Capítulo 13 Auditoría de identidades: Conceptos básicos

En este capítulo presentamos los conceptos básicos sobre auditoría de identidades y controles de auditoría. Los controles de auditoría permiten supervisar y administrar la auditoría y el cumplimiento en todos los sistemas de información y las aplicaciones de la empresa.

En este capítulo se explican los siguientes conceptos y tareas:

• Qué es la auditoría de identidades

• Finalidad de la auditoría de identidades

• Cómo funciona la auditoría de identidades

• Uso de auditoría de identidades en la interfaz de administración

• Habilitación del registro de auditoría

• Qué son las directivas de auditoría

Qué es la auditoría de identidades

En Identity Manager, auditar es capturar, analizar y responder sistemáticamente a los datos de identidad en toda la empresa para garantizar el cumplimiento de las normativas y directivas internas y externas.

No es fácil respetar la legislación sobre la privacidad de los datos y las cuentas. Las funciones de auditoría de Identity Manager tienen un enfoque flexible que le permite implementar una solución de cumplimiento apropiada para su empresa.

En la mayoría de los entornos hay distintos grupos implicados en el cumplimiento: equipos de auditoría internos y externos (cuyo interés primordial es auditar), y el personal ajeno a la auditoría (que pueden considerarla motivo de distracción). El departamento de TI también suele intervenir en el cumplimiento, ayudando en la transición de los requisitos del equipo de auditoría interno hasta la implementación de la solución elegida. La clave para implementar con éxito una solución de auditoría estriba en capturar con precisión los conocimientos, controles y procesos del personal ajeno a la auditoría, para después automatizar la aplicación de dicha información.

Finalidad de la auditoría de identidades

La auditoría de identidades eleva el rendimiento de la auditoría así:

• La auditoría de identidades detecta automáticamente las infracciones de cumplimiento y facilita su remediación rápida mediante notificaciones inmediatas.

  Las funciones de directivas de auditoría de Identity Manager permiten definir reglas (criterios) para las infracciones. Una vez definidas, el sistema busca condiciones que infringen las directivas establecidas, como el acceso sin autorización o los privilegios de acceso erróneos. Cuando las detecta, el sistema notifica a las personas pertinentes siguiendo una cadena de escalada establecida. A continuación, la infracción se puede remediar (corregir) mediante tareas invocadas por el usuario o flujos de trabajo que se invocan automáticamente al infringir las directivas.

• Proporciona información fundamental específica sobre la efectividad de los controles de auditoría internos.

  Los Informes de Auditor resumen la información de estado sobre las infracciones y las excepciones para analizar rápidamente el de riesgo. La ficha Informes también ofrece informes gráficos sobre las infracciones. Las infracciones se pueden visualizar por recurso, organización o directiva, personalizando cada gráfico según las características definidas para el informe.

• Automatiza las revisiones de certificación de los controles de identidades para reducir el riesgo operativo.

  Las capacidades de flujo de trabajo permiten automatizar la notificación de las infracciones de directivas y de acceso a los revisores seleccionados.

• Elabora informes completos y detallados sobre la actividad de los usuarios que cumplen los requisitos de las normativas.

  El área Informes permite definir informes y gráficos detallados con información sobre el historial y los privilegios de acceso, así como otras infracciones de directivas. El sistema efectúa un seguimiento de la auditoría de identidades seguro y completo, que mediante las capacidades de exportación se puede extraer para actualizar el acceso a los datos y los perfiles de usuario.

• Agiliza las revisiones periódicas para respetar continuamente la seguridad y el cumplimiento de las normativas.

  Se pueden realizar revisiones de acceso periódicas para recopilar registros de los derechos de usuario y averiguar cuáles deben revisarse. A continuación, el proceso notifica a los autenticadores designados las solicitudes de revisión pendientes y actualiza el estado de las solicitudes pendientes una vez que los autenticadores han terminado de actuar sobre ellas.

• Identifica posibles conflictos de intereses en las cuentas de usuario.

  Identity Manager ofrece un informe Separación de tareas que muestra los usuarios con determinadas capacidades o privilegios que podrían producir conflictos de intereses.

