En los sistemas de información, la correlación de identidad es un proceso que reconcilia y valida la propiedad adecuada de las ID de inicio de sesión de la cuenta de usuario ( nombres de usuario ) dispares que residen en los sistemas y aplicaciones de una organización y puede vincular permanentemente la propiedad de esas ID de inicio de sesión de la cuenta de usuario a individuos particulares por Asignar un identificador único (también llamado claves primarias o comunes) a todos los ID de inicio de sesión de cuenta validados. [1]
El proceso de correlación de identidad valida que las personas solo tengan ID de inicio de sesión de cuenta para los sistemas y aplicaciones apropiados a los que un usuario debe tener acceso de acuerdo con las políticas comerciales de la organización, las políticas de control de acceso y los diversos requisitos de las aplicaciones.
Un identificador único, en el contexto de la correlación de identidad, es cualquier identificador que se garantiza que es único entre todos los identificadores utilizados para un grupo de personas y para un propósito específico. Hay tres tipos principales de identificadores únicos, cada uno correspondiente a una estrategia de generación diferente:
- Números de serie, asignados de forma incremental
- Números aleatorios, seleccionados de un espacio numérico mucho mayor que el número máximo (o esperado) de objetos a identificar. Aunque no son realmente únicos, algunos identificadores de este tipo pueden ser apropiados para identificar objetos en muchas aplicaciones prácticas, por lo que se denominan "únicos" en este contexto.
- Nombre o códigos asignados por elección, pero que están obligados a ser únicos al mantener un registro central, como los Servicios de Información EPC de la Red EPCglobal.
Para los propósitos de la correlación de identidad, un identificador único es típicamente un número de serie o un número aleatorio seleccionado de un espacio numérico mucho mayor que el número máximo de individuos que serán identificados. Un identificador único, en este contexto, se representa típicamente como un atributo adicional en el directorio asociado con cada fuente de datos en particular. Sin embargo, agregar un atributo a cada directorio específico del sistema puede afectar los requisitos de la aplicación o los requisitos comerciales específicos, según los requisitos de la organización. En estas circunstancias, es posible que los identificadores únicos no sean una adición aceptable para una organización.
Requisitos básicos de correlación de identidad
La correlación de identidad involucra varios factores:
1. Vinculación de ID de cuenta distintos en varios sistemas o aplicaciones
Muchas organizaciones deben encontrar un método para cumplir con las auditorías que requieren vincular identidades de usuarios de aplicaciones dispares con las personas reales que están asociadas con esas identidades de usuario.
Algunas personas pueden tener un nombre y / o apellido bastante común, lo que dificulta vincular a la persona correcta con el ID de inicio de sesión de la cuenta correspondiente, especialmente cuando esos ID de inicio de sesión de la cuenta no están vinculados a suficientes datos de identidad específicos para seguir siendo únicos.
Una construcción típica de la ID de inicio de sesión, por ejemplo, puede ser el primer carácter de givenname + los siguientes 7 de sn, con unicidad incremental. Esto produciría ID de inicio de sesión como jsmith12, jsmith 13, jsmith14, etc. para los usuarios John Smith, James Smith y Jack Smith, respectivamente.
Por el contrario, una persona puede sufrir un cambio de nombre, ya sea formal o informalmente, lo que puede hacer que las nuevas ID de inicio de sesión de la cuenta que el individuo se apropia parezcan drásticamente diferentes en nomenclatura a las ID de inicio de sesión de la cuenta que la persona adquirió antes de cualquier cambio.
Por ejemplo, una mujer podría casarse y decidir usar su nuevo apellido profesionalmente. Si su nombre era originalmente Mary Jones pero ahora es Mary Smith, podría llamar a RR.HH. y pedirles que actualicen su información de contacto y dirección de correo electrónico con su nuevo apellido. Esta solicitud actualizaría su ID de inicio de sesión de Microsoft Exchange a mary.smith para reflejar ese cambio de apellido, pero es posible que en realidad no actualice su información o credenciales de inicio de sesión en cualquier otro sistema al que tenga acceso. En este ejemplo, podría seguir siendo mjones en Active Directory y mj5678 en RACF.
La correlación de identidad debe vincular las ID de inicio de sesión de la cuenta del sistema correspondiente a personas que pueden ser indistinguibles, así como a aquellas personas que pueden parecer drásticamente diferentes desde el punto de vista de sistema por sistema, pero deben estar asociadas con la misma persona.
