Access Governance

Las violaciones de seguridad cuestan a las organizaciones millones de dólares cada año. La fuerza de la seguridad es tan fuerte como el eslabón más débil. Debe cumplir con los requisitos normativos al tiempo que protege la información del cliente. La clave para aplicar el cumplimiento es obtener visibilidad de la información de seguridad, como el tipo de acceso permitido en toda la infraestructura. También debe revisar periódicamente la información de acceso para asegurarse de que las personas adecuadas tengan el nivel adecuado de acceso a los recursos adecuados. Para ello, automatice las tareas relacionadas y facilite a su organización la toma de decisiones relacionadas con la seguridad.

A medida que las empresas crecen y pasan a un entorno multinube, mantener la postura de seguridad adecuada se convierte en un desafío mayor. A medida que aumenta el número de sistemas locales y en toda la nube, la gobernanza de las identidades y el acceso a los sistemas se vuelve más compleja. El control manual ya no funciona de manera efectiva. Las soluciones automatizadas e inteligentes que utilizan inteligencia artificial (IA) y aprendizaje automático (AA) son necesarias para una gobernanza eficaz. Esto se aplica a una serie de tareas relacionadas con la seguridad, como aprovisionamiento y anulación de aprovisionamiento de usuarios, control de acceso basado en flujos de trabajo y visibilidad de quién tiene acceso, revisiones de acceso y certificaciones.

Cuando las identidades no están controladas, pueden plantear varios problemas y riesgos para la empresa. La siguiente información resume estos desafíos:

• Hay falta de visibilidad sobre quién tiene acceso a qué, aumentando el riesgo.
• Si se deja sin marcar, se acumulan privilegios de acceso.
• Las políticas excesivamente permisivas y generalizadas otorgan permisos amplios o sin restricciones.
• Los entornos multinube e híbridos provocan la duplicación de identidades y la inconsistencia en todos los sistemas.
• La gestión y el control manual de identidades y accesos genera problemas de complejidad y escalabilidad.
• La agregación, la correlación y la orquestación de datos de identidad y derechos de acceso se distribuyen en todo el ecosistema de TI y provocan incoherencias.
• La falta de análisis en tiempo real lleva a la toma de decisiones basada en información de acceso e identidad obsoleta.

Para abordar estos desafíos, implemente soluciones basadas en capacidades avanzadas de administración y gobernanza de identidades (IGA) que proporcionen capacidades inteligentes en tiempo real (como análisis prescriptivos) para identificar anomalías y mitigar los riesgos de seguridad de manera efectiva.

Control y administración de identidades

Gartner define IGA como una solución empresarial para gestionar el ciclo de vida de la identidad digital y controlar el acceso de los usuarios en entornos locales y en la nube. Para lograr esto, las herramientas de IGA agregan y correlacionan datos dispares de identidad y derechos de acceso que se distribuyen en todo el panorama de TI para mejorar el control sobre el acceso humano y de máquinas.

IGA es un conjunto de políticas y tecnologías que le ayudan a gestionar las identidades digitales y los derechos de acceso. IGA adopta un enfoque amplio para gestionar las identidades digitales y los derechos de acceso. El objetivo de IGA es garantizar que solo los usuarios autorizados tengan acceso a los recursos que necesitan para realizar su trabajo, mejorar el cumplimiento y simplificar los procesos de negocio. Las soluciones IGA suelen incluir funciones para la gestión del ciclo de vida de la identidad, la gobernanza del acceso y los informes y análisis. La siguiente información describe IGA:

• Gestión del ciclo de vida de identidad: procesos implicados en la creación, gestión y eliminación de identidades de usuario. Esto incluye tareas como la incorporación de nuevos empleados, la desvinculación de empleados cesados y la gestión de cambios en los roles y permisos de usuario.
• Gobernanza de acceso: práctica de garantizar que los usuarios solo tengan acceso a los recursos que necesitan para realizar su trabajo. Esto incluye tareas como la asignación de permisos, la aplicación de privilegios mínimos y la auditoría de la actividad de acceso.
• Informes y análisis: le proporciona información sobre su identidad y datos de acceso. Esta información se puede utilizar para identificar riesgos potenciales, mejorar el cumplimiento y tomar mejores decisiones sobre la gestión de identidades.

IGA es una parte importante de su estrategia de seguridad general. Al implementar soluciones IGA, los beneficios incluyen:

• Riesgos de seguridad reducidos: IGA puede ayudarle a reducir los riesgos de seguridad al garantizar que solo los usuarios autorizados tengan acceso a datos confidenciales. Para ello, puede implantar funciones como privilegios mínimos, control de acceso basado en roles, estadísticas inteligentes y separación de funciones.
• Cumplimiento mejorado: IGA puede ayudarle a mejorar el cumplimiento de normativas como Sarbanes-Oxley, 21 CFR Parte 11, Gramm-Leach-Bliley, Health Insurance Portability and Accountability Act (HIPAA) y General Data Protection Regulation (GDPR). Esto se puede hacer proporcionando funciones para gestionar el acceso a datos confidenciales, realizar un seguimiento de la actividad del usuario y generar informes.
• Autoservicio simplificado: IGA puede ayudarle a optimizar los procesos de negocio mediante la automatización de tareas de gestión de identidades, como la vinculación y desvinculación de usuarios y la asignación de permisos. Esto puede liberar al personal de TI para que se centre en otras tareas y mejore la eficiencia de la organización.
• Ahorro de costos: IGA puede ayudarle a ahorrar costos y tiempo a través de paneles de control eficientes y fáciles de usar, flujos de trabajo sin código y vinculación de aplicaciones basada en asistente.

