viernes, 12 de mayo de 2017

Visibilidad, Control, Cumplimiento, Remediación y Actividad de aplicaciones desarrolladas en casa y productos de terceros

Image result for project management images pngEn todas las conversaciones alrededor del gobierno del dato no-estructurado (servidor de ficheros, box, Office 365, Exchange, Linux/Unix…etc) siempre sale a la palestra el tema de qué ocurre con mis aplicaciones desarrolladas a medida y con aquellas aplicaciones que explotan información sensible (Data Warehouse, Business Intelligence…etc)  de la compañía y no “tengo control” de ellas ya que tiene su propio modelo de autorización y se desconoce la actividad que se hace de esta información. Para este escenario, la respuesta es SecurityIQ (SIQ).

SQI, además de soportar multitud de plataformas que almacenan datos no-estructurados: Windows, Linux/Unix, EMC2, NetApp, OneDrive, Box, Exchange, Office 365, SharePoint, Dropbox y Google Drive permite ampliar esta capacidad a cualquier plataforma y ofrecer así un framework único y centralizado del gobierno de la información de una compañía de tal manera que el/los departamento/s de Seguridad, cumplimiento, auditoría…utilicen SIQ como punto central.

Con esta capacidad podremos obtener visibilidad de quién puede acceder a la información, aplicar normativas y reglamentos sobre esta información para cumplir las regulaciones vigentes (cumplimiento), remediar las no conformidades detectada y mediar y evaluar la actividad de dichas aplicaciones por los usuarios que la están consumiendo de tal manera que se tenga una foto real de qué está ocurriendo.

Para su puesta en marcha se necesitan 3 pasos sencillos:

  • Datos de origen de la aplicación
  • Desplegar un agente encargado de capturar la actividad
  • Configurar la aplicación para la recolección de toda la información relativa al modelo de datos

 

Escenario de partida

Se ha tomado como ejemplo una modelo de datos (y modelo de autorización) que encaja con más del 90% de las aplicaciones de mercado, es decir, una tabla para usuarios, grupos / roles, relación de usuario/grupos, tipología de permisos, recursos, actividad sobre los recursos, acceso a los recursos a nivel de usuario/grupo.

Toda la información detallada con anterioridad, se ha cargado desde un fichero CSV en tablas de SQL y de ahí en SecurityIQ para correlar la información.

El esquema de las tablas se muestra a continuación:

  • Usuarios (tabla: user)

image

  • Grupos (tabla: group)

image

  • Informes (tabla: report)image
  • Relación de usuarios con grupos (tabla: userINgroup)
  • Tipología de permisos sobre los informes (tabla: permission)

image

  • Actividad (tabla: activity). Esta tabla de actividad tiene que tener obligatoriamente un identificador único (en mi caso he utilizado un secuencial) para que el proceso de importación de datos en SIQ identifique qué registros han sido ya importados, el recurso de acceso (en mi caso es el identificador del informes), el usuario que ha realizado dicha operación y cuando ha realizado la operación.

image

Esta información de actividad será recogida de la plataforma, en mi caso MicroXtrategy, vía syslogs, ficheros logs, visor de eventos…etc.

Nota: la estructura que se ha mostrado en cada una de las tablas no tiene porque seguir la misma nomenclatura, información…etc.

1) Creación de un Data Enrichment

image

image

2) Configuración de una aplicación en SIQ de tipo [Generic Table]

  • Iniciar el cliente de SecurityIQ | System | Application
  • New Application Wizard, seleccionar en Application Type: Generic Table

image

  • Crear un container con el nombre de MicroXtrategy e incorporar como nombre de la aplicación MicroXtrategy – Reports

image

  • Rellenar toda la información relativa al acceso a la tabla de actividad

image

  • Seleccionar de qué Data Enrichment se va a obtener la información adicional de la actividad (se creó previamente en el punto 1)

image

Una vez finalizado el proceso de configuración se habrá generado el fichero XML que posteriormente se utilizará en el despliegue (punto 2.a)

Nota: En este punto tendríamos recogida la actividad de nuestra aplicación MicroXtrategy. Este información ha sido cargada previamente desde un fichero de texto pero podría cargarse desde un SIEM…etc.

2.a) Despliegue del agente de monitorización de actividad

  • Iniciar la instalación del agente de SecurityIQ. En caso de tener desplegados más agente (como se muestra en la imagen inferior), pulsar el botón Add Product

image

  • Seleccionar el XML previamente creado (punto 3)

image

image

  • Ver el estado del agente desde System | Health Center

image

 

3) Añadir una aplicación para la captura de los permisos, usuarios, grupos…etc

  • Seleccionar la aplicación MicroXtrategy – Activity, añadir una nueva aplicación

image

Con las siguiente características

image

Se han creado Data Sources para ser más fácil de identificarlos a la hora de configurar cada unos de los pasos: Resource | Permission Types | User Permissions

image

image

image

image

Lanzar el proceso recolección de datos

Image result for outcome iconUn vez finalizado,ésta es nuestra visibilidad, en SecurityIQ, de la aplicación MicroXtrategy, tanto a nivel de permisos como de actividad, grupos, accesos…etc

 

Actividad a nivel de aplicación

image

image

 

Quién puede ejecutar el informe SP_Forecast_Spain

image

Visibilidad y gestión de permisos

image

Aplicación de políticas

image

 

Espero que os sirva de ayuda

martes, 2 de mayo de 2017

RGPD ¿Por dónde comenzar?

Image result for europe iconLlevo leyendo muchos artículos sobre el “nuevo” Reglamento General de Protección de Datos que entrará en vigor en Mayo 2018 y entiendo a la perfección a las compañía que dicen “y ahora qué…”.

Desde mi punto de vista, además de entender todos los artículos del reglamento debemos plantearnos cómo implementar dicha norma en la práctica y por ello hago mención el artículo 39, “Funciones del delegado de protección de datos”:

image

He destacado este artículo porque manifiesta cual es el principio de un delegado de protección de datos y es el de “Crear un marco para hacer cumplir las políticas y mecanismos necesarios para proteger el acceso a los datos”. Esta tarea no resulta sencilla siempre y cuando no se tenga una solución que ayude a dar respuesta a todos estos artículos recogidos en el reglamento. Por eso, me pongo manos a la obra y os explico cómo podemos dar solución a aquellos artículos referentes a la tecnología (15) y donde Sailpoint da respuesta a 12 de ellos (Gobierno e Identidad). Esto hace que cumplamos con el 80% de dichos artículos

image

 

Comenzamos por el Artículo 5 – Principios relativos al tratamiento

image

image

El resumen de este artículo es el de mantener de forma adecuada los datos personales, identificar quién puede acceder y eliminar, en caso necesario, excesos y datos almacenados en ubicaciones incorrectas.

Related imagey…¿Qué hacer ahora?

Pasos para su cumplimiento:

 

a) Descubrimiento de la información

b) Identificar el propietario de la información

c) Políticas de control

d) Eliminar los permisos

 

SecurityIQ (SIQ) permite:

a) Descubrimiento de la información a través de diversos métodos y patrones (contenido, actividad…etc)

image[39]

b) Identificar al propietario a través de controles, contenido del recurso, actividad y movimiento de la información y MUY importante, mediante campañas de elección del propietario gestionadas por los usuarios finales de los recursos sin intervención del departamento de IT

image

c) Políticas de control en tiempo real con acciones correctoras y certificación de accesos

image

d) Revocación de permisos

image

 

En las siguientes publicaciones haremos hincapié en los demás artículos y cómo le damos cobertura

 

Espero que os sirva de ayuda