miércoles, 30 de enero de 2013

Revisando: Gestión de la Identidad (IDM) - 30-01-2013

  • 7 pasos para una mejor gestión de la identidad.
  • IDM - Identity Management System [Wikipedia].
  • Las soluciones de Identity Management de Novell tienen el mas bajo costo total de propiedad (TCO).
  • Artículos Relacionados:
    • IDM - Crisis de Identidad (Gestión).



7 pasos para una mejor gestión de la identidad

Fuente: informationweek.com.mx(Parte1)informationweek.com.mx(Parte2)

La gestión de las identidades, contraseñas y derechos de acceso de los empleados siempre ha sido complicada. Y ahora, con un mayor empleo del outsourcing y del software como servicio (SaaS) las cosas se han vuelto más enredosas y requieren el uso de una gestión de las identidades (IDM, por sus siglas en inglés) federada, operada desde fuera de las paredes de la empresa.
Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado.

Con sistemas distribuidos,  empleados en el mundo entero y un inacabable número de tecnologías que se deben integrar es para volver cardiaco a cualquiera. Pero si se planean adecuadamente resultan beneficios significativos, como una seguridad mejorada, menos gasto operativo fijo, menores costos de soporte y una mejor experiencia para los usuarios.

La IDM permite que el departamento IT entienda quiénes son los usuarios, a que aplicaciones y redes tienen acceso y, en la mayoría de los casos, sus funciones en el trabajo. Permite, asimismo, la gestión completa de una identidad, en contraposición de una perspectiva aislada de una sola cuenta en un solo sistema. La clave está en entender cuáles son las tecnologías de IDM en el ambiente de cada empresa, cómo son usadas por el personal  y como se entrelaza todo.

Lo que sigue son 7 pasos para manejar estos asuntos y mejorar el control sobre el ambiente.


Identificar qué se va a administrar

Antes de poder proceder a la IDM de los usuarios, lo primero es saber qué es lo que se está administrando. El enfoque que se adopte en IDM dependerá de: cuánto se dispone para gastar, qué tecnologías se aplicarán y cuál será la sofisticación y amplitud del sistema.

¿Requiere la compañía soporte de administración de usuarios básico o todo lo que abarca desde aprovisionar a los nuevos usuarios, login individual hasta eliminar a los usuarios que se han ido? Si la compañía está crecimiento, abre nuevos establecimientos y contrata a más empleados, ha optado por aplicaciones de SaaS, en vez de traer más aplicaciones intramuros, entonces será conveniente más automatización de los actuales procesos de IDM que gastar dinero en traer nuevas soluciones.

La automatización del aprovisionamiento y eliminación de los empleados que se han ido evitará equivocaciones, proporcionará mejor seguridad y redundará en menos problemas de auditoría. Se puede dar un paso más y crear plantillas y fechas de expiración de las cuentas de los empleados para efectos de su acceso a las aplicaciones y a la red, lo que hará felices a los auditores.

Si la compañía proporciona acceso a su sistema a socios subcontratados, en especial desarrolladores tercerizados, con alta alternancia de personas, entonces la automatización es crítica. Con mucha frecuencia, las cuentas de los contratistas se dejan activas mucho tiempo después que ya no trabajan para la compañía, o bien los nuevos contratistas usan la cuenta de la persona a la que han sustituido debido a lo pesado que es el proceso de aprovisionar acceso.


¿Dónde están las cuentas de los usuarios?

Lo que sigue es identificar la tecnología sobre la que residen las cuentas de los usuarios. Puede tratarse de un sistema de recursos humanos, SAP, Active Directory, OpenLDAP o cualquier directorio de cuentas de usuario o usuarios, o incluso alguna combinación de esto. Los sistemas de recursos humanos y nómina son los mejores lugares para buscar un sistema que identifique qué usuarios son legítimos y activos.

También es necesario determinar cuál es el sistema maestro de identificación del departamento IT. ¿Es Active Directory o algún otro repositorio centralizado de cuentas? Si no hay uno, esto explica el problema en que esta la empresa, y por ahí se debe empezar. Si se tiene Active Directory u otro sistema, entonces hay que averiguar qué está autenticando en su contra. Puede tratarse sólo de las PC y servidores, pero también puede deberse a aplicaciones a la medida, logias a la base de datos y aplicaciones de terceros.


¿Hora de centralizar la autenticación?

