Documente Academic
Documente Profesional
Documente Cultură
n
y
A
u
t
o
r
i
z
a
c
i
o
n
e
s
p
a
r
a
c
a
d
a
s
i
s
t
e
m
a
d
e
i
n
f
o
r
m
a
c
i
n
Local
Local
Sin Control
Local
Local
Servidor de
Archivos
Servidor de
Archivos
Red Interna
Local
Internet
ContentKeeper Usuario
Remoto
Base de Datos
Usuarios
Active
Directory
Base de Datos
Usuarios
SAP
Base de Datos
Usuarios
Base de Datos
Usuarios
Base de Datos
Usuarios
Exchange
Base de Datos
Usuarios
Acceso Remoto
Inicio de
Sesin y
Autorizacin
Cortafuegos
Juniper SG5
I
n
i
c
i
o
d
e
S
e
s
i
n
y
A
u
t
o
r
i
z
a
c
i
o
n
e
s
Local
WinLogon
Base de Datos
Usuarios
Base de Datos
Usuarios
58
La utilizacin de equipo de cmputo existente es una parte importante del presente
trabajo, lo cual nos permite un ahorro en la implementacin de la solucin de manejo
de identidades, por lo tanto la arquitectura fsica planteada buscan lograr el uso
mximo de los equipos de cmputo existentes, as como el cumplimiento de los
objetivos planteados.
Figura 20 Arquitectura fsica sugerida para Inicio de Sesin nico y Autorizaciones.
De acuerdo a lo mostrado en la figura 20 el servidor que contiene el servicio de la
Intranet de la empresa, fue utilizado como servidor de WEBSEAL el cual otorga la
funcin de Inicio de Sesin nico. A su vez, el servidor primario de controlador de
dominio cuyo nombre de equipo es PDCPC (por sus siglas Primary Domain Controler
Pea Colorada) el cual se encuentra dentro del esquema de Directorio Activo, es
Intranet y Control
de Acceso
WEBSEAL
Servidor Windows
2003 Server
Ethernet
10/100 Mbs
Full Duplex
Tivoli Servidor de
Manejo de
Identidades
PDCPCM
Servidor de
Archivos
Base de Datos
Usuarios y
Directorio
Activo
Base de Datos
Autenticacin y
Autorizacin
Inicio de
Sesin nico
Base de Datos
SAP
Red Interna
Usuario
Remoto
Cortafuegos
SG5
Base de Datos
Usuarios Remotos
PDCPC
Windows 2008
Server
BDCPC
Servidor de
Archivos
Base de Datos
Control de Proveedores
y MasterWeb
Base de Datos
Microsoft Exchange
Base de Datos
AS/400 i5
Base de Datos
INFI 90
Base de Datos
Embarques
Base de Datos
ContentKeeper
Adaptador IBM
Tivolo Access
Manager
Adaptadores
Adaptador IBM
Directorio Activo
Adaptador IBM
Directorio Activo
Adaptador IBM
Directorio Activo
Adaptador IBM Manejo
de identidades para i5/
OS versin 5.1.6
Adaptador IBM
Directorio Activo
Adaptador IBM
Directorio Activo
Adaptador IBM SAP
Netware versin 5.1.4
Ncleo del sistema
6.40 nivel 21
Conector
Java
De SAP
Versin 2.1.8
Adaptador IBM
Directorio Activo
59
utilizado para la instalacin del servidor de manejo de identidades digitales Tivoli
Identity Management, el cual realiza la tarea de gestionar los procesos de
autenticacin y autorizacin de usuarios por medio de los adaptadores
correspondientes hacia los diferentes sistemas de informacin existentes. La funcin
de servidor de archivo que desempaaba este mismo servidor, fue cambiada al
servidor de respaldo de controlador de dominio cuyo nombre de equipo es BDCPC
(por sus siglas Backup Domain Controller Pea Colorada), el cual est dentro del
mismo esquema de Directorio Activo.
Otro aspecto importante a destacar dentro de la elaboracin de la arquitectura, es
que la mayora de las conexiones se realiza por medio del Adaptador de Directorio
Activo dejando nicamente la conexin con el sistema de informacin de SAP,
AS/400 i5 y el acceso remoto con su propio adaptador.
Como resultado de la arquitectura propuesta, los usuarios y administradores de
tecnologa de informacin de la organizacin tienen un nico punto de acceso hacia
los sistemas de informacin, para obtener las autorizaciones correspondientes a su
rol desempeado en el flujo de los procesos.