El objetivo de IGA es gestionar la compleja matriz de derechos de acceso y repositorios de identidad dentro de las organizaciones, tanto locales como en la nube. Garantiza un acceso adecuado a los recursos en entornos de TI altamente conectados.

Algunas de las capacidades clave para una suite IGA completa para satisfacer las necesidades típicas de una organización son:

• Gestión de ciclo de vida de identidad
• Gestión de derechos
• Soporte para solicitudes de acceso
• Orquestación del flujo de trabajo
• Certificación de acceso
• Aprovisionamiento mediante conectores automatizados
• Análisis e informes
• Gestión de políticas y roles
• Gestión de contraseñas
• Segregación de derechos

Algunas de estas capacidades son más esenciales para una solución IGA que otras. En esta lista, se describen las capacidades generalmente esperadas en una solución IGA.

Oracle Access Governance

Oracle Access Governance es una solución en la nube que ayuda a cumplir los requisitos de gobernanza y conformidad de acceso en muchas aplicaciones, cargas de trabajo, infraestructuras y plataformas de identidad. Detecta identidades continuamente, supervisa sus privilegios, aprende patrones de uso y automatiza los procesos de revisión y cumplimiento de accesos con recomendaciones prescriptivas para proporcionar una mayor visibilidad del acceso en todo el entorno local y en la nube de una organización. Access Governance simplifica las campañas de certificación para el cumplimiento y sugiere de forma inteligente acciones para reducir el riesgo en toda la organización.

Access Governance proporciona una solución de gobernanza completa que se ejecuta con otras soluciones de identidad en un modelo de despliegue híbrido. Las organizaciones que optan por un modelo híbrido pueden aprovechar las capacidades avanzadas disponibles en los servicios nativos en la nube, al tiempo que conservan partes de su conjunto de IAM local para cumplir con los requisitos de residencia de datos. El servicio permite microcertificaciones basadas en eventos ad hoc, periódicas y automatizadas, como una revisión de acceso disparada por un cambio de código de puesto o de mánager. Puede realizar revisiones de acceso casi en tiempo real y proporciona recomendaciones detalladas junto con opciones para que los revisores acepten o revisen un derecho en función del nivel de riesgo identificado.

Para obtener más información sobre los detalles y el uso de Access Governance, consulte:

• Access Governance - Hoja de datos
• Documentación de Access Governance

Access Governance es necesaria para gestionar el acceso a múltiples capacidades para los usuarios de una organización. En un entorno complejo en el que un usuario tiene acceso a varias aplicaciones que se ejecutan en un entorno local, en la nube o híbrido, es importante garantizar que el usuario tenga la cantidad adecuada de acceso para realizar su trabajo sin otorgarles un acceso excesivo que se pueda utilizar de forma incorrecta.

Las organizaciones deben tener visibilidad sobre quién tiene acceso a qué y la capacidad de definir diversas violaciones para evitar combinaciones peligrosas de acceso. Access Governance le ayuda a documentar el acceso y obtener información sobre el uso del acceso para detectar y evitar cualquier posible uso indebido.

Oracle Access Governance ofrece una plataforma inteligente e intuitiva que permite descubrir identidades, supervisar el acceso y mitigar riesgos en recursos tanto multinube como locales aprovechando la IA y el aprendizaje automático. Automatiza las acciones correctivas y aplica el cumplimiento de las políticas corporativas, reduciendo la carga para los equipos de TI y seguridad.

Arquitectura de Access Governance

En el siguiente diagrama se muestra la arquitectura funcional de alto nivel de Oracle Access Governance. En esencia, proporciona una serie de capacidades funcionales de IGA, que incluyen orquestación de identidad, análisis y estadísticas, campañas de revisión de políticas y acceso, control de acceso, auditoría y cumplimiento. Proporciona conectores para integrarlos con una serie de sistemas locales, servicios en la nube y aplicaciones de software como servicio (SaaS).

Por lo general, las organizaciones tienen varias aplicaciones, Oracle e-Business Employee Reconciliation (HRMS) y sistemas de gestión de identidades. Estos diferentes sistemas se pueden incluir en Access Governance, que a su vez, correlaciona las identidades. Access Governance ayuda a identificar cómo obtuvieron el acceso, qué acceso tienen y cómo lo están utilizando. En base a esto, el riesgo de identidad puede ser controlado. En las áreas de servicios en la nube y locales de la parte derecha del diagrama, hay varios servicios en la nube y sistemas locales con acceso que se debe controlar para estas identidades.

