miércoles, 19 de octubre de 2011
martes, 16 de agosto de 2011
Fase II - Empezando a ahorrar con IDM
Luego de haber levantado la información necesaria sobre nuestros procesos de manejo de personal (Pueden repasarlos aquí) se supone que ya tenemos una base sólida donde apoyar las tecnologías que nos van a permitir mejorar los procesos de ingreso de personal, de administración de identidades y de seguridad de la información y, si debe ser costo efectiva, de otra manera sólo estaremos decorando la oficina de la manera más costosa posible.
Ahora exploraremos un poco el proceso de Administración de Identidades como tal, esto es: Aprovisionamiento, SSO, Desaprovisionamiento, Flujos de trabajo y de aprobación y delegación de funciones. No está limitado a estos componentes pero los creo suficiente para el objetivo de esta serie de artículos.
Aprovisionamiento: Es la acción de crear u otorgar una identidad o permisología a un objeto (usuario, sistema o máquina). Para aprovisionar la tecnología escogida, se apoya en el directorio LDAP que funciona como fuente única autorizada de información. Este directorio tiene funciones raiz, tal como las Select de SQL, mediante las cuales puede responder preguntas simples como: ¿Existe x usuario? ¿El usuario x tiene identidad para el sistema ? y ¿El objeto x existe? y ordenes como: crear objeto x(atributos), modificar sistema y(atributos) etc. La tecnología selecionada también se apoya en un directorio para consultar las políticas de seguridad que deben ser ejercidas.- SSO: Single Sign On por sus siglas en inglés. Primero me enfocaré en decir lo que NO es: SSO no es un recordador de claves, SSO no es un administrador de contraseñas SSO ni mucho menos una aplicación digitadora de contraseñas. Una infraestrcutura tiene SSO cuando mediante el uso de una sola clave patrón se puede acceder a múltiples sistemas. Por ejemplo: si yo entro a mi computador corporativo e ingreso mi usuario y mi clave de sistema operativo y luego de esto intento entrar a SAP y al darle doble clic en el ícono SAP se abre en mi pantalla inicial sin solicitar clave, entonces estoy en un ambiente SSO. SAP detecta qué usuario está usando la máquina y chequea en el directorio, si ese usuario tiene acceso a SAP, de ser así, a qué nivel y de acuerdo con las políticas almacenadas en el directorio despliega la pantalla y sus opciones. Lo importante de esto, es que no debería ser limitado a una máquina, donde sea que haga log in debería poder acceder a los mismos sistemas sin ninguna diferencia, esto porque las políticas de seguridad y permisología no estan almacenadas en una computadora, sino en un directorio LDAP y todos los sistemas chequean contra él.
- Desaprovisionamiento: Si esa palabra existiera en español significaría todo lo contrario a Aprovisionamiento, y se dice simple, sin embargo hay una clave en el proceso de desaprovisionamiento en IDM, éste debe ser transparente y con transparente me refiero a que cuando un empleado deje la empresa, por cualquier razón, otro empleado autorizado (RRHH, Seguridad o su mismo jefe) ingresa en el sistema y cambia el estado de dicho empleado de Activo a Inactivo y por arte de magia ya no funciona ninguno de sus recursos, ni su cuenta de SO, ni su cuenta de SAP es hasta posible que el sistema envie un correo automático al proveedor de comunicación celular cancelando la línea corporativa de ese ex-empleado y créanme, sobre todo las líneas corporativas sin desactivar! éstas son un gasto grande en cualquier empresa, mientras más grande más propensa a olvidar este tipo de cosas.
- 4. Flujos de trabajo y de aprobación: Si estamos hablando de una empresa pequeña o mediana, con el proceso de levantamiento de información posiblemente podríamos estar seguros de que sabemos qué acceso darle a quién y a qué nivel, y que todo esto pueda ser centralizado en la tecnologia de IDM seleccionada, pero a medida que la empresa se hace más grande, su ecosistema se hace más complejo, quedando poco espacio para generalidades y siendo deseable que exista un punto de control "humano" en varias etapas del proceso. De eso se trata un flujo de trabajo, existen sistemas y niveles de acceso estándares y otros que son por solicitud, ambos pasan por un proceso de aprobaciones por parte de los responsables funcionales de cada área. Otro ejemplo de un flujo de trabajo lo podemos encontrar en los famosos "reseteos" de claves, está comprobado que los reseteos consumen el 75% de cualquier equipo de Help desk o soporte, lo que nos dice que si hacemos algo con este sorprendente hecho podriamos ahorrarnos un poco de dinero. ¿Qué tal que los usuarios puedan resetear sus claves en una página de autoservicio sin molestar a los analistas de soporte? ¿Parece futurista verdad?
