1. Temas:
Estándar ITIL
Mejores Prácticas en la Gestión de Accesos
Integrantes:
Allan Lee
Benerando Ortega
Reinaldo Alvarez
Universidad Tecnológica de Panamá
2. ¿Qué es ITIL?
Las siglas ITIL significan Information Technology Infrastructure
Library, que traduciríamos literalmente como Biblioteca de
Infraestructura de Tecnologías de Información.
4. ITIL V3 esta organizada en
las siguiente cinco etapas
1. Estrategia del servicio
2. Diseño del servicio
3. Transición del servicio
4. Operación del servicio
5. Mejora continua del servicio
5. ITIL V4
El cambio fundamental en ITIL 4:
• De procesos a prácticas
• Sistema de Valor del Servicio
(SVS)
• Cuatro dimensiones
• Enfoque en el valor
6. Prácticas y procesos de ITIL 4
Prácticas de Gestión
Generales
Prácticas de Gestión de
Servicios
Prácticas de Gestión
Técnica
Gestión del Cambio
Organizacional
Gestión de Activos de IT Gestión de
Infraestructura y
Plataforma
Gestión Financiera de los
Servicios
Diseño del Servicio Desarrollo y Gestión de
Software
7. Certificaciones Itil
Tipos de certificación ITIL:
• Fundamentos de ITIL
• Niveles Intermedios
• Experto en ITIL
• ITIL 4 Managing Professional (MP) y
ITIL 4 Strategic Leader (SL)
8. Beneficios para su organización
• Todo el mundo habla el mismo idioma
• Incrementa la productividad
• Probado y respetado
• Mayor eficiencia y reducción de costos
• Experiencia del cliente mejorada
• Gestión de Riesgos y resiliencia
• Mayor agilidad e innovación
10. ¿Qué es el control
de acceso?
Es un elemento de seguridad fundamental que
controla quién puede acceder a datos, aplicaciones y
recursos digitales, y bajo qué condiciones.
Al igual que las medidas de seguridad física, la
gestión de accesos, basada en autenticación
(verificar la identidad) y autorización (otorgar el nivel
de acceso adecuado), protege la información
confidencial de accesos no autorizados, robos y
filtraciones.
Las organizaciones modernas utilizan soluciones de
gestión de identidades y accesos para implementar
estas políticas de forma eficiente.
11. Tipos de Control de
Acceso
Existen cuatro enfoques principales para gestionar el acceso a
información sensible.
• Control de Acceso Discrecional (DAC): El propietario de
cada recurso decide quién tiene acceso. Ofrece control
individualizado.
• Control de Acceso Obligatorio (MAC): Una autoridad
central define niveles de autorización jerárquicos para los
usuarios. Común en entornos gubernamentales y militares.
• Control de Acceso Basado en Roles (RBAC): El acceso
se otorga según las funciones laborales de los usuarios,
proporcionando solo los permisos necesarios para sus
tareas.
• Control de Acceso Basado en Atributos (ABAC): El
acceso se concede dinámicamente combinando atributos
del usuario, el recurso y el entorno (hora, ubicación, etc.).
Es el modelo más granular.
12. Cómo Funciona el
Control de Acceso
El proceso básico implica dos pasos clave:
• Identificación y Autenticación: Se
verifica la identidad del usuario mediante
credenciales como contraseñas, PINs,
tokens o biometría. La Autenticación
Multifactor (MFA) añade seguridad al
requerir múltiples métodos de verificación.
• Autorización: Una vez autenticado, las
políticas de control de acceso otorgan
permisos específicos, permitiendo al
usuario acceder a los recursos
autorizados.
13. El Valor del Control
de Acceso
El control de acceso es crucial para proteger la
información confidencial de actores malintencionados. Su
objetivo es prevenir graves consecuencias como la fuga
de propiedad intelectual, la exposición de datos
personales y pérdidas financieras.
Es un componente fundamental de la estrategia de
seguridad y una herramienta clave para minimizar el
riesgo de acceso no autorizado, especialmente en
entornos de nube.
A medida que aumentan los dispositivos vulnerables, las
políticas de control de acceso sofisticadas se vuelven
esenciales para gobernar cómo y cuándo se accede a los
datos. Las soluciones de gestión de identidad y acceso
facilitan la administración de estas políticas.
14. Implementación de la
Gestion de Acceso
• Conectar los Objetivos: Definir la importancia de la solución de
control de acceso para los tomadores de decisiones, destacando
beneficios como la reducción de riesgos, el aumento de la
productividad, la mejora de la seguridad y el fomento del
autoservicio.
• Seleccionar una Solución: Elegir una solución de gestión de
identidades y acceso que equilibre la protección de datos con una
buena experiencia del usuario, brindando beneficios tanto a los
usuarios finales como al departamento de TI.
• Establecer Directivas Seguras: Definir quién accede a qué
recursos y bajo qué condiciones, diseñando directivas que
permitan, limiten o bloqueen el acceso según las necesidades del
negocio. Considerar usuarios, aplicaciones y acciones.
• Seguir los Procedimientos Recomendados: Implementar
prácticas como configurar cuentas de emergencia, aplicar acceso
condicional, probar directivas, establecer normas de nomenclatura
y planificar para interrupciones.
