Stream/Track
Identidad como Nuevo
Perímetro
h
Juan Cerchia
Abstract
Juan Cerchia
CA Technologies, Principal Consultant CSU Security
Objetivo y puntos clave de su presentación:
Como a través de una estrategia de seguridad IAM flexible y adaptable a las nuevas tendencias se puede
expandir el negocio adoptando los nuevos modelos de negocio (redes sociales, disp.móviles, servicios)
Abstract de la presentación:
U
i d t
d
i
t
ló i
l
b l
ilid d l
d
i l
l “
i
ió ”
Una serie de tendencias tecnológicas, como la nube, la movilidad, las redes sociales y la “consumerización”
de TI, no sólo han transformado a TI, sino también la forma en que los empleados, partners y clientes
interactúan con una organización. Mientras el software como servicio (SaaS) y las aplicaciones en la nube
han crecido en popularidad, los entornos de TI se han vuelto más distribuidos, fragmentados y nebulosos,
con muchos componentes que existen fuera del perímetro tradicional de seguridad de firewalls y redes
privadas virtuales (VPN).
Como resultado, la protección actual de la empresa móvil basada en la nube requiere de un nuevo
enfoque. Debido a que nuestras aplicaciones y datos están protegidos por diferentes proveedores de nube,
la autenticación de los usuarios en esos entornos es el único punto central de control que podemos
mantener. En otras palabras, la identidad debe convertirse en el nuevo control de seguridad “perimetral”
para el entorno de TI distribuido.
Agenda
Desafíos Comunes de la Seguridad de la Información
Desafíos Comunes de la Seguridad de la Información
Tendencias del Corto Plazo : Empresa Abierta
Nueva Evolución del Modelo de Seguridad de CA
Estrategia Basada en Servicios de Seguridad
g
g
Como implementar la estrategia
C
l i
Desafíos Comunes de Seguridad de la Información
Aumento en el número y tipos de usuarios
y p
•
Colaboración entre empleados y partners
•
Información compartida y transacciones con clientes
y ciudadanos
y ciudadanos
Tremendo crecimiento de las aplicaciones online
e e do c ec
e to de as ap cac o es o
e
•
Muchas organizaciones están pasando de 100 a 1.000 apps
•
Aumento de las aplicaciones internas y externas
Nuevos tipos de dispositivos/aplicaciones
•
Tabletas, teléfonos y otros dispositivos
•
TI orientada al consumidor
•
Aplicaciones móviles nativas
•
Aplicaciones móviles nativas
Tendencias del Corto Plazo
Tendencias que van modelando el uso de IAM actualmente
Mundo Móvil
El gasto en móviles alcanzará $1.3
trillones y el mercado de apps
Empresas conectadas a
la Nube
Para el 2015, cerca del 24% de las
compras de software serán SaaS
Identidades Sociales
Las redes sociales alcanzan al
móviles $55 billones en 2016
Internet de las Cosas
15 billones de dispositivos
Economía API
p
82% de la población mundial
Economía API
en red para 2015
La mayoría de los servicios se
acceden via API
, y NO web browser
Seguridad basada en Datos
Ataques & Fraudes
Personal interno o socios de
i
bl
d l
Compliance &
Regulaciones
La seguridad fluye con los datos a
medida que se mueve entre usuarios /
servicios
negocios son responsables del
43% de las brechas de
seguridad
g
Las grandes compañias gastan
13.1% de sus ganancias netas
en actividades de compliance
P
t d S
id d C
bi d L
Para 2015, 35% de los gastos de TI de las organizaciones se harán por fuera del presupuesto de TI .”
Presupuesto de Seguridad Cambia de Lugar
Lo cual significa realmente….