- Delegación: Nunca ha existido una palabra tan importante, para definirla imagínese qué pasaría si la autorización de aprobación para accesos al sistema de inventario la tiene el gerente de operaciones y aunado a esto el gerente de operaciones está de vacaciones. ¿Quién aprueba las solicitudes pendientes? quedaríamos igual que al principio, antes de nuestro trabajo en la Fase I, léalo aquí y entienda la razón por la cual no queremos volver ahí, la razón por la cual el gerente de operaciones debe poder delegar sus funciones aprobatorias en otra persona.
Todos y cada uno de los componentes antes mencionados se apoyan en un directorio LDAP formado como Fuente Única de Autorizada de Información. Lo importante es que estos componentes son un extracto, un ejemplo de lo que se puede llegar a hacer si se hace un buen trabajo levantando la información de los procesos de la empresa y estableciendo un repositorio único para esta información.
Si en alguna de las situaciones antes explicadas no se le ocurrió un número aproximado del dinero que puede ahorrar tomando el camino de IDM, pregúnteme, puedo generar algun post con un ejemplo con números y cuentas reales. Como siempre los comentarios son bienvenidos, puede buscarme en twitter @ITJanitorVE
domingo, 24 de julio de 2011
IDM Fase I: El directorio. La Base de Una Estrategia de IDM
Luego de explicar muy generalmente lo que puede hacer IDM por su empresa, quisiera comenzar ahora un conjunto de artículos que expliquen la necesidad de aprovechar el potencial de IDM en cualquier organización. De los elementos a explicar, el principal y base de una estrategia de IDM es el directorio, o, los servicios de directorio hablando en idioma SOA actual.
Incluso antes de pensar en un servicio de directorio y explicar en qué consiste para resolver la historia del primer post, (Puede leerlo aquí), me permito aclarar que debe conocerse el estado actual de su organización. Preguntas como:
- ¿Cuál es el proceso de nuevos ingresos y de egresos?
- ¿Cuál es la fuente confiable 100% donde puedo saber quién es empleado o no?
- ¿Cuál es el proceso cuando un empleado es ascendido o se cambia de departamento?
- ¿Sabemos qué accesos, a cuáles sistemas, y a qué nivel corresponden a cada cargo de nuestra organización?
- ¿Tenemos reglas de acceso basadas en temporada, horario, o nivel de empleado?
En fin, tener información documentada de los procesos relacionados con el recurso humano y más importante aún, que esta infomación no sea levantada por personal técnico sino por personal funcional que esté familiarizado con dichas tareas.
Dicho esto, hablemos de la estrategia de directorios. Un directorio, en lo que a IDM se refiere, es una fuente única de información de objetos (personas, sistemas, equipos, etc) que interactúan en la infraestructura tecnológica de una organización para efectos de control de acceso, autenticación y autorización; si no está en nuestro directorio, no existe en nuestra organización, por ende, no accede a nuestros recursos. Para implementar esta fase de una estrategia de IDM se usa un directorio LDAP Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios). Un directorio LDAP es un protocolo estándar, por ende, cualquier producto adquirido y que cumpla con este estándar se comunica con el mismo idioma y de la misma manera, adicionalmente pueden tener funciones de valor agregado integradas por cada fabricante pero siempre cumpliendo con el protocolo LDAP.
En el directorio se registra la información de manera jerárquica, incluso se registran políticas de seguridad. La idea es que este directorio sirva no sólo como repositorio de información matriz como empleados y servidores, sino también como punto de consulta de los sistemas de control de acceso, SSO y seguridad; de manera que un cambio en las políticas de seguridad de la empresa -cosa bastante común- no implique un cambio en los sistemas que aplican estas políticas.
El estado ideal de un directorio es que no sea manipulado por el personal de TI más allá de la configuración inicial y alguna modificación de fondo. Los sistemas que apoyan los procesos de identidad son los que modifican las propiedades de los objetos registrados. RRHH usará esta información para sus labores con los empleados, IT la usará para sus labores de acceso y cada empleado tendrá su identidad registrada y la permisología que tenga en este directorio. Se centraliza la información en vez de tener varias fuentes de información desactualizadas y a veces con información antagónica.
Esta fase de la estrategia de IDM es muy importante. Mientras más detallado sea el trabajo de levantamiento de información, configuración del directorio y el diseño de los procesos para mantenerlo actualizado, más rápido serán las fases de implementación de los demás componentes de la estrategia de IDM (SSO, Control de acceso, Aprovisionamiento y aplicaciones analíticas).
Los comentarios son bienvenidos y para un contacto más directo puede hacerlo a través de Twitter
sábado, 16 de julio de 2011
Seguridad y Productividad con IDM.
Carlos es un nuevo director de línea de negocio de Empresa C.A. una organizacion de servicio a compañias petroleras. Esta encargado de las ventas, el departamento que alimenta financieramente a la organización y que últimamente ha tenido un bajo desempeño, de ahí la nueva contratacion.