Para obtener más detalles sobre este tema, consulte: La segunda ola: vinculación de identidades con contextos
2. Descubrimiento de inconsistencias intencionales y no intencionales en los datos de identidad
Las inconsistencias en los datos de identidad generalmente se desarrollan con el tiempo en las organizaciones a medida que se agregan, eliminan o cambian aplicaciones y a medida que las personas obtienen o retienen un flujo constante de derechos de acceso a medida que ingresan y salen de la organización.
Los ID de inicio de sesión de los usuarios de aplicaciones no siempre tienen una sintaxis coherente en las diferentes aplicaciones o sistemas y muchos ID de inicio de sesión de los usuarios no son lo suficientemente específicos como para correlacionarlos directamente con un individuo en particular dentro de una organización.
Las inconsistencias en los datos del usuario también pueden ocurrir debido a simples errores de entrada manual, nomenclatura no estándar o cambios de nombre que pueden no actualizarse de manera idéntica en todos los sistemas.
El proceso de correlación de identidad debe tener en cuenta estas inconsistencias para vincular los datos de identidad que pueden parecer no relacionados en la investigación inicial.
3. Identificación de los ID de inicio de sesión de cuentas huérfanas o desaparecidas
Las organizaciones pueden expandirse y consolidarse a partir de fusiones y adquisiciones, lo que aumenta la complejidad de los procesos, políticas y procedimientos comerciales como resultado.
Como resultado de estos eventos, los usuarios están sujetos a mudarse a diferentes partes de la organización, obtener una nueva posición dentro de la organización o matricularse fuera de la organización por completo. Al mismo tiempo, cada nueva aplicación que se agrega tiene el potencial de producir una nueva identificación de usuario completamente única.
Algunas identidades pueden volverse redundantes, otras pueden estar en violación de políticas departamentales específicas de la aplicación o más generalizadas, otras podrían estar relacionadas con ID de cuentas de sistemas o no humanos, y otras pueden simplemente ya no ser aplicables para un entorno de usuario en particular.
Los proyectos que abarcan diferentes partes de la organización o se centran en más de una aplicación se vuelven difíciles de implementar porque las identidades de los usuarios a menudo no se organizan adecuadamente o no se reconocen como extintas debido a cambios en el proceso empresarial.
Un proceso de correlación de identidades debe identificar todas las identidades de cuentas huérfanas o desaparecidas que ya no pertenecen a cambios tan drásticos en la infraestructura de una organización.
4. Validación de personas con sus ID de cuenta apropiados
Según regulaciones como Sarbanes-Oxley y Gramm-Leach-Bliley Act , las organizaciones deben garantizar la integridad de cada usuario en todos los sistemas y tener en cuenta todo el acceso que tiene un usuario a varios sistemas y aplicaciones de back-end en una organización.
Si se implementa correctamente, la correlación de identidad expondrá problemas de cumplimiento. Los auditores suelen pedir a las organizaciones que rindan cuentas sobre quién tiene acceso a qué recursos. Para las empresas que aún no han implementado completamente una solución de gestión de identidad empresarial , se requiere correlación y validación de identidad para dar fe del estado real de la base de usuarios de una organización.
Este proceso de validación generalmente requiere la interacción con personas dentro de una organización que están familiarizadas con la base de usuarios de la organización desde una perspectiva empresarial, así como con aquellas personas que son responsables y conocen cada sistema individual y / o base de usuarios específica de la aplicación.
Además, gran parte del proceso de validación podría involucrar en última instancia la comunicación directa con la persona en cuestión para confirmar los datos de identidad particulares que están asociados con esa persona específica.
5. Asignar una clave principal o común única para cada ID de cuenta de aplicación o sistema que se adjunta a cada individuo
En respuesta a varias presiones de cumplimiento, las organizaciones tienen la opción de introducir identificadores únicos para toda su base de usuarios para validar que cada usuario pertenece a cada sistema o aplicación específica en la que tiene capacidades de inicio de sesión.
Para llevar a cabo dicha política, varias personas familiarizadas con la base de usuarios completa de la organización, así como con cada base de usuarios específica del sistema, deben ser responsables de validar que ciertas identidades deben estar vinculadas entre sí y otras identidades deben disociarse entre sí. .
Una vez que se completa el proceso de validación, se puede asignar un identificador único a esa persona y sus identificaciones de inicio de sesión de cuenta específicas del sistema asociadas.