Que la Empresa debe ser Abierta
L E
Abi
La Empresa Abierta
Servicios en la Nube
Socios/Divisiones
Apps Moviles
Comunidad de Desarrolladores
Nuevas Amenazas & Desafíos
para la Empresa Abierta
p
p
Nuevas Amenazas & Riesgos
Nuevas Amenazas & Riesgos
Online
Servicios en la Nube
Socios/Divisiones
Apps Móviles
Comunidad de Desarrolladores
Desarrolladores Ladrones
IoT / Big Data
Registración en Redes Sociales
Desarrolladores Ladrones
Ataques Externos
Apps Mal Programadas
Servicios en la Nube ‘engañados’ (Spoofed)’
L
i S i l ‘H k d ’
Como se expande el foco de
Seguridad / Identidades
g
/
BRINDAR NUEVOS
SERVICIOS DE NEGOCIO
via WEB, MOBILE, API
PROTEGER
INFORMACION SENSIBLE
EN TODA LA EMPRESA
ASEGURAR LA EMPRESA
CONECTADA A LA NUBE y
DISPOSITIVOS MOVILES
,
,
Proteger el Negocio
Facilitar el Negocio
Seguridad de “NO”
ness
Solución : Requiere un conjunto integrado de facilidades
Facilitar el Acceso
Administración de Identidades
Generar Nuevos Negocios
Alcanzar la Excelencia a nivel Operativo
Generar Nuevos Negocios
Alcanzar la Excelencia a nivel Operativo
La Empresa Abierta
SINGLE SIGN‐ON WEB
FEDERACION
GOBIERNO
DE IDENTIDADES
SEGURIDAD &
ADMINISTRACION DE APIS
AUTO SERVICIO
REQUERIMIENTO DE ACCESO
DE IDENTIDADES
SEGURIDAD APPS EN
APROVISIONAMIENTO
ADM. De CUENTAS
PRIVILEGIADAS
AUTENTICACION
AVANZADA
DISPOSITIVOS MOVILES
APROVISIONAMIENTO
API PORTAL
Protección de Datos Sensibles
Protección de la Marca
MOBILE CONTENT
MANAGEMENT
EMAIL CONTROL
FILE CONTROL
MOBILE DEVICE
MANAGEMENT
MANAGEMENT
EMAIL CONTROL
FILE CONTROL
MANAGEMENT
Administración de Identidades
Identidad es el NUEVO PERIMETRO
SaaS
C
i
Autenticación
Gobierno de
Identidades
SaaSContratistas
Autenticación
Avanzada
On/off Boarding
Partners
Identidad
Cloud Apps/Platforms & Web ServicesEnterprise Apps
Empleados
Identidad
Self Service
Single Sign-on
Apps
Administradores
Administración de Cuentas
On Premise
IDENTIDADES como NUEVO PERIMETRO ….
Autenticación
es más crítica que nunca
S
ti
Credenciales Seguras
Sugestiones
Implementar un modelo de
¿ O ?
Actividad Histórica
Implementar un modelo de
autenticación versátil que
se vaya adaptando con el
tiempo
P
t
l
Identific.del Dispositivo
Credenciales
Contexto
Riesgo
¿ O ?
ct dad
stó ca
Valor de la Transacción
Pensar con respecto al
contexto del usuario , el
dispositivo y la transacción
y su actividad
Fuera de Banda
Planificar una estrategia
consistente de
autenticación MULTICANAL
OTP, Evaluación de Riesgo, PKI
IDENTIDADES como NUEVO PERIMETRO
….
Control de Acceso
: Defensa contra ataques internos y externos
Amenazas Internas Perímetro
Tradicional Amenazas Externas
Employees Administrators Partners Red Interna
Hackers Tradicionales
Crimen Organizado
Sistemas Críticos
Identidad
N
Hackers Militarescomo Nuevo
Perímetro
Fine‐Grained AccessControls AuthenticationStrong RecordingSession Shared Account
Management Identity Governance VirtualizationSecurity
Risk‐Based
Datos Sensibles
Risk‐Based Data Controls Identity Management
APIs son la evolución de la Web para B2B, Mobile, Cloud
Contenido Web expuesto fuera de la organización
Data
API Server
Enterprise
API Server
APIs permiten acceder a los datos de la organización a
desarrolladores externos, Apps & Servicios
pp
APIs Expuestas hacia fuera de la Organización
Outside Partners / Divisions
API Server
Data
API Server
External Developers
Mobile Apps
Cloud Services
Internet of Things
CA Layer 7 protege , administra & Adapta las
APIs y Datos que se exponen
Layer 7 Secures & Manages The APIs & Data They Expose
APIs y Datos que se exponen
Outside Partners / Divisions
API Server
Data
API Server
External Developers
…
Mobile Apps
Cloud Services
Internet of Things
CA Identity & Access Management (IAM)
NUEVA ARQUITECTURA
CA SiteMinder
Políticas de Control de Acceso & Seguridad Centralizada
Aplicaciones
SaaS
Consumidores
Web Single Sign‐on
(apps propietarias)
SaaS
Partners
Web Federation
(apps standard )