Carlos llega a la oficina un dia lunes 1ro de Julio para su primer dia de trabajo, ese dia es de charlas y de conocer a toda la planta de directores y empleados. Le explican que para desenvolverse en su trabajo debe manejar SAP para estar al tanto de los inventarios de producto, Lotus Notes que es la plataforma de correo electronico, Cisco VPN que le permite conectarse a los recursos de Empresa C.A. fuera de la intranet, Citrix VPN un cliente para conexiones de emergencia, es decir, cuando no tiene la maquina de la empresa citrix puede establecer una conexion segura VPN desde cualquier maquina, y asi usar los recursos de la empresa y algunos otros recursos de inteligencia competitiva.
El coordinador de infraestructura de IT le hace entrega de la laptop asignada y le informa que en poco tiempo se le estaran activando las diferentes cuentas. Tambien le informa que aun no esta su correo electronico pero que estara llegando en el transcurso de la semana.
Es jueves 4 de Julio y Carlos a penas esta recibiendo el entrenamiento de lotus Notes, pues venia de trabajar con outlook y no esta acostumbrado a la nueva herramienta, aun no puede revisar ni hacer pedidos en SAP pues el consultor SAP de Empresa C.A. esta enfermo y llevara tiempo pedir que den el acceso desde otra subsidiaria fuera del pais. El coordinador de Infraestructura le da las credenciales del antiguo director de ventas para que pueda acceder a la vpn y a SAP temporalmente.
Lunes 15 de Julio Hoy llegaron las credenciales de VPN de Carlos, asi que ya puede dejar de usar las del antiguo director de ventas al menos para la VPN pues aun debe seguir accediendo a SAP con credenciales de otra persona que de paso ya no labora en la empresa.
Miercoles 31 de julio. Hoy fue activada la cuenta de SAP de Carlos, asi que ahora puede proceder a revisar inventarios y hacer pedidos con sus credenciales, sin embargo, debe tambien evaluar el rendimiento de la fuerza de ventas y no se le habia dado acceso al sistema de recursos humanos para este fin, otra solicitud fue hecha.
Si ud es dueño o director de una empresa con diversidad de sistemas en los cuales se apoya para su actividad de negocio este caso le parecera bastante conocido. Cuanto se le esta pagando a Carlos? 15k 20k? entonces tecnicamente pago ese mes 20k por una persona que aun no habia empezado a hacer su trabajo.
La mètrica se llama "hire to work" y mide el tiempo en el que un nuevo empleado tarda en tener todos los recursos necesarios para hacer su trabajo, en este caso es mas de 30 dias, FATAL!
Consideremos ciertos aspectos antes de entrar a exponer alguna soluciòn:
- Si el director anterior estaba molesto, no pudo el entrar a los recursos de la empresa a modificar a su antojo lo que quisiera? despues de todo su acceso estaba aún activo.
- Si habia alguna oportunidad de venta importante para ser cerrada esa primera semana de julio, Carlos lo hubiera podido hacer? sin correo? sin SAP?
- Que estaba haciendo Carlos mientras esperaba que le entregaran acceso a todos los recursos necesarios para trabajar?
IDM (Administración de Identidades o Identity Management en ingles) ataca estos problemas de seguridad y productividad estableciendo procesos estandarizados y luego poniendo en sitio las tecnologías para apoyar estos procesos. En pocas palabras, contrate a un nuevo director de ventas y tenga para el todos los recursos necesarios en las 48 horas siguientes a su primer dia de trabajo, cancele INMEDIATAMENTE las cuentas y accesos del personal que deja la compañia sin perder los datos de las gestiones de estos, sepa en TODO momento quien tiene acceso a que, a que nivel y que hace con ese acceso.
IDM es una teoria con muchos productos en el mercado, todo gran fabricante de software tiene una oferta y ademas tambien hay ofertas de software libre para armar una estrategia de IDM. Principalmente tiene tres componentes Control de Acceso, Servicio de Directorio y Manejo de Roles. El desarrollo y rentabilidad de esta teoria le han ganado ahora un cuarto componente que es el Analítico, en donde se analiza proactivamente las mejoras a los procesos de identidad y seguridad de una empresa. Ademas es rentable esta tecnologia, tiene un ROI especifico y los beneficios son notables al mediano sino corto plazo.
IDM es un universo de oportunidades para mejorar procesos, entre ellos los de seguridad y manejo de personal, por ser una teoria tiene amplia oferta y lo mas importante esta basada en estándares lo que hace que las diferentes ofertas sean interoperables entre si y permite a una empresa seleccionar lo mejor de cada una y armar una solución a la medida.
En proximos artículos estaremos explorando mas en detalle los componentes y formas de implementación de software de IDM.