Capacidades de Access Governance

Las áreas funcionales principales de Oracle Access Governance son:

• Organización de identidad
• Control de Acceso
• Gobernanza y conformidad
• Inteligencia de identidad

En el siguiente diagrama se muestran las capacidades clave de cada una de estas áreas funcionales.

Orquestación de identidad

La orquestación de identidades integra los múltiples sistemas de identidad de una organización en las nubes y los sistemas de identidad locales. Permite una identidad y un acceso consistentes a las aplicaciones independientemente de dónde se ejecuten y de su proveedor de identidad. Es una capacidad esencial para entornos complejos multinube e híbridos en los que un solo usuario puede tener múltiples identidades en sistemas dispares.

Las capacidades clave relacionadas con la orquestación de identidades son:

• Sistemas conectados
• Integración sin código
• Atributos de identidad personalizados
• Marca de identidad

Sistemas conectados

Oracle Access Governance se puede integrar con sistemas de identidad de destino mediante la definición de un sistema conectado. Un sistema conectado le permite cargar datos de un sistema de identidad de destino remoto en Oracle Access Governance. El sistema conectado definirá parámetros, como detalles de conexión, necesarios para acceder a los datos de identidad remotos. Cuando no es posible una conexión directa entre Oracle Access Governance y el sistema de identidad de destino, se puede desplegar un agente para que actúe como un puente entre ambos.

Un sistema conectado es la definición de huella de un sistema de identidad de destino con el que se puede realizar la integración y que puede proporcionar datos a Oracle Access Governance. Después de definirlo, el sistema conectado permite la integración y la sincronización de datos entre sistemas de identidad de destino y Oracle Access Governance mediante una conexión directa o un agente.

El componente principal del servicio de gobernanza de acceso en la nube es la instancia de gobernanza de acceso que proporciona separación física de los datos y la configuración para Access Governance. En el área local de la parte izquierda del diagrama, hay un ejemplo de sistemas conectados locales. Algunos de estos sistemas pueden ser fuentes autorizadas que gestionan la información de identidad. Algunos pueden ser sistemas de destino en los que desea gestionar el acceso a los recursos.

Integración sin código

Uno de los principios de diseño clave de Access Governance es permitir una integración intuitiva y sin código a los sistemas conectados. La mayoría de los sistemas locales utilizan una arquitectura basada en agentes para integrarse con Access Governance. Para cada sistema conectado en el que no hay ninguna conexión directa entre AG y el sistema de destino disponible, se genera un agente cuando se configura el sistema conectado. El agente se debe descargar y ejecutar para integrar el sistema conectado con Access Governance. El agente suele ser una imagen de contenedor que se ejecuta como microservicio. Puede tener uno o más de estos sistemas conectados para acceder a la gobernanza.

El diagrama anterior muestra la integración de Oracle Identity Governance (OIG) y Access Governance. OIG está integrado en Access Governance a través de un agente de OIG que se puede ejecutar en la misma máquina virtual (VM) donde se ejecuta OIG o una instancia de VM independiente con un motor de contenedor compatible que es Docker o Podman.

Los sistemas conectados basados en la nube también pueden ser orígenes autorizados o sistemas de destino. Para muchos de los sistemas conectados basados en la nube, se proporciona integración directa. Por ejemplo, puede integrarse con OCI IAM mediante una clave de API. En el siguiente diagrama se muestra la integración de Oracle OCI con Access Governance.

Puede establecer una conexión entre Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) y Oracle Access Governance introduciendo los detalles de conexión y configurando el entorno del proveedor de servicios en la nube. Para ello, utilice la opción Sistemas conectados de la consola de Oracle Access Governance. Esta integración se realiza a través de una clave de API. Se crea una clave de API para el usuario de AGCS y se configura en la página de sistemas conectados. Una vez conectadas, se pueden realizar revisiones de políticas para las políticas de OCI.

Atributos de identidad personalizados

Oracle Access Governance recupera automáticamente los atributos principales y personalizados definidos en un sistema conectado. Los detalles de los atributos se cargan automáticamente en Access Governance cuando los datos se cargan desde un sistema conectado. Si crea más atributos personalizados en el sistema de destino, después de la carga de datos inicial, puede refrescar los atributos personalizados en el esquema de Access Governance para que los últimos atributos personalizados se incluyan en la siguiente carga de datos.

Puede utilizar estos atributos en Oracle Access Governance para realizar diversas funciones, como la ejecución de campañas de revisiones de acceso, la selección de identidades para recopilaciones de identidades, la definición de certificaciones basadas en eventos o la aplicación de condiciones de atributo para activar/desactivar el juego de datos de identidad disponible.

Marcado de identidad

La función de marcado de identidad permite a los administradores activar o desactivar identidades dentro del servicio, y marcar identidades como usuarios de personal o consumidores. Es importante entender el significado de esta terminología en Access Governance.

