La mayoría de las soluciones de seguridad de IT proporcionan capacidades técnicas, sin embargo una gran cantidad de las organizaciones ven estas soluciones como proyectos que se implementan una vez y son olvidados. Esto es un grave error, y hace que las soluciones en el área de Gestión de Identidades e Identidades sean difíciles de justificar.
¿Qué es una Capacidad?De acuerdo al diccionario de la RAE una de las definiciones de capacidad, es: "Aptitud, talento, cualidad que dispone a alguien para el buen ejercicio de algo." En el contexto organizacional de TI, una capacidad consta del siguiente triángulo:
Gente: la capacidad cognitiva, entrenamiento o destreza que posee el personal para ejercer la capacidad.
Procesos: las reglas organizacionales que gobiernan la capacidad.
Tecnología: los activos tecnológicos (hardware, software, licencias, etc.) que proporcionan la capacidad.
Cualquier capacidad en el contexto de la seguridad de la información debe estar alineada con la política de seguridad de la empresa, y esta política responde a los riesgos del negocio. Las políticas son solo enunciados, sin embargo, la implementación de las políticas pueden ser un simple control, procesos y hasta una capacidad que emplee un gran nivel de personal, procesos y tecnologías.
La Fragmentación de las Capacidades de TI
Este fenómeno ocurre cuando las capacidades son duplicadas (ya sea por falta de conocimiento, legado, políticas y luchas internas o para mantener el estatus quo); este fenómeno afecta de manera negativa la agilidad de la empresa y su eficiencia operacional.
Sobre los controles de seguridad
Los controles de seguridad son de origen preventivo, correctivo o detectivo y se implementan de manera administrativa, técnica y física. Un control completo implementa la manera de prevenir el el riesgo de un suceso, la manera de recuperar ó corregir el suceso en caso de que pase e implementa mecanismos para detectar el suceso de manera posterior.
Controles de Acceso
Los controles de acceso son las capacidades de seguridad que facilitan la Autenticación, Autorización o Gestión de Privilegios, y la Auditoria. En esta conversación nos limitaremos a los controles lógicos (no físicos).
La Autenticación verifica la identidad del usuario final usando factores. El factor más común es el usuario y su contraseña (algo que sabe ó factor singular)
La Autorización, determina si el usuario (o sujeto) puede efectuar una acción o función hacia un objeto (o recurso). En el contexto de sistemas operativos, esto implica controlar que se puede hacer en aplicaciones, recursos, etc. Es parte de la gestión de privilegios.
La Audiroría es la contabilidad o registro de las acciones de un sujeto (o usuario).
¿Qué es un Servicio de Directorio?
De acuerdo a Wikipedia, un servicio de directorio es software "aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una capa de abstracción entre los usuarios y los recursos compartidos". Existen varios servicios de directorio, pero en este blog nos enfocaremos en el Directorio Activo (Active Directory) de Microsoft.
¿De que se trata este blog?
El objetivo de este blog es la creación de información básica, casos de uso, requerimientos, soluciones, guías prácticas e información de referencia para ayudar personal de negocios, seguridad, y de sistemas a la implementación de la gestión de control de accesos e identidades en las plataformas UNIX y Linux usando el Directorio Activo de Microsoft y la edición estándar de Centrify. En este proceso, se tratarán de mezclar las necesidades del negocio con las técnicas y de seguridad de la información.
Herramientas y Metodologías
En la sección práctica de este Blog, sse hará uso de las guías de Microsoft (Microsoft Test Lab Guides) y de la metodología Planear-Ejecutar-Verificar-Ajustar (Plan-Do-Check-Adjust en Inglés).
Reconocimientos y Notas legales
Active Directory, Forefront Identity Manager, SQL Server, Exchange Server son productos y marcas registradas de Microsoft Corporation
CentOS es una marca registrada del Proyecto CentOS.
Solaris es una marca registrada de Oracle Corporation
SUSE es una marca registrada de Novell Corporation
DirectControl, DirectAuthorize, DirectAudit, DirectSecure son marcas registradas de Centrify Corporation
No hay comentarios:
Publicar un comentario