Cómo funciona la auditoría de identidades

Identity Manager incluye una función para auditar los derechos de acceso y los privilegios de las cuentas de usuario, y otra distinta para respetar y certificar el cumplimiento. Estas funciones son el cumplimiento basado en directivas y las revisiones de acceso periódicas.

Cumplimiento basado en directivas

Identity Manager utiliza un sistema de directivas de auditoría que permite a los administradores mantener el cumplimiento de los requisitos establecidos por la empresa en todas las cuentas de usuario.

Las directivas de auditoría se pueden utilizar para garantizar el cumplimiento de dos maneras distintas y complementarias: cumplimiento continuo y periódico.

Ambas técnicas se complementan especialmente en los entornos donde se pueden abastecer operaciones fuera de Identity Manager. El cumplimiento periódico es necesario cuando es posible cambiar una cuenta mediante un proceso que no ejecuta o respeta las directivas de auditoría existentes.

Cumplimiento continuo

Cumplimiento continuo significa que se aplica una directiva de auditoría a todas las operaciones de abastecimiento, de manera que no es posible modificar una cuenta sin cumplir la directiva actual.

Para habilitar el cumplimiento continuo, se asigna una directiva de auditoría a una organización, a un usuario o a ambos. Cualquier operación de abastecimiento aplicada a un usuario ocasionará la evaluación de las directivas asignadas al usuario. Siempre que se incumpla una directiva, se interrumpirá la operación de abastecimiento.

Se define jerárquicamente un conjunto de directivas por organización. Sólo se aplica un conjunto de directivas por organización a cualquier usuario. El conjunto de directivas que se aplica es el que está asignado a la organización de nivel inferior. Por ejemplo:

Organización	Conjunto de directivas asignado directamente	Directiva vigente
Austin	Directivas A1, A2	Directivas A1, A2
Marketing		Directivas A1, A2
Desarrollo	Directivas B, C2	Directivas B, C2
Asistencia		Directivas B, C2
Pruebas	Directivas D, E5	Directivas D, E5
Financiera		Directivas A1, A2
Houston		<ninguna>

Cumplimiento periódico

Cumplimiento periódico significa que Identity Manager evalúa la directiva conforme es necesario. Todas las condiciones de incumplimiento se capturan como infracciones de cumplimiento.

Al ejecutar análisis de cumplimiento periódicos, se pueden seleccionar las directivas implicadas. El proceso de análisis combina las directivas asignadas directamente (a usuarios y organizaciones) y un conjunto arbitrario de directivas seleccionadas.

Los usuarios de Identity Manager con capacidades de Administrador del Auditor pueden crear directivas de auditoría y supervisar su cumplimiento ejecutando periódicamente análisis de las directivas y revisiones de sus infracciones. Las infracciones se pueden administrar mediante procedimientos de remediación y mitigación.

Para obtener más información sobre las capacidades de Administrador del Auditor, consulte Conceptos y administración de capacidades en el Capítulo 6Administración.

La auditoría de Identity Manager permite realizar análisis periódicos de los usuarios. En ellos se ejecutan directivas de auditoría para detectar posibles desviaciones respecto a los límites de cuenta establecidos. Cuando se detecta una infracción, se inician actividades para remediarla. Pueden aplicarse reglas de directiva de auditoría estándar de Identity Manager o reglas personalizadas definidas por el usuario.

Flujo de tareas lógico del cumplimiento basado en directivas

La Figura 13–1 ilustra un flujo de tareas lógico para establecer controles de auditoría basados en directivas.

Revisiones de acceso periódicas

Identity Manager ofrece revisiones de acceso periódicas con las que los administradores y otros responsables pueden revisar y verificar los privilegios de acceso de los usuarios puntual o periódicamente. Encontrará más información sobre esta función en Revisiones de acceso periódicas y autenticación.

Figura 13–1 Flujo de tareas lógico para establecer el cumplimiento basado en directivas

Uso de auditoría de identidades en la interfaz de administración

En esta sección se explica cómo acceder a las funciones de auditoría de identidades en la interfaz de administración. También se tratan las plantillas de notificación por correo electrónico utilizadas en la auditoría de identidades.

La sección Cumplimiento de la interfaz

Las directivas de auditoría se crean y administran en la sección Cumplimiento de la interfaz de administración de Identity Manager.

