Administración de acceso e identidades Llenar el vacío en la administración de identidades y acceso
Las soluciones de identidades se concentran en el acceso a las aplicaciones, pero esto pasa por alto hasta un 80 por ciento, representado por los datos corporativos.
Matt Flynn
Hemos entramos en la edad de la gobernanza de acceso. Las organizaciones necesitan saber quién tiene acceso a qué datos y cómo se les concedió ese acceso. Soluciones de identidad y control de acceso (IAG) abordan estos temas mientras se administra el acceso de la empresa. Proporcionan visibilidad de acceso, la política y la función de gestión y evaluación de riesgos — y ellos facilitan revisiones periódicas del derecho de acceso a través de numerosos sistemas. Más soluciones IAG empresa faltan una pieza clave del rompecabezas, aunque: datos no estructurados.
En los últimos cinco años, la investigación ha concluido que casi el 80 por ciento de contenido de la empresa es no estructurada. Eso significa que no existen datos en un formato administrado cuando se conceda acceso a través de una solicitud formal o proceso. Mientras que ese porcentaje mantiene a constante, la cantidad de datos no estructurados está creciendo constantemente. Muchas organizaciones estiman una tasa de crecimiento anual de datos de entre el 30 y el 40 por ciento a través de sus sistemas de archivos.
Así que ¿por qué los sistemas diseñados para administrar el riesgo y control de acceso en toda la empresa ignorar el 80 por ciento de los datos? La respuesta es en parte histórico, en parte tecnológica y en parte relacionados con la empresa. Soluciones IAG crecieron en soluciones de identidad y acceso de administración (IAM). Muchos de los principales proveedores IAM han introducido soluciones IAG para complementar sus ofertas. Los dos proveedores líderes de IAG independientes fueron fundados por veteranos del espacio IAM. Esto es significativo porque soluciones IAM se han centrado tradicionalmente en acceso a las aplicaciones en lugar de datos. Los proveedores de transición simplemente ese diseño arquitectónico en sus actuales soluciones IAG.
En sus primeras iteraciones, sistemas de provisioning de IAM simplemente sincronizan las cuentas de usuario del almacén de datos de uno a otro. Crecieron para habilitar la administración de contraseñas, flujos de trabajo de administración de acceso único inicio de sesión, avanzada y otras funciones de administración de acceso. El foco primario, sin embargo, ha siempre sido administrar cuentas de usuario y de acceso de usuario a las aplicaciones.
Que rigen el acceso
En un nivel básico, soluciones IAG de hoy un informe sobre las cuentas que existen para cada aplicación o los usuarios que tienen la capacidad para autenticar a esa aplicación. A un nivel más profundo, también podrían responder cuáles son esas cuentas autorizados dentro de ciertas aplicaciones. Responden a estas preguntas por alcanzar en tiendas de derecho de las aplicaciones y recopilación de información sobre las cuentas de usuario y permisos relacionados. Sin embargo, por definición, los datos no estructurados no caben en ese modelo.
Proveedores IAG pueden haber comprendido que sería fundamental para una estrategia de acceso empresarial integral incorporando datos no estructurados, pero utilizan la tecnología de núcleo está diseñada para conectar con varias tiendas de derecho para recuperar información de acceso pertinentes. En el mundo de datos no estructurados, no hay tiendas de ningún derecho centralizado. Los derechos se adjuntan a los propios recursos y por lo tanto se propagan a través del paisaje de TI.
Las grandes empresas suelen tengan decenas de miles de servidores con millones de carpetas traduciendo literalmente miles de millones de permisos individuales. Porque la mayoría acceso a través de grupos, debe evaluar cada derecho por enumerar a través de cada grupo y analizar a los miembros junto con cualquiera de esos grupos anidados.
Para organizaciones de Fortune 500, las asignaciones individuales de los usuarios a los grupos podrían número de decenas de millones. Evaluar esta compleja jerarquía de permisos es un esfuerzo técnico complicado que aprovecha un paradigma técnico totalmente diferente que la mayoría de las aplicaciones de empresa.
Mayoría de las organizaciones que postulan probablemente que su información más crítica es administrado dentro de las aplicaciones críticas del negocios. Sus recursos humanos, enterprise resource planning, financieros, cadena de suministro, línea de negocio y otras aplicaciones críticas hold 20 por ciento de los datos corporativos más sensibles. Soluciones de IAM y IAG que se centran en las aplicaciones permiten conocer lo más esencial de la información corporativa. Sin embargo, las reglas han cambiado.
Todo o nada
El 20% de la información de la organización simplemente no es suficiente. Aunque una gran parte — quizás incluso la mayoría — del otro 80 por ciento de empresa datos no pueden ser clasificados como de alto riesgo o sensibles, de hecho es un ejemplo de la situación de la aguja en un pajar. Hay pocas dudas de que en algún lugar a lo largo de esa enorme cantidad de datos es la información que debería ser protegido. Auditores y oficiales de seguridad bien tienen derecho a esperar controles alrededor y visibilidad de ese entorno de datos no estructurados.
Incluso en entornos fuertemente regulados, como finanzas y cuidado de la salud, profesionales de negocios regularmente utilizan repositorios de datos no estructurados como sistemas de archivos distribuidos y suites de colaboración como SharePoint de Microsoft para almacenar, compartir y colaborar en datos confidenciales.