• Identidades activas: identidades marcadas como activas en el servicio Oracle Access Governance, que permite las principales funciones, incluidas las revisiones de acceso y el control de acceso.
• Identidades inactivas: identidades marcadas como inactivas en el servicio Oracle Access Governance que no se rigen por Active Governance y no se tienen en cuenta para la facturación.
• Usuarios de personal: usuarios que suelen ser empleados que necesitan acceso a Access Governance y cuyas identidades se rigen activamente. Estos usuarios pueden realizar activamente actividades de revisión o gestión en AG.
• Usuarios de consumidor: los usuarios que no tienen acceso al servicio Access Governance y sus privilegios de acceso deben ser asignados o gestionados por otros.

Uno de los primeros pasos para configurar Active Governance es marcar las identidades adecuadamente como usuario de personal o consumidor y activarlas dentro del sistema Active Governance.

Control de Acceso

El control de acceso proporciona una forma centralizada de gestionar el acceso a los recursos. Utiliza una variedad de técnicas, incluido el control de acceso basado en roles (RBAC), el control de acceso basado en atributos (ABAC) y el control de acceso basado en políticas (PBAC) para garantizar que los usuarios solo tengan acceso a los recursos que necesitan para realizar su trabajo. Las organizaciones utilizan el control de acceso para mejorar la estrategia de seguridad. El control de acceso incluye:

• Solicitudes de acceso
• Flujos de trabajo de aprobación
• Recopilaciones de identidades
• Grupos de accesos
• Roles (RBAC)
• Políticas (PBAC)

Solicitudes de acceso

Como usuario de Oracle Access Governance, puede solicitar acceso a recursos y roles. Las solicitudes se pueden hacer para usted o para otros. Este proceso crea una solicitud de acceso que se otorga sin más acciones o está sujeta a un flujo de trabajo de aprobación.

• El proceso utiliza un enfoque de autoservicio con un catálogo de acceso simplificado.
• Access Governance proporciona una experiencia de usuario modernizada para generar y realizar un seguimiento de las solicitudes de acceso y las aprobaciones.
• El flujo de trabajo de aprobación se puede personalizar según las necesidades de la organización.
• Access Governance mejora la productividad mediante la automatización del cumplimiento de los privilegios de acceso aprobados.

Flujos de trabajo de aprobación

Todos los permisos o roles que se deben asignar a un usuario se deben procesar mediante un flujo de trabajo de aprobación. Como administrador de recursos, debe diseñar el flujo de trabajo especificando el nivel de aprobación necesario y el número de aprobadores. Puede utilizar estos flujos de trabajo para obtener aprobaciones antes de asignar o revocar privilegios de usuario.

Por ejemplo, cuando un usuario solicita acceso a un grupo de acceso mediante Access Governance, el flujo de trabajo de aprobación asociado a ese acceso o permiso dispara una notificación por correo electrónico a los aprobadores, que luego revisan la solicitud y la aprueban, la rechazan o pueden solicitar más información. El resultado del proceso de aprobación se actualiza en el sistema de gestión de permisos.

Los flujos de trabajo proporcionados listos para usar con Oracle Access Governance incluyen las siguientes funciones:

• Se notifica a los revisores sobre las revisiones de acceso asignadas y pendientes.
• Oracle Access Governance admite flujos de trabajo de revisión de acceso de un nivel, dos niveles y tres niveles.
• Las revisiones de acceso se pueden aceptar o revocar.

Los flujos de trabajo de Oracle Access Governance permiten:

• Creación de flujos de trabajo totalmente configurable sin codificación.
• Flujos de trabajo que admiten aprobaciones de varias etapas en las que se pueden configurar los aprobadores.
• Capacidad para configurar si todos o uno de los aprobadores necesitan aprobar la solicitud
• Sugerencias para un flujo de trabajo inteligente basado en criterios seleccionados.
• Soporte para aprobadores de escalada en casos en los que los aprobadores no realizaron ninguna acción.

Recopilaciones de identidades

El control de acceso basado en atributos (ABAC) es un método para controlar el acceso a los recursos en función de los atributos del usuario y del recurso. Los atributos pueden incluir la función de puesto, el departamento, la ubicación y la hora del día del usuario. Access Governance utiliza recopilaciones de identidades para ABAC.

Las recopilaciones de identidades son grupos de identidades basados en atributos compartidos o identidades con nombre. Estas identidades se incorporan desde sistemas conectados mediante la orquestación de identidades.

Identity Collections simplifica las tareas al permitirle configurar funciones para una recopilación de identidades, en lugar de para cada identidad. Puede utilizar recopilaciones de identidades para:

• Asocie identidades a grupos de acceso o roles adecuados mediante políticas.
• Delegar tareas de revisión de acceso a una recopilación de identidades.
• Asignar como aprobadores en flujos de trabajo de aprobación.