Para crear y administrador directivas de auditoría en la sección Cumplimiento

1. Inicie la sesión en la interfaz de administración (Inicio de sesión en la interfaz de usuario final de Identity Manager).

2. Elija Cumplimiento en la barra de menús.

   La sección Cumplimiento ofrece estas fichas secundarias (o elementos de menú):

   • Administrar directivas

   • Administrar exploraciones de acceso

   • Revisiones de acceso

Administrar directivas

La página Administrar directivas muestra las directivas que tiene permiso para ver y editar. En esta área también puede administrar las exploraciones de acceso.

Desde la página Administrar directivas puede utilizar directivas de auditoría para efectuar estas tareas:

• Crear una directiva de auditoría.

• Seleccionar una directiva para ver o editar.

• Eliminar una directiva.

Encontrará información detallada sobre estas tareas dentro de unas páginas en la sección Ejemplo de escenario de directiva de auditoría .

Administrar exploraciones de acceso

La ficha Administrar exploraciones de acceso sirve para crear, modificar y eliminar las exploraciones de acceso. En ella puede definir exploraciones con el fin de ejecutarlas o programarlas para efectuar revisiones de acceso periódicas. Encontrará más información sobre esta función en Revisiones de acceso periódicas y autenticación.

Revisiones de acceso

En la ficha Revisiones de acceso puede iniciar, terminar, eliminar y supervisar el progreso de las revisiones de acceso. Muestra un informe resumido con los resultados de las exploraciones y vínculos de información para obtener más detalles sobre las actividades pendientes y el estado de la revisión.

Encontrará más información sobre esta función en Administración de revisiones de acceso.

Referencia de tareas de auditoría de identidades en la interfaz

Consulte en la Tabla B–8 cómo se realizan otras tareas de auditoría de identidades en la interfaz de administración. Esta referencia rápida le indica desde dónde iniciar diversas tareas de auditoría.

Plantillas de correo electrónico

La auditoría de identidades envía notificaciones por correo electrónico acerca de diversas operaciones. Con cada una de estas notificaciones se utiliza un objeto de plantilla de correo electrónico. Una plantilla de correo electrónico permite personalizar el encabezado y el cuerpo de los mensajes de correo electrónico.

Tabla 13–1 Plantillas de correo electrónico para auditoría de identidades

Nombre de plantilla	Finalidad
Aviso de remediación de revisión de acceso	Lo envía a los remediadores una revisión de acceso cuando se crean inicialmente derechos de usuario en un estado de remediación.
Aviso de autenticación masiva	Lo envía a los autenticadores una revisión de acceso cuando tienen autenticaciones pendientes.
Aviso de infracción de directivas	Lo envía a los remediadores un análisis de directivas de auditoría cuando se producen infracciones.
Aviso de inicio de exploración de acceso	Se envía a un propietario de una exploración de acceso cuando una revisión de acceso inicia una exploración.
Aviso de finalización de exploración de acceso	Se envía a un propietario de una exploración de acceso cuando se termina una exploración de acceso.

Habilitación del registro de auditoría

Antes de empezar a administrar el cumplimiento y las revisiones de acceso, hay que habilitar el sistema de registro de auditoría de Identity Manager y configurarlo para recopilar eventos de auditoría. El sistema de auditoría está habilitado de manera predeterminada. Un administrador de Identity Manager con la capacidad Configurar auditorías puede configurar la auditoría.

Identity Manager proporciona el grupo de configuración de auditoría Administración de cumplimiento.

Siga estos pasos para ver o modificar los eventos almacenados por el grupo Administración de cumplimiento:

1. Inicie la sesión en la interfaz de administración (Inicio de sesión en la interfaz de usuario final de Identity Manager).

2. Seleccione Configurar en la barra de menús y después Auditoría.

3. En la página Configuración de auditoría, seleccione el nombre del grupo de auditoría Administración de cumplimiento.

---

Nota –

• Para obtener más información sobre la definición de grupos de auditoría, consulte Configuración de grupos y eventos de auditoría.

• En el Capítulo 10Registro de auditoría, se explica cómo registra los eventos el sistema de auditoría.