4.4. Implementacin.
En C.M.B.J. Pea Colorada toda implementacin tecnolgica requiere de un proceso
de autorizacin por parte de la alta administracin (consejo directivo), en especial, si
el proceso afecta en gran escala a la empresa. Por ello, toda propuesta debe ser
presentada en su forma conceptual, ya que con ello, la alta direccin visualiza las
implicaciones de la propuesta, autorizando de esa forma a continuar con la siguiente
etapa del proceso que es la obtencin de costos y del valor de recuperacin de la
inversin; una vez obtenida la autorizacin para la inversin, se realiza la fase de
adquisicin e implementacin de la solucin elegida.
60
Debido a que todo el proceso de autorizacin, desde la propuesta conceptual hasta
la adquisicin e implementacin, puede llevar de 6 a 12 meses, la presente
propuesta solo cubre la etapa inicial, siendo esta el diseo conceptual de la
arquitectura de manejo de identidades digitales.
61
CAPTULO V
CONCLUSIONES Y TRABAJO FUTURO
5.1. Conclusiones
La seguridad de los sistemas informticos es un elemento de amplia cobertura en
todas las organizaciones en la actualidad, por lo tanto, lograr un balance entre la
seguridad de los sistemas informticos y la facilidad de acceso a los mismos, resulta
una tarea complicada y difcil. Las organizaciones sufren en la actualidad constantes
cambios en sus procesos para lograr su supervivencia en los negocios, por
consiguiente, la seguridad de los sistemas informticos tiene que evolucionar de la
misma forma sin dificultar la forma de acceder a ellos.
Con el diseo de arquitectura propuesto se cubre la simplificacin de acceso y
administracin de la seguridad de los sistemas informticos bajo el siguiente
esquema orientado a usuarios:
Usuarios generales. En la arquitectura actual los usuarios generales cuenta
con ocho usuarios diferentes, as como la contrasea respectiva, para poder
utilizar los diferentes sistemas informticos existentes. Se debe recalcar que
cada cuenta de usuario es diferente en cinco de ellos. Con el diseo
propuesto, se tiene una sola cuenta de usuario con su respectiva contrasea
para lograr el acceso adecuado hacia todos los sistemas informticos.
Administradores de equipo de cmputo. Al ser los responsables de la gestin
de la seguridad de todos los sistemas informticos, por medio del diseo
propuesto, se logra centralizar la gestin de la seguridad de todos los
sistemas informticos existentes en la empresa, logrando una gran
disminucin en las tareas del personal de la Coordinacin de Sistemas.
La arquitectura propuesta define que todos los sistemas informticos son
susceptibles de conectarse a la solucin de manejo de identidades digitales: en
62
primera instancia por medio de un adaptador, y en segunda instancia, los sistemas
informticos que se requieran agregar al diseo y no cuenten con un soporte para la
conexin, lo puedan realizar a travs del directorio activo de Microsoft Windows
Server, sealando que dicho enlace no cambia la mejora lograda en cuanto al
acceso hacia los sistemas informticos.
Finalmente, se destaca que, al contar con una arquitectura centralizada, se logra la
simplificacin de las actividades diarias de los administradores de equipo cmputo
principalmente, logrando con ello que el personal involucrado dedique un mayor
tiempo a labores de anlisis y monitoreo logrando con ello cultura de prevencin
riesgos y amenazas.
5.2. Trabajo futuro
La presin por mantener la seguridad de la informacin seguir creciendo da con
da, por lo que la arquitectura debe adaptarse. Considerar otras formas de
autenticacin es una tarea primordial, ya que est surgiendo la necesidad en la
organizacin de contar con un sistema biomtrico de entrada y salida de personal
que puede ser la base para lograr an ms la simplificacin de acceso a los sistemas
informticos.
El presente trabajo presenta el diseo de arquitectura lgica y fsica de una solucin
de manejo de identidades digitales, destacando que el trabajo de implementacin de
la misma requiere el involucramiento de diferentes niveles de la empresa, as como
el desarrollo de polticas de seguridad adecuadas al rol que cada usuario tiene dentro
de los procesos desarrollados en los sistemas informticos con la finalidad de
asegurar un adecuado manejo de la informacin.
Adicionalmente, cuando el diseo propuesto se haya implementado ser necesario
realizar un anlisis exhaustivo de desempeo de este nuevo esquema de gestin de
63
identidades digitales con el objetivo de identificar y analizar las problemticas que se
presenten con el esquema.