Grupos de accesos

Las empresas tienen múltiples aplicaciones y servicios a los que se debe controlar el acceso. Cada una de estas aplicaciones puede definir varios permisos que se deben otorgar según el rol del usuario. A veces, estos permisos son de grano grueso y, a veces, de grano fino. Si bien es posible otorgar estos permisos individualmente a los usuarios, puede ser complejo y propenso a errores. Normalmente, según el caso de uso, los usuarios necesitarían un juego de permisos para realizar sus tareas. Conceder solo una parte de estos permisos causaría problemas y retrasos en el desempeño de sus funciones.

Los paquetes de acceso se basan en el uso de un juego de permisos que siempre se agrupan para realizar las responsabilidades del usuario.

Un paquete de acceso es una recopilación de permisos que empaquetan el acceso a los recursos, las funciones de la aplicación y la funcionalidad en una unidad que se puede solicitar. Un grupo de acceso específico está asociado a un único destino. No se requiere que los usuarios de un recurso en particular soliciten cada permiso asociado con ese recurso. En su lugar, solicitan el grupo de acceso para ese recurso. Esto simplifica el proceso de solicitud de permisos de recursos.

Por ejemplo, puede crear un grupo de acceso para desarrolladores mediante la aplicación de destino Oracle Integration. Puede llamar a este grupo Acceso para desarrolladores de integración y seleccionar los permisos de lectura, edición y creación necesarios para que un desarrollador de integración utilice la aplicación. Cuando un desarrollador de su organización necesita solicitar acceso de desarrollador a la aplicación Oracle Integration, solo necesita solicitar el paquete, no los permisos individuales. Los propietarios de las aplicaciones gestionan los paquetes de acceso y se pueden solicitar en el catálogo de acceso.

Una vez definido el grupo de acceso, se puede asignar a roles o utilizar en políticas para otorgar el juego de permisos. Los roles y las políticas suelen ser gestionados por administradores, lo que proporciona una forma de separar tareas.

Roles

El control de acceso basado en roles (RBAC) es un método para controlar el acceso a los recursos en función de los roles que tienen los usuarios. Los roles se asignan a los usuarios en función de su función de puesto, departamento u otros criterios.

En Access Governance, un rol es un grupo de paquetes de acceso para una o más aplicaciones y servicios. Los paquetes de acceso incluidos en un rol pueden abarcar varios destinos. Un ejemplo podría ser un rol de administrador de base de datos, que agrupa el administrador de base de datos para Oracle. Administrador de base de datos para DB2 y administrador de base de datos para paquetes de acceso MySQL. Esto le permite crear roles que combinan los paquetes de acceso relevantes para realizar ese rol. Estos roles se pueden asociar a identidades mediante políticas. Un rol no proporciona acceso a un recurso por defecto. El acceso se otorga a una identidad cuando se asigna un rol a esa identidad mediante una política o una solicitud de autoservicio. Los administradores de roles gestionan los roles y se pueden solicitar en el catálogo de acceso.

Políticas

El control de acceso basado en políticas (PBAC) es un método para controlar el acceso a los recursos en función de las políticas. Las políticas son reglas que definen quién puede acceder a qué recursos y en qué condiciones.

Las políticas asocian recursos y permisos a identidades mediante roles y grupos de acceso. En el siguiente diagrama se muestra cómo puede mantener políticas en el servicio Access Governance.

Las recopilaciones de identidades son un grupo de identidades de usuario definidas en función de los atributos. Los usuarios necesitan acceso a las aplicaciones y los servicios, y los permisos se colocan en paquetes de acceso. Los roles pueden agrupar grupos de acceso en función de los casos de uso. Las políticas asocian las recopilaciones de identidades a roles o grupos de acceso. PBAC permite el acceso justo y justo a tiempo, y proporciona una forma de centralizar la gestión de políticas y las revisiones de acceso que pueden gestionar los auditores internos y los administradores de cumplimiento.

Gobernanza y conformidad

Access Governance ayuda a garantizar la gobernanza y el cumplimiento al proporcionar una vista centralizada de todos los datos de identidad y acceso, además de herramientas para gestionar políticas de acceso, realizar evaluaciones de riesgos y auditar el cumplimiento.

La gobernanza y el cumplimiento son conceptos estrechamente relacionados que son importantes para que una organización proteja sus datos y activos.

• Gobernanza se refiere al conjunto de políticas, procesos y procedimientos que una organización utiliza para gestionar su entorno de TI. Se centra en garantizar que los sistemas de TI de la organización estén alineados con los objetivos y las metas empresariales.
• El cumplimiento se refiere al acto de seguir las reglas, leyes y regulaciones. Se centra en garantizar que los sistemas de TI de la organización cumplan con las regulaciones pertinentes.