CA AuthMinder
Autenticación
CA DataMinder
API
Security & Management
Autenticación
Basada en
Riesgo
CA DataMinder
Protección de
Datos
Aplicaciones
Customizadas
Empleado Mobile
Security & Management
Mobile App
Security & Management
Layer 7
Empleado Interno
Administración de Identidades & Gobierno de Accesos
CA IdentityMinder
Opciones para Proteger las Apps Móviles
CA Mobile App Security
CA Layer 7 Mobile Access
Gateway
SOFTWARE DEVELOPMENT KIT
APP WRAPPING
Genera una capa de seguridad
adicional
alerededor de la
Se incluye el
codigo de
seguridad dentro de la
aplicación
La Seguridad es implementada
aplicación
La Seguridad es implementada
luego que la app fue
desarrollada
g
p
durante el desarrollo de la
aplicación
Implementado por los
administradores de
Implementada por los
desarrolladores
17 Copyright © 2013 CA. All rights reserved.
1
Administración de Riesgos & Seguridad de la Información
(las soluciones tradicionales de seguridad, procesos y controles no alcanzan)
Simplificar y Facilitar
‐ Mejorar la experiencia de usuarios
‐ Acceso inmediato a las aplicaciones
‐ Control de Acceso seguro y simplificado
‐ Para cualquier momento, cualquier lugar, cualquier dispositivo
Prioridades de Seguridad
•
Proteger a la organización de ciber amenazas
•
Simplificar el modelo de control de acceso
Simplificar el modelo de control de acceso
•
Proteger los procesos de negocio
•
Administrar la explosión de información y
dispositivos
•
Monitoreo del estado global de seguridad
Monitoreo del estado global de seguridad
•
Simplificar la respuesta de incidentes
•
Asegurar el cumplimiento de regulaciones
•
Simplificar controles de Seguridad
‐
APT _ Amenazas avanzadas
Proteger Activos
Activos distribuidos en forma global
‐
Activos distribuidos en forma global
‐
Estado global de seguridad
‐
Controles cambiantes de seguridad
‐
‘Consumerización’ de TI
‐
Auditorías crecientes
‐
Tecnologías disruptivas
Estrategia de Seguridad Global Lógica
(la transformación de seguridad requiere una estrategia centrada en identidades para
los diferentes niveles de la infraestructura que soporta los negocios)
q
p
g
)
Comunicación, Colaboración y Contenido
Servicios de Negocio e Integración
N
ube
Ex
te
rna
Servicios de Negocio e Integración
Aplicaciones
N
a
Datos
Nube
It
ern
a
Plataformas
ciones
Redes
Leg
acy
Implemen
ta
Simplificar y Proteger el Negocio y sus Activos
(Estrategia de Seguridad centrada en Identidades y Datos van proteger y facilitar los negocios de la
organización)
g
)
Facilitar
Facilitar
Protección
Organización basada en Identidades
Aprovisionamiento del usuario ‘dia 1’
‘One stop shopping’ para control de accesos
Seguridad de la Red
One‐stop shopping para control de accesos
Integración de seguridad lógica y física
Acceso transparente a soluciones internas y
externas
Seguridad a nivel de servidores logicos y
virtuales
SIEM
VPN y SSO integrado
Seguridad en la Nube (Soluciones SaaS)
Extensión de los controles de identidad a la
d
Global IDS/IPS
Global malware management
red
Prevención de Pérdida de Datos centrado en
identidades
Revisiones de Acceso Trimestrales
Protección de Datos
Seguridad de Aplicaciones
Revisiones de Acceso Trimestrales
automatizadas
Control de acceso de usuarios privilegiados
simplificado
Ad i i t
ió d
d 3
P t
Patch & vulnerability management
Seguridad de Mails & Spam
El Camino Evolutivo
ESTABLECER POLITICAS Y ARQUITECTURA DE SEGURIDAD
1
Replantear IAM como un Modelo
ESTABLECER POLITICAS Y ARQUITECTURA DE SEGURIDAD
1
de Servicios
Arrancar con el nuevo Modelo de
Seguridad con las aplicaciones
Seguridad con las aplicaciones
internas y/o en la Nube según
evaluación de riesgo
I t
t
l
f ilid d
Integrar y aumentar las facilidades
de seguridad que tiene hoy en día
alineado con la arquitectura
Integrar Clientes, Contratistas ,
Partners?