15. Control de Acceso
(IAM)
El Control de Acceso es una parte fundamental de
un marco más amplio conocido como Gestión de
Accesos, o IAM (Identity and Access
Management).
IAM se enfoca en la administración integral de las
identidades digitales y los derechos de acceso de
los usuarios a lo largo de su ciclo de vida.
Mientras que el Control de Acceso se centra en
los mecanismos que permiten o deniegan el
acceso a los recursos, IAM abarca políticas,
procesos y tecnologías para gestionar quién tiene
acceso a qué, cuándo y por qué.
16. Cumplimiento en los controles de
Acceso
• El Control de Acceso juega un papel vital en el cumplimiento de las normativas de seguridad y privacidad de datos.
• Al restringir y controlar el acceso a la información confidencial, el Control de Acceso ayuda a las organizaciones a cumplir
con regulaciones como GDPR, HIPAA y otras.
• Los registros de auditoría generados por los sistemas de Control de Acceso proporcionan evidencia de quién accedió a qué
datos y cuándo, lo cual es esencial para demostrar el cumplimiento.
17. Política de Control
de Acceso
Requisitos para definir las reglas de control de acceso a la
información, o sea los derechos y restricciones de acceso
a la información
El requisito exacto de este punto, especifica la necesidad
de establecer, documentar y revisar la política de control
de acceso periódicamente, lo que significa que una
política documentada es obligatoria.
El principio básico para la elaboración de estas reglas es:
La asignación de la menor cantidad de privilegios
posibles para llevar a cabo una tarea dentro de un
sistema de información
La concesión de esos privilegios solamente por el
tiempo que sea necesario para el desarrollo de las
tareas.
18. Gestión de acceso en la red
Para ello se exige como requisito elaborar una política
específica para el uso de los recursos de red.
Este debe determinar a qué información se puede acceder,
los procedimientos de autorización, los controles de gestión
para la protección de las redes, las conexiones de red
permitidas.
Un proceso de control de acceso robusto pasa por los
siguientes puntos realizados según la secuencia de:
1. Identificación: métodos para proporcionar una
identidad reconocible y única.
2. Autenticación: métodos para garantizar que un sujeto
sea quien dice ser.
Con respecto a los métodos de autenticación, los
siguientes conceptos (o factores) se pueden usar, por
separado o en combinación:
Algo que sabe un sujeto: por ejemplo, contraseñas y
PIN. Este es el menos costoso de implementar y el
menos seguro.
Algo que tiene un sujeto: por ejemplo, tarjetas
inteligentes, fichas, llaves, etc. Caro, pero seguro.
Algo que un sujeto es: por ejemplo, patrones de voz,
retina, huella digital, etc. Este es el más costoso de
implementar, y el más seguro.
19. Lo que debe identificar la
política de gestión de red
La política debe identificar:
La red y servicios a los cuales se accede.
Los procedimientos de autorización.
Que controles tienen estos procedimientos.
Los medios por los cuales se accede (VPN, Wifi etc.).
Los requisitos de autenticación.
Como se supervisa el uso de los servicios de red.
20. Gestión de acceso a
los usuarios
Se debe establecer una política o proceso formal para asignar y
revocar los accesos a sistemas y servicios que:
Incluya la aprobación del propietario del servicio o sistema
Verifique si el acceso cumple con las políticas de acceso
definidas
Se garantice que el acceso no se da hasta finalizar el proceso de
autorización
Se mantiene un registro de los accesos concedidos
Se eliminan los accesos de usuarios que han abandonado la
organización
Se modifican los accesos de usuarios que han cambiado de
función o puesto de trabajo si proceda
Se revisan periódicamente los derechos de acceso
21. Gestión de la información de
autenticación secreta de los
usuarios
Control para garantizar que se mantiene la confidencialidad de la información
secreta de acceso
Gestionar la información de autenticación supone controlar:
Incluir cláusulas en contratos y condiciones de puesto de trabajo sobre el
mantenimiento del secreto de las contraseñas o información de
autenticación
Obligación de cambiar contraseñas iniciales después de su primer uso
Identificar al usuario antes de entregar las contraseñas y obtener acuse
de recibo
Uso de contraseñas seguras, no compartidas
Uso de medios seguros de comunicación (Correos cifrados etc.)
Cambiar contraseñas a personal externo después de que han realizado
sus trabajos (instalaciones de software etc.)
22. Beneficios de Gestionar
correctamente los accesos
• Reducción de riesgos: Minimiza el riesgo de filtraciones, robos
y accesos no autorizados a la información confidencial.
• Cumplimiento normativo: Ayuda a cumplir con las
regulaciones de privacidad y seguridad de la información.
• Mejor seguridad: Refuerza la seguridad de los sistemas y datos
de la organización, protegiéndolos de amenazas cibernéticas.
• Mayor eficiencia: Facilita la gestión de los accesos de los
usuarios, optimizando el uso de los recursos de la organización.
• Mayor control: Permite a los administradores de TI tener un
control total sobre los accesos a la información, asegurando que solo
se permita el acceso necesario.
En resumen, la gestión de accesos es una práctica fundamental para
proteger la información de una organización, garantizar el
cumplimiento normativo y mejorar la seguridad de los sistemas y
datos.