---

Qué son las directivas de auditoría

Una directiva de auditoría establece límites de cuenta para un conjunto de usuarios de uno o varios recursos. Incluye reglas que definen los límites de una directiva y flujos de trabajo para procesar las infracciones después de producirse. Las exploraciones de auditoría aplican los criterios definidos en una directiva de auditoría para evaluar si se han producido infracciones en la organización.

Una directiva de auditoría consta de estos componentes:

• Reglas de directiva que definen infracciones específicas. Las reglas de directiva pueden contener funciones escritas en los lenguajes XPRESS, XML Object o JavaScript.

• Flujo de trabajo de remediación (opcional), que se inicia cuando una exploración de auditoría detecta una infracción de las reglas de directiva.

• Remediadores, usuarios designados que tienen autorización para responder a una infracción de directivas. Los remediadores pueden ser usuarios individuales o grupos de usuarios.

Creación de directivas con reglas de directiva de auditoría

Las reglas definen conflictos potenciales basados en atributos dentro de una directiva de auditoría. Una directiva de auditoría puede contener centenares de reglas que referencien una gran variedad de recursos. Cuando se evalúa una regla, ésta tiene acceso a los datos de las cuentas de usuario de uno o varios recursos. La directiva de auditoría puede restringir los recursos disponibles para la regla.

Es posible tener una regla que verifique un único atributo en un único recurso, o una regla que verifique múltiples atributos en múltiples recursos.

Flujos de trabajo para remediar infracciones de directivas

Después de crear reglas para definir las infracciones de directivas, debe seleccionar el flujo de trabajo que se iniciará siempre que se detecte una infracción durante una exploración de auditoría. Identity Manager incluye un flujo de trabajo predeterminado de remediación estándar, que proporciona un proceso de remediación predeterminado para las exploraciones de directivas de auditoría. Entre otras acciones, este flujo de trabajo de remediación predeterminado genera notificaciones de correo electrónico para cada remediador designado en el nivel 1 (y todos los niveles de remediadores posteriores, si es preciso).

---

Nota –

A diferencia de los procesos de flujo de trabajo de Identity Manager, a los flujos de trabajo de remediación se les debe asignar el tipo de autorización AuthType=AuditorAdminTask y el subtipo SUBTYPE_REMEDIATION_WORKFLOW. Si va a importar un flujo de trabajo para utilizarlo en exploraciones de auditoría, deberá incluir manualmente este atributo. Encontrará más información en Importación de reglas de separación de tareas a Identity Manager (opcional).

---

Designación de remediadores

Si asigna un flujo de trabajo de remediación, deberá designar al menos un remediador. Puede designar hasta tres niveles de remediadores para una directiva de auditoría. Encontrará más información sobre remediación en Remediación y mitigación de infracciones del cumplimiento.

Antes de asignar remediadores hay que asignar un flujo de trabajo de remediación.

Ejemplo de escenario de directiva de auditoría

Imagine que se encarga de las cuentas por pagar y por cobrar, y que debe implantar procedimientos para impedir que se acumulen responsabilidades potencialmente arriesgadas en empleados del departamento de contabilidad. Esta directiva debe garantizar que los responsables de cuentas por pagar no tengan también responsabilidades de cuentas por cobrar.

La directiva de auditoría contendrá:

• Un conjunto de reglas. Cada una especifica una condición que constituye una infracción de directivas.

• Un flujo de trabajo que inicia tareas de remediación.

• Un grupo de administradores designados, o remediadores, con permiso para ver y responder ante las infracciones de directivas originadas por las reglas anteriores.

Cuando las reglas identifican infracciones de directivas (en este escenario, usuarios con exceso de autoridad), el flujo de trabajo asociado puede ejecutar tareas específicas relacionadas con la remediación, como notificar automáticamente a los remediadores elegidos.

Los remediadores de nivel 1 son los primeros con quienes se contacta cuando una exploración de auditoría identifica una infracción de directivas. Cuando se supera el periodo de escalada indicado en este área, Identity Manager notifica a los remediadores del nivel siguiente (si se han especificado varios niveles para la directiva de auditoría).

En la próxima sección, “Uso de directivas de auditoría”, se explica cómo utilizar el Asistente de directiva de auditoría para crear una directiva de auditoría.