En este punto es preciso evaluar detalladamente si es conveniente migrar a un sistema central de autentificación. Una de las clave de IDM federado es tener un lugar central para la gestión de cuentas y muchas compañías han comprobado que los beneficios de una autentificación central superar con mucho los inconvenientes de dicho sistema.

El Identity Manager de CA y Tivoli Identity Manager de IBM son algunos de los productos de IDM que las compañías pueden usar, independientemente de si tienen o no un directorio central de usuarios. Muchas de estas herramientas realizan el mismo trabajo, pero cada una tiene sus lados ventajosos. Los sistemas más grandes, como el de CA y el de IBM cuestan $100,000 dólares o más y proporcionan gestión completa del flujo de trabajo para aprovisionar y eliminar usuarios, incluida la aceptación de la solicitud inicial, obtener autorización, crear o eliminar una cuenta con un sólo clic.

Estas características son las que distinguen los sistemas de IDM respecto de los sistemas de servicios de directorio, como Active Directory. Permiten que el departamento IT importe cuenta de un directorio maestro o de un sistema individual. Una vez se han descubierto e importado las cuentas, se pasa a mapear, agrupar, eliminar y modificar o hacer cualquier otra cosa que se quiera hacer con ellos.

Si en el departamento de RH existe un registro maestro de los empleados o una nómina, se puede importar a través de conectores soportados o del importe de archivos planos y emplearlo para mapear cuentas de sistemas de empleados reales. Hacer esto permitirá entender por completo a qué tiene acceso determinada persona, en vez de quedarse con una visión aislada de una sola cuenta  en un solo sistema.


¿Sabe el departamento IT que aplicaciones externas se están usando?

Una vez que se ha entendido la empresa interna, hay que mirar hacia fuera. ¿Emplea la compañía servicios de SaaS, como los de Salesforce.com, redes sociales, gestión subcontratada de gastos y sistemas de RH?

Dado que su operación es más barata y su despliegue más rápido, las ofertas de SaaS pueden ser un gran añadido a la empresa… si tienen suficientes capacidades de gestión de usuarios. Si no se dispone de buenas herramientas, el manejo de centenares de cuentas en un sistema subcontratado puede absorber muchos recursos. Hay que averiguar con el departamento de contabilidad y el personal de encuestas que aplicaciones y sitios en línea de terceros están usando sin conocimiento del departamento IT.

El propósito no es impedir que usen esos servicios, sino entender cómo manejarlos mejor. El problema con los servicios de terceros es encontrar una herramienta que pueda manejar apropiadamente las cuentas a la vez, también, que los recursos de gestión internos.


Examinar las opciones y pedir sugerencias a los fabricantes de IDM y SaaS

El siguiente paso es entender los flujos de trabajo. Es necesario entender cabalmente el proceso tal cual es y poder proporcionar un mapa que muestre cuál sería la diferencia en su operación con otro proveedor. Hay que observar cómo se aprovisiona a los usuarios, cómo se manejan los cambios a su acceso y cómo se elimina a los usuarios cuando se marchan. ¿Cómo se añaden cuentas a lo ancho de múltiples sistemas?

Conviene realizar una prueba sobre cómo se procesas las solicitudes. Realizar este ejercicio para los casos extremos, como los sistemas externos de Salesforce y aquel sistema que siempre ha sido manejado por una persona que se rehúsa a que otras personas entren. Para la documentación del flujo de trabajo utilizar siempre gráficas de flujo. Son útiles cuando se implementan nuevos productos y para advertir redundancias en los procesos.

Hay qu hacer esto con los usuarios finales. A menudo nos fijamos en los procesos técnicos y nos olvidamos de preguntar a los usuarios qué piensan del proceso, cómo lo entienden y los puntos difíciles que encuentran. Yo realicé esto recientemente y averigüe que los puntos de vista de los usuarios son muy diferentes a los del departamento IT.  Si no se resuelven los problemas y malas interpretaciones en el sistema existente, se trasladarán al nuevo que se adquiera.


Conocer los límites

Ahora que ya he explicado la tecnología, los directorios y los servicios con los que es necesario integrarse, hay que estimar las limitaciones de la empresa. ¿Se van a manejar todas estas tecnologías? ¿Basta un producto o se requieren varios? Una manera fácil de simplificar la gestión de identidades es vincular a todos los recursos en el menor número posible de directorios. Por ejemplo, autentificar todos los sistemas y aplicaciones posibles en el Active Directory. Una vez se han reducido el número de puntos de autenticación, la implementación de un sistema IDM, hay menos posibles apagones debido a cambios de sistema y menos llamados al help desk por contraseñas olvidadas.