El Camino Evolutivo
SELECCIONAR E IMPLEMENTAR SERVICIOS DE SEGURIDAD ALINEADOS
CON EL NEGOCIO
2
CON EL NEGOCIO
Identificar los proyectos importantes para su
organización para los años próximos.….
2
g
p
p
Simplificar la implementación de servicios de
seguridad planteando una estructura que se
adapte facilmente a las aplicaciones de negocio
sin modificarlas en lo posible
Reforzar el uso de SAML para los usuarios?
Automatización de aprovisionamiento & de‐
aprovisionamiento?
Externalización de las autorizaciones?
Logging de la actividad de los usuarios?
El Camino Evolutivo
ARMAR EL CATALOGO DE SERVICIOS DE SEGURIDAD
3
ARMAR EL CATALOGO DE SERVICIOS DE SEGURIDAD
Clasificar y agrupar los servicios
3
de seguridad
Publicar los servicios de
seguridad
seguridad
Administrar los servicios de
seguridad
KPIs de los servicios de
seguridad
Ejemplo : Como crear servicios de seguridad centrado en
identidades
Aprovisionamiento (CA Identity Minder)
1.
Extender CA IdentityMinder para aprovisionar el acceso a soluciones ‘hosteadas’ en forma externa
(SalesFORCE, Office 365, MS Azure)
2.
Acceso desde el ‘dia 1’ a los sistemas internos de TI (red y correo)
3.
Extender el aprovisionamiento y control de acceso usando las facilidades SCIM de CA Layer 7
Reseteo de Contraseñas (CA IdentityMinder)
1.
Autoservicio para las aplicaciones de negocio más importantes (SAP; Siebel; CRMs)
Certificaciones de Acceso (CA GovernanceMinder)
1.
Automatización de certificaciones trimestrales para más de 64+ aplicaciones, AD & otra infrastructura
2.
Integración IDM & GM para habilitar certificaciones de roles relacionados con el aprovisionamiento y
deaprovisionamiento a nivel ciclo de vida de identidades
i
ió
( i
i d
&
)
Autenticación Interna y Externa (SiteMinder & Arcot)
Conclusiones
Prioridades de Seguridad : Evolucionar el conjunto de Soluciones de CA a un
h ‘ d d ’ l f l í
Acciones de CA Technologies
Necesidades de Seguridad
1
Prioridades de Seguridad: Prevención de amenazas de ataques approach ‘centrado en datos’ y simplificar nuestra tecnología para que esteal alcance de las áreas de negocio
Proteger entorno ‘Mobile’ : Ofrecer un modo evolutivo de protección de
los dispositivos móviles brindando :
id d i l d di iti (MDM)
1
2
externos e internos asociados con politicas de DLP y encripción de datos
Proteger entorno ‘Mobile’‐ Dispositivos individuales confiables : Tener una seguridad a nivel de dispositivo consistente para diferentes
plataformas de laptops tablets and smartphones seguridad a nivel de dispositivos (MDM)
seguridad a nivel de aplicaciones (a nivel web, apps existentes, apps nuevas – Siteminder , Layer 7, CloudMAS)
Proteger la Nube : Desde el punto de vista de servicios seguir agregando
nuevas disciplinas (Usuarios privilegiados Gobierno de Accesos) y
3
plataformas de laptops, tablets and smartphones.
Proteger entorno ‘Mobile’ – Crecimiento de Apps Móviles:
Gcrecimiento de la disponibilidad de aplicaciones móviles que deben ser administradas y protegidas pues son generadoras de negocios
nuevas disciplinas (Usuarios privilegiados, Gobierno de Accesos) y optimizando las existentes (IDM,SSO,AA, APIs) basado en un modelo de negocio progresivo
Protección de Datos : Profundizar la integración de la solución de DLP con
los diferentes módulo de control de accesos (SM IDM etc) y con soluciones
4
5
Proteger la Nube : Un gran número de clientes estan interesados en en explorar de tener IAM via la Nube, aunque la gran mayoría todavía lo piensan ‘On Premise’
Protección de Datos : Las tecnologías de DLP & Encripción son los los diferentes módulo de control de accesos (SM,IDM,etc) y con soluciones
de encripción de datos (Voltage)