Carlos llega a la oficina un dia lunes 1ro de Julio para su primer dia de trabajo, ese dia es de charlas y de conocer a toda la planta de directores y empleados. Le explican que para desenvolverse en su trabajo debe manejar SAP para estar al tanto de los inventarios de producto, Lotus Notes que es la plataforma de correo electronico, Cisco VPN que le permite conectarse a los recursos de Empresa C.A. fuera de la intranet, Citrix VPN un cliente para conexiones de emergencia, es decir, cuando no tiene la maquina de la empresa citrix puede establecer una conexion segura VPN desde cualquier maquina, y asi usar los recursos de la empresa y algunos otros recursos de inteligencia competitiva.
El coordinador de infraestructura de IT le hace entrega de la laptop asignada y le informa que en poco tiempo se le estaran activando las diferentes cuentas. Tambien le informa que aun no esta su correo electronico pero que estara llegando en el transcurso de la semana.
Es jueves 4 de Julio y Carlos a penas esta recibiendo el entrenamiento de lotus Notes, pues venia de trabajar con outlook y no esta acostumbrado a la nueva herramienta, aun no puede revisar ni hacer pedidos en SAP pues el consultor SAP de Empresa C.A. esta enfermo y llevara tiempo pedir que den el acceso desde otra subsidiaria fuera del pais. El coordinador de Infraestructura le da las credenciales del antiguo director de ventas para que pueda acceder a la vpn y a SAP temporalmente.
Lunes 15 de Julio Hoy llegaron las credenciales de VPN de Carlos, asi que ya puede dejar de usar las del antiguo director de ventas al menos para la VPN pues aun debe seguir accediendo a SAP con credenciales de otra persona que de paso ya no labora en la empresa.
Miercoles 31 de julio. Hoy fue activada la cuenta de SAP de Carlos, asi que ahora puede proceder a revisar inventarios y hacer pedidos con sus credenciales, sin embargo, debe tambien evaluar el rendimiento de la fuerza de ventas y no se le habia dado acceso al sistema de recursos humanos para este fin, otra solicitud fue hecha.
Si ud es dueño o director de una empresa con diversidad de sistemas en los cuales se apoya para su actividad de negocio este caso le parecera bastante conocido. Cuanto se le esta pagando a Carlos? 15k 20k? entonces tecnicamente pago ese mes 20k por una persona que aun no habia empezado a hacer su trabajo.
La mètrica se llama "hire to work" y mide el tiempo en el que un nuevo empleado tarda en tener todos los recursos necesarios para hacer su trabajo, en este caso es mas de 30 dias, FATAL!
Consideremos ciertos aspectos antes de entrar a exponer alguna soluciòn:
- Si el director anterior estaba molesto, no pudo el entrar a los recursos de la empresa a modificar a su antojo lo que quisiera? despues de todo su acceso estaba aún activo.
- Si habia alguna oportunidad de venta importante para ser cerrada esa primera semana de julio, Carlos lo hubiera podido hacer? sin correo? sin SAP?
- Que estaba haciendo Carlos mientras esperaba que le entregaran acceso a todos los recursos necesarios para trabajar?
IDM (Administración de Identidades o Identity Management en ingles) ataca estos problemas de seguridad y productividad estableciendo procesos estandarizados y luego poniendo en sitio las tecnologías para apoyar estos procesos. En pocas palabras, contrate a un nuevo director de ventas y tenga para el todos los recursos necesarios en las 48 horas siguientes a su primer dia de trabajo, cancele INMEDIATAMENTE las cuentas y accesos del personal que deja la compañia sin perder los datos de las gestiones de estos, sepa en TODO momento quien tiene acceso a que, a que nivel y que hace con ese acceso.
IDM es una teoria con muchos productos en el mercado, todo gran fabricante de software tiene una oferta y ademas tambien hay ofertas de software libre para armar una estrategia de IDM. Principalmente tiene tres componentes Control de Acceso, Servicio de Directorio y Manejo de Roles. El desarrollo y rentabilidad de esta teoria le han ganado ahora un cuarto componente que es el Analítico, en donde se analiza proactivamente las mejoras a los procesos de identidad y seguridad de una empresa. Ademas es rentable esta tecnologia, tiene un ROI especifico y los beneficios son notables al mediano sino corto plazo.
IDM es un universo de oportunidades para mejorar procesos, entre ellos los de seguridad y manejo de personal, por ser una teoria tiene amplia oferta y lo mas importante esta basada en estándares lo que hace que las diferentes ofertas sean interoperables entre si y permite a una empresa seleccionar lo mejor de cada una y armar una solución a la medida.
En proximos artículos estaremos explorando mas en detalle los componentes y formas de implementación de software de IDM.
Suscribirse a:
Comentarios (Atom)