Ahora ya he explicado, hasta un nivel razonable, lugares donde manejar las cuentas, con la esperanza de que se devuelvan a las manos del departamento IT. Y si no hay mucho cambio de empleados quizá no tenga sentido en un sistema automatizado que sea mayor. Por el contrario, la automatización puede mejorar considerablemente el cumplimiento de normas con requisitos como los estándares de la Payment Card Industry. Si se detiene aquí, al menos habrá reducido los costos de soporte y mejorado el proceso de IDM.


¿Cuál es el sistema correcto?

Existen muchos fabricantes en el mercado IDM, como CA, Conformity, IBM, Logic, Oracle, Radiant , SAP y Symplified. La otra opción es desarrollar una herramienta dentro de la empresa, pero para la mayoría de las compañías esto les resulta difícil y al cabo salen gastando más. La compra de un paquete puede costar más en un comienzo, pero a la larga suele funcionar mejor a medida que las compañías, al tiempo que crecen, van añadiendo tecnologías.

Mi consejo es enviar a los fabricantes una lista de las tecnologías que se usan en la empresa, pedirles que verifiquen cuáles soportan y que especifiquen si ese soporte aumenta el costo y qué expliquen cómo los procesos de la empresa se complementan con los de los sistemas de los fabricantes. Califique a los proveedores basándose en los criterios de la empresa y el presupuesto.

Antes de hacer la decisión final, tomarse tiempo para ver más adelante, pues es probable que posteriormente la empresa quiera implementar alguna nueva tecnología. Procurar que cualquier senda que se emprenda en IDM sea flexible y permita añadidos y cambios.


Adam Ely es director de Seguridad de TiVo, donde es el responsable de IT y seguridad de las aplicaciones: iweekletters@techweb.com

Publicado June 1, 2010 Por 


IDM - Identity Management System [Wikipedia]

Fuente:  en.wikipedia.org

Un sistema de gestión de identidad se refiere a un sistema de información, o para un conjunto de tecnologías que pueden ser utilizadas para la empresa o entre redes de gestión de identidad .

Gestión de la identidad (IdM) describe el manejo de las diferentes identidades , su autenticación, autorización , los roles y privilegios [1] dentro oa través del sistema y límites de la empresa [1] con el objetivo de aumentar la seguridad y la productividad, la disminución de costos, tiempo de inactividad y repetitivo tareas. [2]

"Identity Management" y "Acceso y Gestión de Identidad" (o AIM) son términos que se usan de manera intercambiable con el título de gestión de la identidad, mientras que la gestión de identidad se cae el paraguas de la seguridad informática . [3]

Sistemas de gestión de la identidad , productos, aplicaciones y plataformas comerciales de soluciones de gestión de identidad implementadas por las empresas y organizaciones.

En general, la gestión de la identidad electrónica se puede decir que abarcan la gestión de todo tipo de identidades digitales. El enfoque en la gestión de la identidad se remonta a la elaboración de directorios, tales como X.500 , donde un espacio de nombres sirve para sujetar objetos con nombre que representan la vida real "identificado" entidades, como los países, organizaciones, aplicaciones, suscriptores o dispositivos. Los X.509 del UIT-T certificados estándar definidos llevado atributos de identidad como dos nombres de directorio: el sujeto del certificado y el emisor del certificado. Certificados X.509 y PKI operar los sistemas en línea para probar la "identidad" de un sujeto. Por lo tanto, en términos de TI, se puede considerar la administración de identidades como la gestión de la información (como se sostuvo en un directorio) que representa los elementos identificados en la vida real (por ejemplo, las organizaciones de usuarios, dispositivos, servicios, etc.) El diseño de estos sistemas requiere información explícita y las tareas de identificación de ingeniería.

La evolución de la gestión de la identidad sigue la progresión de Internet la tecnología de cerca. En el entorno de páginas web estáticas y portales estáticos de la década de 1990, las empresas investigadas la entrega de contenido web informativo, como las "páginas blancas" de los empleados. Posteriormente, como el cambio de información (debido a la rotación de personal, aprovisionamiento y de aprovisionamiento-), la capacidad de realizar actualizaciones de autoservicio y mesa de ayuda con mayor eficacia se transformó en lo que se conoce como Gestión de Identidad de hoy .

