Hola!
En esta ocasión realizaremos una Prueba de Concepto donde el caso de uso se trata de aplicar Gobierno de Datos sobre un file system, buscando proteger datos sensibles, con accesos restringidos. Se traspasa la responsabilidad al usuario del negocio encargado del contenido de las carpetas, quien deberá aprobar cada solicitud nueva de acceso (así como también certificar periódicamente la lista de empleados que tengan acceso a su carpeta). Asimismo, se auditarán los eventos y se aplicará una protección contra cambios realizados fuera de la plataforma de Gobierno de Datos.
Esta solución integra dos productos: Identity Manager Data Governance Edition y Change Auditor for File Servers. Ambos ayudan a cumplir controles y requerimientos de la Norma Chilena (NCH-ISO27001) y PCI DSS, entre otros.
Los actores de esta POC son los siguientes:
Herwig Abele (HERWIGABE) es el Data Owner, responsable de la carpeta IAMS04\E$srv\DepDataStore\AuF_Act, El flujo de aprobación asociado a las solicitudes de acceso pasará por él (y por el responsable del grupo de AD que otorga el acceso correspondiente), sin necesidad de acceder al portal podrá aprobar las solicitudes mediante correo electrónico. La asignación de esta responsabilidad fue sugerida por la herramienta tomando en cuenta los permisos asignados y la actividad sobre el recurso.
Jorge Lopez (JORGEL) es el responsable de las membresías de los grupos de AD y aprobador por defecto para grupos que no tengan un responsable asignado explícitamente. Este usuario aprobará la actualización del grupo de AD a través del portal web.
Noni Zalzale (NONIZAL) es una supervisora que tiene a cargo tres empleados. A través del portal ella realizará la solicitud a nombre de uno de ellos para obtener acceso a la carpeta custodiada por Herwig.
Solicitud de acceso
1.- Iniciamos sesión con la cuenta de Noni en el Portal web
2.- Seleccionamos “Acceso a recursos”
3.- Vamos a cambiar el destinatario ya que por defecto la solicitud es para la persona que hace el requerimiento. Pinchamos “Cambiar”
4.- Pinchamos una vez al empleado para el cual estamos haciendo la solicitud, en el ejemplo St-Dennis, Cathrin. Pinchamos una vez sobre Zalzate, Noni para de-seleccionarla. Cerrar.
5.- Pinchamos el botón “solicitud” en la línea correspondiente a “Acceso al sistema de archivos”.
6.- Seleccionamos la carpeta, en este caso \\IAMS04\E$|srv|DeptDataStore\Auf_Act. Aceptar.
7.- Por defecto la solicitud de acceso es indefinida y de sólo lectura. La modificaremos, incluyendo temporalidad de dos días. Comprobar y enviar carrito de compras.
8.- En el dialogo de confirmación, seleccionar “Si”.
9.- OPCIONAL – Si deseamos ver el estatus de la solicitud, pinchamos “Ver historial de solicitudes”
10.- Por defecto solo las solicitudes propias se muestran, de ser necesario pinchamos el botón ”Búsqueda avanzada” y nos aseguramos de marcar la opción “Solicitudes enviadas por usted para otros”. Buscar.
11.- En la pestaña “Flujo de Trabajo” podemos ver el estatus y quien es el siguiente aprobador.
Aprobación de una solicitud
1.- Herwig, nuestro Data Owner recibe en su cliente de correo una solicitud de aprobación. Detalle, el texto del correo se puede modificar a gusto de la empresa.
2.- Al "Aprobar" o "Denegar" se abre un correo de respuesta, ingrese un comentario y envíe el correo. El sistema revisará la casilla “certificación” (en este ejemplo) en forma periódica, buscando el correo de aprobación para proseguir con el flujo.
3.- Iniciamos sesión con la cuenta de Jorge para aprobar el siguiente paso del flujo utilizando el portal web. Este empleado tiene asociada la cuenta dueña (Managed By) del grupo en AD que otorgara el acceso a la carpeta solicitada. Seleccionar “Solicitudes pendientes”. Opcional: en “Acerca de” podemos cambiar a “vista de celular” la cual es más amigable con tablets.
4.- En la parte derecha de la pantalla podemos ver información del requerimiento, en la pestaña Flujo de trabajo podemos revisar el workflow y el estatus actual, incluyendo los siguientes aprobadores. Seleccionar el visto bueno o check. Siguiente.
5.- Ingresamos un motivo o comentario asociado a la aprobación. Guardar aprobaciones.
6.- En unos segundos podremos revisar la membresía del grupo en AD y veremos reflejada la actualización.
Auditoría de cambios
Change Auditor registrará todos los cambios realizados a nivel de permisología y eventos de acceso sobre el Filesystem (en el ejemplo sobre todas las carpetas en la ruta E:\srv). Alertas han sido configuradas para avisar al administrador de cualquier cambio a nivel de permisos sobre la carpeta vigilada.
Protección
Hemos configurado una política de protección donde para este ejemplo permitiremos sólo a la cuenta Administrator y la cuenta de servicio de Data Governance a realizar cambios en la permisología del filesystem. De esta forma evitaremos cualquier cambio realizado fuera de la plataforma de Governance.
Conclusión
La implementación de estas soluciones ayudará efectivamente a mantener el control de acceso a la información. mientras la responsabilidad sobre el mismo recae ya no en Sistemas sino en los usuarios del negocio que con conocimiento del detalle de los contenidos, resultan más apropiados para este efecto.
La plataforma incluye tambien herramientas para la administración masiva de los permisos, incluyendo simulaciones y reportería idónea para la presentación de evidencias para distintas normativas (PCI, HIPAA, SOX, ISO, etc.) y buenas prácticas en general.
Les comparto también el post de Steve.Toole donde profundiza un poco más en la herramienta de auditoría de cambios.
Espero les sirva!