Gobernanza y cumplimiento son conceptos relacionados. La buena gobernanza es esencial para garantizar el cumplimiento y el cumplimiento es esencial para mantener la buena gobernanza. Las capacidades clave son:

• Campañas
• Revisiones de acceso
• Revisiones de políticas
• Revisiones basadas en eventos
• Delegación

Campañas

Una campaña de revisión de acceso es un proceso sistemático para revisar y actualizar el acceso de los usuarios a los recursos. Las campañas de revisión de acceso suelen llevarse a cabo de forma regular, como anual o trimestral, para garantizar que los usuarios solo tengan acceso a los recursos que necesitan para realizar su trabajo.

Las campañas de revisión de acceso suelen incluir los siguientes pasos:

• Cree la campaña.
• Defina el ámbito de la campaña eligiendo qué se incluye en la revisión.
• Configure el flujo de trabajo de aprobación.
• Programe la campaña como una campaña puntual o periódica, lo que elimina la necesidad de realizar un seguimiento manual de estas campañas.
• Ejecute la campaña.

La campaña se completa una vez finalizadas todas las tareas de revisión.

Las campañas de revisión de acceso son una parte importante de su estrategia de seguridad. Al revisar regularmente el acceso de los usuarios, puede ayudar a mitigar el riesgo de acceso no autorizado a datos y sistemas confidenciales.

Las campañas de revisión de acceso de Oracle Access Governance se utilizan para revisar los derechos de acceso. Access Governance admite los siguientes tipos de campañas de revisión de acceso:

• Campañas de revisión de acceso de usuario: comprende un grupo de revisiones de acceso para miembros de su población empresarial donde se comprueba el acceso individual a un origen específico y se certifica o soluciona.
• Campañas de revisiones de políticas: incluye un grupo de revisiones de políticas que evalúa el control de acceso de las políticas de Identity and Access Management (IAM).
• Revisaciones de acceso basadas en eventos: revisiones de acceso iniciadas automáticamente por Oracle Access Governance cuando se producen uno o más tipos de eventos predefinidos.
• Campañas de revisión de recopilación de identidades: campañas de revisión de acceso únicas o periódicas para revisar recopilaciones de identidades definidas en Access Governance o derivadas de OCI.

Revisiones de acceso

Una revisión de acceso es la revisión del acceso y los permisos de una entidad, normalmente un usuario final, que se lleva a cabo para confirmar si el acceso y los permisos asignados a esa entidad siguen siendo válidos.

Un administrador de campañas puede crear campañas de revisión de acceso únicas o periódicas en la consola de Oracle Access Governance. Puede definir criterios de selección basados en usuarios, aplicaciones, permisos y roles. También puede definir el flujo de trabajo de aprobación para seleccionar el número de niveles de revisión, la duración de la revisión y los detalles del revisor.

En el diagrama anterior se muestran los criterios de selección que abarcan las revisiones de acceso. La siguiente información describe los criterios:

• Quién tiene acceso: criterios para filtrar usuarios según atributos estándar (organización, trabajo, ubicación) o personalizados.
• A qué están accediendo: criterios para filtrar usuarios en función de los recursos a los que tienen acceso.
• Qué permisos: criterios para filtrar usuarios en función de permisos individuales, como crear, actualizar, terminar, aprobar o acceder a grupos.
• Qué recopilaciones de identidades: permite realizar la revisión de la recopilación de identidades.

Revisiones de políticas

Un administrador de campañas puede crear revisiones de políticas bajo demanda para OCI definiendo los criterios de selección en función de las políticas asociadas a los usuarios. El flujo de trabajo de aprobación se puede crear seleccionando el número de niveles de revisión, la duración de la revisión y los detalles del revisor.

El diagrama anterior muestra los criterios de selección que alcanzan el ámbito de las revisiones de políticas. La siguiente información describe los criterios:

• Quién tiene acceso: criterios para filtrar usuarios según atributos estándar (organización, trabajo, ubicación) o personalizados.
• A qué están accediendo: criterios para filtrar usuarios en función de los recursos a los que tienen acceso.
• Qué arrendamientos: criterios para filtrar usuarios según los arrendamientos que se van a incluir en el ámbito.
• Qué políticas: seleccione las políticas en las que se realizará la revisión.
• Qué roles: seleccione los roles para los que se realizan las revisiones de políticas.

Revisiones basadas en eventos

Las revisiones de acceso basadas en eventos son revisiones de acceso iniciadas automáticamente por Oracle Access Governance cuando se producen uno o más tipos de eventos predefinidos. En el siguiente diagrama se muestra cómo funcionan las revisiones de acceso basadas en eventos.

Siempre que se producen eventos, como cambio de código de puesto, cambio de ubicación, etc., se inician las revisiones de acceso basadas en eventos. Los revisores pueden utilizarlos para comprobar, certificar o solucionar los roles, permisos o derechos de usuario o aplicación afectados. Las revisiones de acceso basadas en eventos se pueden activar para los atributos principales (por ejemplo, código de puesto, organización, ubicación, etc.), además de los atributos personalizados (por ejemplo, centro de costos, código de proyecto, etc.).