Enfoques para vincular ID de cuenta dispares
Como se mencionó anteriormente, en muchas organizaciones, los usuarios pueden iniciar sesión en diferentes sistemas y aplicaciones utilizando diferentes ID de inicio de sesión. Hay muchas razones para vincularlos en `` perfiles de usuario de toda la empresa.
Hay una serie de estrategias básicas para realizar esta correlación, o "Mapeo de ID":
- Suponga que los ID de cuenta son los mismos:
- En este caso, el mapeo es trivial.
- En realidad, esto funciona en muchas organizaciones, en los casos en que se ha utilizado un proceso riguroso y estandarizado para asignar ID a nuevos usuarios durante mucho tiempo.
- Importar datos cartográficos de un sistema existente:
- Si una organización ha implementado un proceso sólido para asignar ID a usuarios durante un período prolongado, estos datos ya están disponibles y se pueden importar a cualquier nuevo sistema de gestión de identidades .
- Coincidencia exacta en valores de atributo:
- Encuentre un atributo de identidad o una combinación de atributos en un sistema que se correlacionen con uno o más atributos en otro sistema.
- Conecte los ID en los dos sistemas mediante la búsqueda de usuarios cuyos atributos sean los mismos.
- Coincidencia aproximada en valores de atributo:
- Lo mismo que el anterior, pero en lugar de requerir que los atributos o expresiones coincidan exactamente, tolere algunas diferencias.
- Esto permite nombres y valores de identidad similares mal escritos, incoherentemente en mayúsculas y algo diversos.
- El riesgo aquí es que las cuentas que no deberían estar conectadas coincidan accidentalmente con este proceso.
- Conciliación de ID de inicio de sesión de autoservicio:
- Invite a los usuarios a completar un formulario e indicar qué ID, en qué sistemas, poseen.
- Los usuarios pueden mentir o cometer errores, por lo que es importante validar la entrada del usuario, por ejemplo, pidiéndoles que también proporcionen contraseñas y que las verifiquen.
- Es posible que los usuarios no reconozcan los nombres de los sistemas, por lo que es importante ofrecer alternativas o pedirles a los usuarios ID y contraseñas en general, en lugar de pedirles que especifiquen para qué sistema son esos ID.
- Contrata un consultor y / o hazlo manualmente:
- Esto todavía deja abierta la pregunta de dónde provienen los datos, ¿quizás entrevistando a todos los usuarios en cuestión?
Barreras comunes para realizar la correlación de identidades
1. Preocupaciones por la privacidad
A menudo, cualquier proceso que requiera un análisis en profundidad de los datos de identidad genera una preocupación por cuestiones de privacidad y divulgación. Parte del proceso de correlación de identidad infiere que cada fuente de datos en particular deberá compararse con una fuente de datos autorizada para garantizar la coherencia y validez con las políticas corporativas y los controles de acceso relevantes.
Cualquier comparación de este tipo que implique una exposición de datos de identidad de toda la empresa, autorizados y relacionados con los recursos humanos requerirá varios acuerdos de no divulgación, ya sea interna o externamente, según cómo una organización decida someterse a un ejercicio de correlación de identidad.
Debido a que los datos autorizados suelen ser altamente confidenciales y restringidos, tales preocupaciones pueden impedir la realización de una actividad de correlación de identidad de manera completa y suficiente.
2. Requerimientos extensivos de tiempo y esfuerzo
La mayoría de las organizaciones experimentan dificultades para comprender las inconsistencias y complejidades que se encuentran dentro de sus datos de identidad en todas sus fuentes de datos. Por lo general, el proceso no se puede completar con precisión o lo suficiente mediante una comparación manual de dos listas de datos de identidad o incluso ejecutando scripts simples para encontrar coincidencias entre dos conjuntos de datos diferentes. Incluso si una organización puede dedicar personas de tiempo completo a tal esfuerzo, las metodologías en sí mismas generalmente no exponen un porcentaje suficiente de identidades difuntas, validan un porcentaje suficiente de identidades coincidentes o identifican las identificaciones de cuentas del sistema (no personales) para pasar los requisitos típicos de una auditoría relacionada con la identidad.