La falta de uniformidad y control a través de estas plataformas representa un riesgo significativo, el costo y el esfuerzo durante una auditoría. Necesita resolver este problema y preparar su organización para una auditoría de revisión o cumplimiento de normas de seguridad. Aquí hay algunos pasos que puede tomar para aumentar su programa IAG en preparación para satisfacer requisitos de curso:
- **Limpieza de Active Directory:**Active Directory es la plataforma de lanzamiento para el acceso de la empresa. Gobernanza de acceso comienza con obtener el mejor control de Active Directory. Esto significa entender que ocurren con condiciones de alto riesgo y tóxicas como circular grupos anidados, cuentas de usuario inactivas y engordar token de usuario.
- **Propiedad del Grupo:**Mayoría de los accesos a datos no estructurados se concede mediante un modelo basado en papel implementado a través de la pertenencia de grupo de Active Directory. Los grupos son, por tanto, un componente básico del modelo de seguridad de acceso. Cualquier evaluación de pertenencia a grupos o acceso de grupo comienza con asignar a un propietario de grupo que se hará cargo del grupo y el acceso que permite. Dependiendo del modelo de seguridad, un grupo podría representar una designación organizacional (como un departamento o equipo), o podría ser más funcional en la naturaleza (como la concesión de acceso a los recursos especificados).
- **Utilización de grupo:**Análisis de la empresa donde grupos de Active Directory se utilizan y creación una vista unificada de utilización del grupo. Comprensión donde los grupos se utilizan para asignar permisos, es un requisito previo a la realización de exámenes de derecho o auditorías de acceso. También ayuda con la limpieza de grupo, la consolidación y la migración a un modelo de mejora de la seguridad como los controles de acceso dinámico introduciendo con Microsoft Windows Server 2012.
- **Propietarios del contenido:**Los propietarios de contenido no son necesariamente lo mismo que los propietarios del grupo. Asignar a los propietarios del contenido que tendrán la responsabilidad de revisar los derechos de acceso al contenido. Estos custodios de datos toman responsabilidad por el acceso a la información basada en el uso de su negocio. Esto puede ser un proceso de descubrimiento automatizado basado en permisos, actividad reciente o lógica avanzada que realiza el descubrimiento basado en atributos de Active Directory. Por ejemplo, si los derechos de acceso y actividad recientes son similares, el proceso de buscar un administrador común de aquellos que tienen acceso. Este gestor es un buen destino para la propiedad. Porque siempre no infalibles de procesos automatizados, puede insertar un paso en el proceso donde propietarios probables pueden confirmar su rendición de cuentas y recomendar a otros potenciales propietarios.
- **Limpieza de recursos:**Como analizar los recursos a través de datos no estructurados, debe recopilar información como tamaño del archivo, tipo de contenido, actividad reciente y otras características. También debe escanear para identificar contenido alto riesgo dentro de los archivos. Buscar permisos de huérfanos, acceso a cuentas de usuario inactivas, acceso sin usar, sin utilizar condiciones de contenido y de alto riesgo como acceso abierto. Estos metadatos permite priorizar donde más bloqueo de acceso, donde el contenido podría archivarse y donde puedan corregir condiciones tóxicas.
- **Modelo de seguridad:**Articular el modelo de seguridad previsto es un paso importante en el proceso. Una vez que haya identificado el objetivo, utilizar los datos recogidos durante los pasos anteriores para validar que el modelo es adoptado y aplicado. También deberás incorporar cualquier recursos existentes fuera del modelo. Esto a menudo se basa en los pasos previos de entender, por ejemplo, cómo son utilizados los grupos y cómo se aplican los permisos. Un modelo de seguridad definido permite auditoría mejor respuesta.
Los pasos anteriores no podrían producir resultados mágicos. No hay flash o glamour. Ejecutivos de empresas no podrían notar incluso que haya hecho nada. Sin embargo, hay un enorme valor inherente, en realizar estas tareas.
La próxima vez le pide a un auditor que tiene acceso a un recurso, puede mostrarles el modelo de seguridad previsto, elaborar un informe sobre los permisos reales, muestran cómo solicitaron y proporcione el nombre de la persona responsable de revisar ese acceso. Cuando puede dar esas respuestas sin romper un sudor, usted demostrar que usted está en control. Y en última instancia es la intención de auditorías de seguridad: para probar el control y visibilidad.
También, una vez que haya completado estos pasos, puede perfectamente incorporar los mecanismos de permisos efectivos por el cual se conceden derechos — y el análisis relacionado como la clasificación de datos y la puntuación de riesgo — en las soluciones tradicionales de IAG. Puede ser organizados y normalizados dentro de un almacén centralizado de derecho que se adapta el modelo de descubrimiento IAG.
En una época donde los requerimientos reglamentarios parecen consistentemente crecen en número y complejidad, ya no puede ignorar las plataformas de datos no estructurados. No es suficiente tratar de hacer sentido de permisos de un recurso en un momento. Es hora de hacer el botiquín a escala mundial. Reduzca la complejidad general y habilitar un modelo a través del cual se puede gestionar eficazmente e informe sobre acceso a los recursos de todos los datos.
Matt Flynn es director de soluciones de identidad y acceso gobernanza en STEALTHbits Technologies Inc., un proveedor de TI soluciones de seguridad y cumplimiento. Flynn anteriormente ocupó cargos en NetVision Inc.; RSA, the security division of EMC Corp.; MaXware (ahora parte de SAP AG); y la División de servicios de seguridad de Unisys Corp.