Notas de la Sesión: Evaluación de Gestión de Identidades en Operaciones TI

Evaluación del Nivel de Madurez para la Gestión de Identidades - Entrevista con Equipo de Operaciones TI

Contexto y Objetivo del Servicio

  • Servicio de Consultoría: Un "assessment" o evaluación del nivel de madurez en la gestión de identidades para Compartamos.

  • Enfoque: Validar las capacidades actuales de Compartamos a nivel de gestión de identidades.

  • Objetivo: Identificar brechas y oportunidades de mejora.

  • Aclaración: No es una auditoría; el propósito es ayudar a mejorar las capacidades tecnológicas.

Equipo de Trabajo

  • Equipo NTT:

    • Hansville Hills: Manager.

    • Alicia Lara: Líder de Proyecto.

    • Mijaíl Muñoz: Especialista IAM.

    • Richard Vargas: Análisis y relevamiento de información.

  • Equipo Compartamos:

    • Héctor Lluya.

    • Omar García: Gestor del proyecto de evaluación de IAM.

Programa IAM (Governance Framework)

El programa actual de IAM se enfoca en un "framework" de gobierno que incluye:

  • Autenticación:

    • Doble factor de autenticación (2FA2FA).

    • Gestión de sesiones.

    • Métodos de autenticación.

  • Identidades:

    • Gestión de personal (recursos humanos).

    • Gestión de equipos.

    • Provisionamiento y desprovisionamiento de cuentas.

    • Accesos privilegiados (un punto clave).

    • Gestión de contraseñas.

    • Directorio (federación).

    • Almacenamiento de identidades.

  • Autorizaciones:

    • Gestión de roles.

    • Atributos.

    • Definición de perfiles y sus alcances de acceso.

  • Reportes:

    • Métricas.

    • KPIs (Indicadores Clave de Rendimiento).

Interacción con la Gestión de Identidades (Stakeholders)

Diversos equipos interactúan con la gestión de identidades:

  • Estándares: Responsables de infraestructura y arquitecturas escalables.

  • Cumplimiento: Enfocado en normativas (ej. SBS - Superintendencia de Banca, Seguros y AFP) y ciberfraude (riesgo de suplantación de identidad).

  • Auditoría Interna y Externa: Importante para la banca, revisa lineamientos y procedimientos.

  • Experiencia del Colaborador: Satisfacción del personal interno o externo con los accesos, especialmente durante el "onboarding".

  • Data Analytics: Generación de métricas y reportes (ej. cuentas huérfanas, cuentas privilegiadas) para asegurar "compliance".

  • Ciberseguridad: Revisa estándares como NIS (Norma de Ciberseguridad).

  • Unidades de Negocio: Apoyan en la definición de productos y servicios.

Operaciones Diarias del Equipo de Operaciones TI

Altas (User Provisioning)

  • Sistemas Core (BAN Total y SEFIS SLIM/SEFIS):

    • El proceso de alta es casi automático.

    • Se basa en una matriz predefinida.

    • La sincronización se origina en los sistemas de Recursos Humanos (RRHH): ADN (donde se crea la cuenta) \rightarrow Adrián \rightarrow Dispara el alta a SEFIS SLIM/SEFIS y BAN Total.

    • SEFIS: Heredó la automatización de su versión anterior (núcleo principal), donde Adrián enviaba una petición, y Operaciones TI validaba y daba "atendido" para crear el usuario. Se mantiene para SEFIS SLIM.

    • BAN Total: Carece de esta integración directa y automatización para altas.

  • Aplicaciones Satélite (ej. Oracle):

    • El proceso de alta es manual.

    • Se gestiona a través de un ticket en el sistema SISIDSIS ID.

    • Requiere autorización previa de Seguridad de la Información si el rol o acceso no está definido en la matriz.

    • Nomenclatura (ejemplo de Mijaíl): Si un usuario no se da de alta automáticamente en una plataforma que le corresponde, se genera un ticket. Si no está en la matriz, se solicita conformidad a seguridad.

    • Comunicación de Solicitudes: Vía SISIDSIS ID y correo electrónico.

Bajas (User Deprovisioning)

  • Aplicaciones en general: No existe una automatización total para las bajas.

  • Reporte/Alerta: Operaciones TI recibe un reporte o alerta con la fecha de cese de un empleado y una lista de todas las aplicaciones y accesos para dar de baja.

  • Aplicaciones no autenticadas con AD: El reporte es clave para gestionar estas bajas.

  • Active Directory (AD): La baja en el AD es gestionada por el equipo de Infraestructura.

  • SLA: No hay un SLA formalmente definido, pero se ejecutan las bajas inmediatamente al recibir el reporte.

  • Auditorías de Seguridad: Si el equipo de seguridad detecta cuentas huérfanas o no autorizadas que deberían estar de baja, emite una petición que Operaciones TI atiende.

Modificaciones (User Modification)

  • Roles, funciones, reemplazos: Las modificaciones pueden ser parcialmente automatizadas o manuales.

  • Siempre requieren el conforme (aprobación) del equipo de Seguridad de la Información.

  • Flujo: El flujo es el mismo que para altas y bajas, gestionado a través de tickets en SISIDSIS ID.