Puede definir el flujo de trabajo para la revisión en términos de número de niveles de revisión, duración y quién realiza la revisión. Los multieventos se producen cuando Oracle Access Governance recibe cambios para más de un tipo de evento que está asociado a una sola identidad. Cuando se identifican varios eventos, se aplica un flujo de trabajo compartido. La información sobre revisiones de acceso basadas en eventos se puede analizar generando informes mediante la capacidad de informes basados en eventos de Oracle Access Governance.

Delegación

Puede que desee delegar aprobaciones o revisiones de acceso a otras personas por los siguientes motivos:

• No disponibilidad debido a vacaciones, enfermedad o trabajo en otras tareas
• Tener a la persona más calificada para tomar decisiones
• Desarrollar la capacidad de alguien para manejar tareas adicionales

En el siguiente diagrama se muestra el concepto de delegación.

En Oracle Access Governance, puede configurar y gestionar preferencias. Los usuarios pueden delegar tareas y actividades mediante la consola de Oracle Access Governance. Puede utilizar la configuración Mis preferencias para asignar tareas y actividades a otro usuario o recopilación de identidades. Puede elegir cuándo iniciar este proceso de delegación y también especificar la duración de la delegación.

En Oracle Access Governance, puede delegar quién realiza revisiones de acceso y quién realiza aprobaciones en su nombre. Una tarea se puede delegar a una persona o a una recopilación de identidades. La recopilación de identidades puede tener uno o más miembros. La duración de la delegación se puede definir en un rango temporal o indefinidamente.

Inteligencia de identidad

La inteligencia de identidad proporciona a las organizaciones información sobre seguridad y riesgos recopilando datos de una variedad de fuentes y, a continuación, utilizando el aprendizaje automático y la IA para analizar los datos e identificar patrones y tendencias. Oracle Access Governance analiza cada identidad y sus privilegios, incorpora estadísticas sobre posibles infracciones de seguridad y asignación de alto riesgo, y recomienda soluciones. Esto permite a los revisores de acceso tomar decisiones correctivas rápidamente. Esta función permite:

• Asimilación y análisis de datos de identidad y privilegios de acceso.
• Reconocimiento de estadísticas contextuales e identificación de puntos ciegos de seguridad.
• Las recomendaciones de solución permiten a los revisores de acceso tomar decisiones correctivas rápidamente.

Las capacidades clave son:

• Análisis prescriptivo mediante IA y aprendizaje automático
• Estadísticas de identidad
• Solución
• Correlation

Análisis prescriptivo mediante IA, aprendizaje automático e insights de identidad

El análisis prescriptivo es un tipo de análisis de datos que va más allá de describir o predecir lo que ha sucedido o lo que podría suceder. Toma el siguiente paso para sugerir el mejor curso de acción para tomar en una situación dada.

El análisis prescriptivo utiliza una variedad de técnicas, incluido el aprendizaje automático, la optimización y la simulación, para analizar datos e identificar el mejor curso de acción posible. Esto se puede utilizar para mejorar la toma de decisiones en una amplia gama de áreas, como negocios, atención médica y gobierno.

Oracle Access Governance utiliza análisis prescriptivos basados en IA y aprendizaje automático para proporcionar información inteligente y gestión de riesgos. Los análisis profundos y las recomendaciones de alta fidelidad facilitan a los revisores la aprobación o denegación del acceso.

Estadísticas de identidad

Oracle Access Governance utiliza la IA y el aprendizaje automático para proporcionar revisiones de acceso basadas en estadísticas, análisis de identidad y capacidades de inteligencia para las empresas.

Algunas de las formas en que Oracle Access Governance utiliza la IA y el aprendizaje automático son:

• Análisis de grupos de iguales: Oracle Access Governance utiliza IA para identificar grupos de iguales de usuarios con privilegios de acceso similares. Esta información se puede utilizar para identificar usuarios que pueden tener privilegios de acceso excesivos.
• Detección de valores atípicos: Oracle Access Governance utiliza el aprendizaje automático para identificar a los usuarios que tienen patrones de acceso diferentes de la norma. Esta información se puede utilizar para identificar a los usuarios que pueden estar en riesgo de abusar de sus privilegios de acceso.
• Recomendaciones: Oracle Access Governance utiliza la IA para generar recomendaciones para revisiones de acceso y acciones de solución. Esta información puede ayudarle a mejorar la seguridad de sus datos.
• Flujos de trabajo automatizados: Oracle Access Governance utiliza el aprendizaje automático para automatizar tareas como revisiones de acceso y acciones de solución. Esto puede ayudarle a mejorar la eficiencia de sus procesos de gestión de acceso.

Access Governance, con inteligencia en su núcleo, recupera identidades y obtiene las políticas de varios sistemas, lo que lo convierte en un sistema que puede gestionar aplicaciones y otros sistemas de identidad. Con identidades y permisos recopilados, Access Governance muestra quién tiene acceso a qué. Con las políticas, también puede mostrar la inteligencia de cómo las identidades obtuvieron acceso a los permisos. Con la información sobre el uso de las aplicaciones, también puede proporcionar estadísticas sobre lo que está sucediendo con el acceso de aprovisionamiento. Esto le ayuda a reducir el riesgo y el costo mediante la optimización de los accesos a las personas, bots y servicios adecuados.