64
Bibliografa
Anchan, D., & Pegah, M. (2003). Regaining Single Sign-On Taming the Beast. SIGUCCS
2003. Sant Antonio, Texas, USA: ACM.
Anderson, J. (1973). Information Security in a multi-user Computer Environment. New York:
Academic Press.
Balfanz, D. (2003). Usable Access Control for the World Wide Web. 19th Annual Computer
Security Applications (pgs. 406-415). Las Vegas, NV: IEEE Computer Society.
Bass, L., Clements, P., & Kazman, R. (2003). Software Architecture in Practice. Addison
Wesley.
Belapurkar, A., Chakrabarti, A., Ponnapalli, H., Varadarajan, N., Padmanabhuni, S., &
Sundarrajan, S. (2009). Distributed Systems Security - Issues,Processes and Solution.
United Kingdom: John Wiley & Sons Ltd.
Benantar, M. (2006). Access Control Systems - Security, Identity Management and Trust
Models. Austin, TX, USA: Springer.
Benantar, M. (2006). Access Control Systems - Security, Identity Management and Trust
Models. New York: Springer.
Bishop, M. (2003). Computer Security. Boston, U.S.A.: Addison-Wesley.
Braz, C., & Robert, J.-M. (2006). Security and Usability: The Case of the User
Authentificaction Methods. IHM 2006. Montreal, CAN: ACM.
Brewer, D. C. (2006). Security Controls for Sarbanes-Oxley Section 404 IT Compliance:
Authorization, Authentificaction and Access. Indianapolis, U.S.A.: Wiley Publishing,
Inc.
Brian, D. R., & Philips, J. J. (2008). ROI For Technology Projects. Oxford, UK: Elsevier.
Brotby, K. (2009). Information Security Governance: : a practical development and
implementation approach. New York: John Wiley & Sons, Inc.
Buecker, A., Filip, D. W., Cordoba, J. P., & Parker, A. (2009). Identity Management Design.
New York, USA: International Technical Support Organization.
Calder, A. (2005). A Business guide to Information Security. London, UK.: Kogan Page
Limited.
Carpenter , P., & Perkins , E. (2009). Magic Quadrant for User Provisioning. Gartner.
65
Drucker, P. (1993). Management Challenges for the 21st Century. Londres: Harpers Business.
Ferraiolo, D. F., Kuhn, D. R., & Chandramouli, R. (2007). Role-Based Access Control.
Norwood, MA: Artech House, Inc.
Gartner RAS Core Research. (05 de 06 de 2010). gartner.com. Recuperado el 27 de 12 de
2011, de http://www.gartner.com/technology/media-
products/reprints/oracle/article157/article157.html
Hentea, M. (2008). Information Security Management. En H. Nemati, Information Security
and Ethics: Concept, Methodologies, Tools and Aplication (pgs. 350-357). New
York: Information Science Reference (IGI Global).
IBM. (01 de 01 de 2010). IBM Public Folder. Recuperado el 01 de 12 de 2010, de
http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itamesso.doc_8.
0/IBM_TAM_E-SSO_RemoteAccessIntegrationGuide_v8.0.0.pdf
IBM. (01 de 10 de 2010). IBM.com. Recuperado el 01 de 12 de 2010, de http://www-
01.ibm.com/support/docview.wss?uid=swg21396546
IDC. (2009). World Wide Identity and Access Management 2009-2013. Framinghan, MA:
IDC.
Josang , A., Al Zomai, M., & Suriadi, S. (2007). Usability and Privacy in Identity
Management Architectures. Australasian Information Security Workshop (pgs. 143-
152). Ballarat, Australia: Australian Computer Society.
Lacey, D. (2009). Managing the Human Factor in Information Security . West Sussex,
England: Wiley.
Lee, B. (1998). RFC2396 - Uniform resource Identifiers (URI).
Munkwitz-Smith, J. v., & West, A. (2004). Identity and Access Management: Technological
Implementation of Policy. EDUCAUSE.
Noor, A. (2008). Identity Protection Factor (IPF). IDtrust. Gaithersburg, MD: ACM.
Pohlam, M. (2008). Oracle Identity Management. Boca Raton, Florida: Auerbach
Publications.
PricewaterhouseCoopers. (2011). 2012 The global state of Information Security.
Schreiner, R., & Lang, U. (2008). Protection of Complex Distributed Systems. MidSec'08.
Leuven, Belgium: ACM.
Vielhauer, C. (2006). Biometric User Authentification for IT Security. Magdeburg, Germany:
Springer.
66
67