Gestión de Usuarios Externos y Proveedores

  • Usuarios Externos (con AD): La mayoría de aplicaciones integradas con AD gestionan el acceso de externos basándose en la fecha de finalización definida en el AD.

  • Usuarios Externos (sin AD):

    • No hay un flujo definido para la baja automática.

    • La baja se gestiona a través de una solicitud por ticket (SISIDSIS ID).

    • Para altas o modificaciones, se pide el conforme de seguridad que valida si el rol/perfil corresponde al puesto del externo, si es temporal o permanente, y las fechas de inicio/fin.

  • Identificación (Nomenclatura):

    • Externos: Generalmente un prefijo EXT seguido de dígitos (ej. EXT5328). Esto es gestionado por infraestructura.

    • Colaboradores internos: Primera letra del nombre, apellido, primera letra del segundo apellido (ej. JMuñozC).

Justificación de Tareas

  • Para auditorías o revisiones, se utiliza el ticket (SISIDSIS ID) y el conforme de Seguridad de la Información como evidencia de justificación de las acciones (altas, bajas, modificaciones).

Accesos Privilegiados

  • Operaciones TI no maneja un usuario "admin" genérico con acceso total a las aplicaciones.

  • Los privilegios se gestionan a través de perfiles y roles segmentados según la función del usuario.

  • Usuarios admin predefinidos: Algunas aplicaciones vienen con un usuario admin por defecto desde la instalación, pero estos permanecen inactivos y no se usan.

  • Necesidad de un privilegio alto: Si un colaborador requiere un privilegio elevado (fuera de lo normal), se sigue el flujo de seguridad. En lugar de asignar un rol existente, se crea un nuevo perfil específico con esos privilegios para ese colaborador, a fin de mantener un control más granular.

  • Cuentas privilegiadas en AD: El equipo de Infraestructura gestiona cuentas privilegiadas en el AD (ej. usuarios con sufijo _A) que permiten, por ejemplo, conexiones remotas a servidores. Esto no aplica a nivel de aplicación gestionado por Operaciones TI.

Registro de Logs y Monitoreo

  • Generación de Logs:

    • Los sistemas core (BAN Total, SEFIS SLIM/SEFIS) sí generan logs de creación, modificación y eliminación de cuentas.

    • Otras aplicaciones (pocas) no generan logs.

  • Monitoreo de Eventos: Operaciones TI no tiene información sobre si los logs generados son monitoreados completamente o si existe un listado exhaustivo de ello.

Cuentas de Servicio / Genéricas

  • Identificación: Operaciones TI sí tiene identificadas las cuentas de servicio o genéricas (ej. rapi) utilizadas para tareas automatizadas o "scripts".

  • Gestión de Contraseñas: La pregunta sobre el cambio de contraseñas para estas cuentas fue planteada, pero la respuesta no fue clara en el momento de la reunión. Se mencionó que se solicitará más información.

  • Flujo Automatizado (ej. Adrián \rightarrow SEFIS): Hay usuarios genéricos creados en el AD que se encargan de ejecutar tareas automatizadas entre sistemas (ej. comunicación entre SEFIS y Calpa, o SEFIS y BAN Total).

  • Calpa: Consume servicios de BAN Total para mostrar información (basado en permisos de SEFIS). Las solicitudes de venta se registran en una base de datos diferente llamada MantotalSolMantotal_Sol.

Administración de Aplicaciones en la Nube (Cloud - Azure)

  • Operaciones TI no administra directamente aplicaciones en la nube (Azure); esta tarea recae principalmente en el equipo de Infraestructura.

  • Aplicaciones web de proveedores: Algunas aplicaciones web de proveedores no se integran directamente con el AD, pero sí con la capa de seguridad que sincroniza usuarios y contraseñas. Operaciones TI administra la aplicación en sí, pero no los entornos subyacentes (AD, Azure).

Integración con Recursos Humanos y ERP (Adrián)

  • Sistema de Ticketing (SISIDSIS ID): Integrado para la gestión de solicitudes.

  • Adrián (ERP de RRHH): Es el sistema clave para la gestión de los colaboradores.

  • Roles Temporales: El equipo de Operaciones TI ha gestionado casos de asignación de roles o perfiles temporales en aplicaciones, siempre con la aprobación de Seguridad de la Información.

  • Creación de Nuevos Roles/Puestos:

    • Iniciativa de RRHH, específicamente el área de Compensaciones.

    • Compensaciones crea el nuevo puesto en Adrián y en SEFIS.

    • Operaciones TI se encarga de crear el perfil correspondiente en BAN Total y SEFIS y asociarlo al puesto, asegurando la homologación.

    • Código de Puesto: SEFIS genera automáticamente un código al crear un nuevo puesto. Este es un dato nuevo para el equipo de consultoría.

Soporte y Gestión de la Herramienta SEFIS

  • El soporte de Operaciones TI para SEFIS abarca toda la aplicación:

    • Servidores donde está alojada.

    • Aplicativos cliente.

    • Gestión de usuarios a través del módulo de seguridad de SEFIS (para altas, bajas, modificaciones).

Próximos Pasos

  • Se enviarán preguntas adicionales por correo electrónico a través de Omar.

  • Se solicitará documentación adicional para completar la evaluación.

  • Las minutas y la presentación de la sesión se compartirán con los participantes. (Nota: Mencionado al final de la reunión.)