Funcionalidad típica de administración de identidades incluye lo siguiente:

La administración de identidades también aborda el problema de la 'antigua N +1' - donde cada nueva aplicación puede implicar la creación de nuevos almacenes de datos de los usuarios. La capacidad de gestionar de forma centralizada el aprovisionamiento y de aprovisionamiento de las identidades y consolidar la proliferación de tiendas de identidad, todo forma parte del proceso de gestión de identidades.

Soluciones

Las soluciones que entran en la categoría de gestión de identidades pueden ser:

Gestión de identidades
Control de acceso
Los servicios de directorio
Otras categorías
Normas iniciativas

Lista de los principales sistemas de gestión de la identidad

  • CA Technologies IdM[6]
  • Courion IdM[7]
  • e-trust HORACIUS[8]
  • EmpowerID IdM[9]
  • Sun Identity Manager (will be supported only up to 2014)
  • Aveksa[19]

Comparación de los principales sistemas de gestión de la identidad

SystemAccount Provisioning/De-provisioningWorkflow automationDelegated administrationPassword syncSelf-service password resetPolicy-based access controlEnterprise Single sign-on (SSO)Web single sign-on (Web SSO)Identity repository/Directory ServicesMetadata replication/Sync engineWorkflow application development
TrewIdMYesYesYesYesYesYesNoYesYesYesYes
CA Tech IdMYesYesYesYesYesYesYesYesYesYesYes
Courion IdMYesYesYesYesYesYesYesYesYesYesNo
e-trust HORACIUS IdMYesYesYesYesYesYesNoNoYesYesYes
EmpowerID IdMYesYesYesYesYesYesYesYesYesYesYes
Hitachi ID IdMYesYesYesYesYesYesYesYesYesYesNo
IBM Tivoli IdMYesYesYesYesYesYesYesYesYesYesNo
Microsoft Active DirectoryNoNoYesYes between ADNoYesYesYesYesNoNo
MS FIM 2010YesYesYesYesYesYesYesNoNoYesNo
Novell IdMYesYesYesYesYesYesYesYesYesYesNo
Nakina Systems IdMYesYesYesYesYesYesYesYesYesYesNo
Oracle IMYesYesYesYesYesYesYesYesYesYesNo
PortalGuardNoNoYesYesYesYesYesYesYesNoNo
Quest IdMYesYesYesYesYesYesYesYesYesYesYes
AveksaYesYesYesYesYesYesYesYesYesYesYes
SystemAccount Provisioning/De-provisioningWorkflow automationDelegated administrationPassword syncSelf-service password resetPolicy-based access controlEnterprise Single sign-on (SSO)Web single sign-on (Web SSO)Identity repository/Directory ServicesMetadata replication/Sync engineWorkflow application development

Véase también

Referencias

  1. ^ "ABC’s of Identity Management".
  2. ^ "Identity Management in an enterprise setting".
  3. ^ "Identity management as a component of IT Security".
  4. ^ "Identity management security".
  5. ^ "TrewIDM".
  6. ^ "CA Identity Manager for Provisioning and Access".
  7. ^ "Courion- Identity and Access Management".
  8. ^ "e-trust HORACIUS Identity Assess Management".
  9. ^ "EmpowerID- Identity Management built on a Business Automation (BPA) Platform".
  10. ^ "Hitachi ID- Management Suite".
  11. ^ "IBM Tivoli- Identity Manager software".
  12. ^ "Microsoft Active Directory-specific Identity Management".
  13. ^ "i-Sprint Identity and Access Management Solutions".
  14. ^ "Nakina Systems NI-Guardian".
  15. ^ "Novell- Identity Manager product".
  16. ^ "Oracle- Identity Management 11g".
  17. ^ "PortalGuard Security Platform".
  18. ^ "Quest One- Identity Management Solutions".
  19. ^ "Aveksa- Business-Driven Identity Management".


Las soluciones de Identity Management de Novell tienen el mas bajo costo total de propiedad (TCO)

Fuente: microteknologias.wordpress.com

Un grupo de investigación independiente prueba que el TCO  de las soluciones de gestión de acceso e identidades es un 25 % menor que el de la competencia, en un período de cinco años
Santiago, 10 de diciembre de 2010 – Novell, Inc. (Nasdaq: NOVL) anunció que un estudio finalizado recientemente prueba que las soluciones de Identity y Access Management de Novell ofrecen un TCO (costo total de propiedad por sus siglas en inglés)  un 25% más bajo sobre un período de cinco años, que las soluciones de la competencia.

Llevado a cabo por el grupo de consultoría independiente Rencana, el estudio encuestó a más de 50 clientes e integradores de sistemas sobre las soluciones de identidad de Novell, CA, IBM, Oracle y Courion.