Access Governance utiliza una variedad de técnicas para proporcionar visibilidad de los permisos de acceso:

• Oracle Access Governance se puede utilizar para realizar revisiones de acceso periódicas o basadas en eventos. Esto ayuda a las organizaciones a garantizar que los usuarios solo tengan el acceso que necesitan para realizar sus trabajos.
• Oracle Access Governance se puede utilizar para analizar datos de identidad para identificar riesgos potenciales, como usuarios con privilegios de acceso excesivos o usuarios que han abandonado la organización pero aún tienen acceso a datos confidenciales.
• Oracle Access Governance se puede utilizar para generar informes y paneles de control que proporcionan información sobre los permisos de acceso. Esta información se puede utilizar para mejorar la seguridad de los datos de la organización.

Tres paneles de control proporcionan más información sobre quién tiene acceso a qué, como se muestra en el siguiente diagrama.

Los paneles son:

• Mi acceso
  • Los usuarios pueden ver los detalles de la aplicación, los recursos en la nube, los permisos y los roles asignados a sí mismos.
• Mis accesos directos:
  • Los mánager pueden ver los detalles de las aplicaciones, los recursos en la nube, los permisos y los roles asignados a sus subordinados directos.
  • Esta función está disponible en función del sistema conectado y no está disponible en todos los sistemas conectados admitidos.
• Acceso empresarial
  • Los usuarios con un rol de administrador pueden obtener una vista de 360 grados de todos los recursos y permisos asignados para esos recursos desde la consola de Oracle Access Governance.
  • En la página Acceso a toda la empresa, puede ver una lista de los recursos y tipos de recursos de toda la organización en varios sistemas conectados con Oracle Access Governance y recuperar qué identidades están asignadas actualmente a ese recurso, en qué nivel de permiso y cómo se asignan o otorgan esos permisos.

Solución

La solución de seguridad es el proceso de identificar y abordar vulnerabilidades de seguridad. Es una parte importante de la estrategia de seguridad de una organización porque ayuda a reducir el riesgo y mejorar el cumplimiento. Access Governance proporciona las siguientes capacidades relacionadas con la solución:

• Recomendaciones: según el análisis de aprendizaje automático, Access Governance ayuda a identificar y recomendar la acción adecuada. La acción de solución se puede aceptar o revocar según lo recomendado por Access Governance.
• Entrada de justificación personalizable: cuando un revisor toma medidas sobre la solución, tiene la opción de proporcionar una justificación. Se puede configurar en Access Governance según el tipo de recomendación.
• Solución automática al finalizar la campaña: cuando finaliza la campaña, Access Governance puede realizar automáticamente la solución en la consola de Access Governance.

Correlación de identidad

Las identidades de distintos sistemas se correlacionan automáticamente en Access Governance. La correlación es una capacidad que es la base para proporcionar una vista de 360 grados de los usuarios.

Access Governance realiza las siguientes actividades de correlación:

• Correlacione las identidades según el ID de correo electrónico y/o los nombres de usuario.
• Combine la inteligencia basada en la identidad unificada y proporcione información basada en ella.
• Detecte identidades no coincidentes para los sistemas de destino y proporcione un informe para la resolución de problemas.

Mejores prácticas de Access Governance

• Cree una instancia de Access Governance en su propio dominio de identidad y compartimento mediante el administrador del dominio de identidad. Esto permite aislar Access Governance del resto de aplicaciones y proporciona la flexibilidad de agregar o eliminar cualquier usuario de Access Governance en un dominio de identidad de OCI específico.
• Cree un usuario para la administración de la instancia de Access Governance, asigne el rol de administrador de Access Governance y haga que el usuario realice todas las tareas relacionadas con la administración de Access Governance. No utilice el administrador de arrendamiento para estas tareas.
• Para fines de desarrollo o prueba, cree instancias de servicio de Access Governance independientes para aislar los datos. Cada instancia de servicio es independiente y mantiene sus propios datos de configuración e instantánea.
• Comprenda los distintos roles de Access Governance y las distintas tareas según los roles. Asegúrese de que los usuarios de LOB puedan realizar las funciones necesarias sin la intervención del departamento de TI.
• Identifique los roles y las responsabilidades de los usuarios y configúrelos como usuarios de personal o usuarios de consumidor correctamente.
• Defina y utilice una convención de nomenclatura coherente para todos los recursos de Access Governance, incluidos el nombre de instancia, los nombres de recursos de control de acceso, los nombres de campañas y los sistemas conectados. Por ejemplo:
  1. si_presidents_office_qa
  2. campaign_ocitenancy_policy_review_oct23
  3. target_ops_database_dbum
• Controla tus identidades de OCI desde el principio mediante Access Governance mediante la integración con OCI IAM.