación Entrevistas Análisis Reportes Novedades de RRHH Novedades de Accesos Roles definidos Catálogo de Roles Proceso de Análisis de Roles Análisis de Riesgo Accesos actuales Negocio Privilegios Cargos y funciones (RRHH) FUNCIONES Tecnología Segregación de funciones Ingeniería de Roles El puente entre la tecnología y el negocio NEGOCIO Rol Organizacional Función A Función B Función C Función D TECNOLOGÍA Proceso de Negocio A ... Función N Proceso de Negocio B Perfil a Perfil b Perfil c ... Perfil x Acceso 1 Acceso 2 Acceso 3 ... Acceso m Acceso 4 Acceso 5 Acceso 6 Acceso 7 Gobernabilidad de Roles Proyectos Nuevos requerimientos Contratos con proveedores Areas usuarias Cambios organizacionales Modificaciones a los sistemas RBAC RRHH Nuevos sistemas Sistemas en desuso Ingresos Tecnología Cambios de área Desvinculaciones Agenda  Malas prácticas habituales  ¿Por qué Roles?  Enfoque metodológico  La importancia de las herramientas  Caso de éxito  Conclusiones Fundamentos de Access Governance Relación con GRC y IAM Governance, Risk and Compliance Access Governance Role management Risk assessment Risk management IT Controls Access Certification SoD Identity and Access Management User provisioning Single sign-on Workflow authorization Web Access Management Las herramientas en acción El modelo IAM + SIEM Gestión de recursos Procesos de Negocio Procesos de RRHH Gestión de incidentes Controles Certificación de accesos Auditoría Automatizar (IAM) Validar (SIEM) Access Governance Políticas Recursos Acceso Físico Directorios Servidores Correo Almacenamiento Servicios en la nube Aplicaciones Dispositivos Agenda  Malas prácticas habituales  ¿Por qué Roles?  Enfoque metodológico  La importancia de las herramientas  Caso de éxito  Conclusiones - Una corporación sin fines de lucro. ¿Qué es la Caja de Compensación Los Andes? - 60 años de vida. -Administra prestaciones de seguridad social del Estado. - Otorga el 65% de sus excedentes en beneficios sociales a sus afiliados y familias, de prestaciones adicionales y complementarias, que aportan a su calidad de vida. - 111 Sucursales y 34 oficinas móviles - 22 Centros Recreacionales, red hotelera mas grande de Chile - 3.000.000 de Afiliados al sistema. - 56% de empresas afiliadas y 62% de personal afiliado. Visión Ser líderes en la generación de bienestar social, mejorando la calidad de vida de las personas Situación inicial Datos generales - Cifras > 50 SISTEMAS SECUNDARIOS 4500 USUARIOS AUDITORIAS > EXTERNAS > INTERNAS SUSESO PEOPLESOFT - ERP/SAP MENUANDES - FLEXCUBE SIEBEL - Sistema OPERA LEGADOS - WEBSERVICES SLA 72 HORAS (3 DÍAS) BLOQUEO CUENTAS > 30 AL MENOS 20 CASOS DIARIOS SISTEMAS CORE SISTEMAS AMB AL AÑO 4.200 SISTEMAS 8 LOGS AUDITORIA O EVIDENCIA DEBIL PROCESO AMB COMPLEJO LUNES < 10 VIERNES 32.000 CUENTAS ADMINISTRADAS 6 ADMINISTRADORES DE ACCESOS Y APOYO MESA DE AYUDA IT Situación inicial Estadísticas de administración de identidades  Total requerimientos al año = 4.200 llamados  Horas de Mesa de Ayuda requeridas = 12.600 horas (3 horas por incidente)  Tiempo de espera del usuario (3 días x incidente) = 100.800 horas  Impacto promedio en la productividad del usuario durante la espera = 25%  Horas netas improductivas = 25.200 horas Costo Total = Costo de Administración + Pérdida de Productividad del Usuario Costo Anual Total = USD 300.000 Resultados obtenidos Estadísticas de Limpieza Porcentaje de accesos eliminados = 14,4% Porcentaje de perfiles eliminados = 20% Catálogo de Roles Nómina PS No. Cargos No.Roles Roles vs cantidad de usuarios =10% 4186 439 399 Nivel de madurez del control de acceso Evolución de Caja Los Andes 2015 2013 2012 Costos 2011 Riesgo Retorno de inversión (ROI) 2014 Agenda  Malas prácticas habituales  ¿Por qué Roles?  Enfoque metodológico  La importancia de las herramientas  Caso de éxito  Conclusiones Un poco de humor Gracias por asistir a esta sesión… Para mayor información: Ricardo José Gadea Gerente General Assertiva S.A. email: [email protected] Los invitamos a sumarse al grupo “Segurinfo” en