Los investigadores tomaron datos cuantitativos y cualitativos para evaluar el costo total de propiedad de productos de aprovisionamiento y administración de acceso web y analizaron las diferencias en cuanto a licenciamiento, configuración y costos operativos entre todas las soluciones.  Además de demostrar las diferencias en cuanto a TCO en un rango de usuarios de negocios que se extiende desde 2.500 hasta más de 40.000 usuarios, el estudio también mostró que el costo de servicios influye en el TCO  total.

Novell sobresalió en esta categoría con competidores que están entre un 33% y un 83% más caros en servicios.  Esto provee un amplio rango de beneficios, y se incluyen expresiones de integradores de sistemas que referencian un 20% menos en costo de implementaciones de gestión de acceso e identidades (IAM, por sus siglas en inglés) de Novell que con productos de la competencia, y productos de Novell que cuestan un 30% menos en cuanto a la implementación.
“En Identropy trabajamos con un amplio rango de escenarios para l agestión de acceso e identidades. Nuestras implementaciones con Novell son consistentemente exitosas y ayudan a nuestros clientes a ahorrar tiempo y dinero”, afirmó Victor Barris, CEO de Identropy. “Este estudio valida lo que hemos visto en la práctica desde hace tiempo”.

“Uno de los drivers más consistentes en el proceso de compra es el costo total de propiedad. Las organizaciones no toman decisiones de compra basados en los costos iniciales de servicios y operaciones, necesitan saber cuánto costará una solución en dos, tres, cinco años”, expresó Jim Ebzery, Vicepresidente Senior y Gerente General de Security, Management and Operating Platforms de Novell. “Este estudio concluye lo que hemos sabido por años: las soluciones de  gestión de acceso e identidades de Novell son sustancialmente mejor valuadas que los productos de la competencia. El claro liderazgo de Novell en TCO ayuda a los clientes a satisfacer sus necesidades mientras aportan, en última instancia, valor.”
Conclusiones adicionales incluidas en el estudio:
  • Los integradores de sistemas expresan regularmente que las implementaciones de IAM de Novell son un 20% más económicas que las de los productos de la competencia.
  • El diferenciador primario en TCO de productos de IAM es el gasto en servicios; Novell es entre un 33% y un 83% menos costoso que los demás vendors líderes.
  • Los conectores de aprovisionamiento out-of-the-box requieren hasta un 75% menos del tiempo de los integradores de sistemas en la implementación de los productos que con los productos de la competencia.
  • Los conectores customizados de aprovisionamiento de Novell requieren hasta un 30% menos del tiempo de los integradores de sistemas en la implementación que los productos de la competencia.
  • Novell requiere un promedio del 20% menos en las tarifas de los integradores de sistemas que en proyectos de aprovisionamiento comparables para compañías de todo tamaño.
  • Los productos de IAM de Novell requieren un promedio del 81% menos de tiempo para generar los reportes de auditoría requeridos.
  • Los productos de IAM de Novell tienen un un 55% menos en promedio de tiempo fuera de servicio.

Para ver más detalles de este estudio, visite: http://www.novell.com/LowestTCO




Artículos Relacionados:


Establecer y administrar una IDM federada que vuelva portables los datos de las identidades de los usuarios a lo ancho de dominios de seguridad autónomos puede resultar engorroso, amén de complicado. Con sistemas ...

Además de la licencia de conducir (o tarjeta de identificación estatal/Cédula de identidad para aquellos que no conducen), tenemos credenciales por todas partes, debemos obtener una tarjeta de seguridad social o de la ...

Finalmente se ha publicado la guía OpenSAMM traducida en su totalidad al castellano. Según anunciaba el coordinador de esta traducción, Juan Carlos Calderón, en las listas de correo de OWASP, de habla hispana ...

OWASP (acrónimo de Open Web Application Security Project, en inglés 'Proyecto abierto de seguridad de aplicaciones web') es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el ...

Ley Sarbanes Oxley (SOX) en Español. Aplicación de una metodología de mejora continua de procesos. Caso de estudio: Controles SOX; Coso, Sox, mejores practicas internacionales en control interno. Herramientas de ...

Es cierto que son sistemas un poco más complejos de administrar y configurar pero se complementan muy bien con la seguridad y las opciones que se pueden llegar a alcanzar. Además de esto, el Software Libre es una ...

    

No hay comentarios:

Publicar un comentario