Ver también
- Ley Sarbanes-Oxley (SOX)
- Ley Gramm-Leach-Bliley (GLBA)
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Auditoría de tecnología de la información (ITA)
Los esfuerzos manuales para lograr la correlación de identidades requieren una gran cantidad de tiempo y esfuerzo de personal, y no garantizan que el esfuerzo se complete con éxito o de manera compatible.
Debido a esto, las soluciones automatizadas de correlación de identidades han ingresado recientemente al mercado para brindar formas más sencillas de manejar los ejercicios de correlación de identidades.
La funcionalidad típica de la solución de correlación de identidad automatizada incluye las siguientes características:
- Análisis y comparación de identidades dentro de múltiples fuentes de datos.
- Definiciones y asignaciones de criterios de coincidencia flexibles para cualquier combinación de elementos de datos entre dos fuentes de datos
- Fácil conectividad, ya sea directa o indirectamente a todas las fuentes de datos permitidas.
- Informes listos para usar y / o resúmenes de resultados de coincidencia de datos
- Capacidad para anular manualmente combinaciones de datos coincidentes o no coincidentes
- Capacidad para ver los resultados de los datos en un nivel detallado
- Asignación de identificadores únicos a datos coincidentes previamente aprobados o validados manualmente.
- Exportar capacidades para enviar listas de usuarios verificadas a los sistemas de origen y / o soluciones de aprovisionamiento.
- Capacidad para personalizar técnicas de mapeo de datos para refinar las coincidencias de datos
- Controles de acceso basados en roles integrados en la solución para regular la exposición de los datos de identidad a medida que varios individuos cargan, analizan y validan los datos, tanto dentro como fuera de la organización.
- Capacidad para validar los datos de identidad frente a los usuarios finales de manera más rápida o eficiente que a través de metodologías manuales
- Recopilación de atributos de identidad de dispositivos móviles personales mediante extracción de identidad parcial [2]
- Elaboración de perfiles del comportamiento de navegación web y redes sociales mediante mecanismos de seguimiento [3]
- Las mediciones biométricas de los usuarios en cuestión pueden correlacionar identidades entre sistemas [4]
- Sistemas de intermediación de identidad centralizados que administran y acceden a atributos de identidad a través de silos de identidad [5]
Tres métodos de ejecución de proyectos de correlación de identidad
Las soluciones de correlación de identidad se pueden implementar bajo tres modelos de entrega distintos. Estas metodologías de entrega están diseñadas para ofrecer una solución que sea lo suficientemente flexible para corresponder a varios requisitos presupuestarios y de personal, así como para cumplir con los objetivos e iniciativas del proyecto a corto y / o largo plazo.
Compra de software : este es el modelo clásico de compra de software en el que una organización compra una licencia de software y ejecuta el software dentro de su propia infraestructura de hardware.
- La formación está disponible y se recomienda
- Los servicios de instalación son opcionales
Correlación de identidad como servicio (ICAS) : ICAS es un servicio por suscripción en el que un cliente se conecta a una infraestructura segura para cargar y ejecutar actividades de correlación. Esta oferta proporciona la funcionalidad completa que ofrece la solución de correlación de identidad sin poseer y mantener hardware y personal de soporte relacionado.
Correlación de identidad llave en mano : una metodología llave en mano requiere que un cliente contrate y proporcione datos a un proveedor de soluciones para realizar las actividades de correlación de identidad necesarias. Una vez completadas, el proveedor de soluciones devolverá los datos correlacionados, identificará las discrepancias y proporcionará informes de integridad de los datos.
Las actividades de validación aún requerirán algunos comentarios directos de las personas dentro de la organización que comprenden el estado de la base de usuarios de la organización desde un punto de vista de toda la empresa, así como de aquellas personas dentro de la organización que están familiarizadas con cada base de usuarios específica del sistema. Además, algunas actividades de validación pueden requerir comentarios directos de personas dentro de la propia base de usuarios.
Una solución llave en mano se puede realizar como una actividad única o mensual, trimestral o incluso como parte de las actividades de validación anual de una organización. Hay servicios adicionales disponibles, como:
- Campañas de correo electrónico para ayudar a resolver las discrepancias de datos
- Generación de listas consolidadas o fusionadas
Ver también: Temas relacionados
Los temas relacionados o asociados que caen bajo la categoría de correlación de identidad pueden incluir:
Regulaciones de cumplimiento / auditorías
- Ley Sarbanes-Oxley (SOX)
- Ley Gramm-Leach-Bliley
- Ley de Responsabilidad y Portabilidad del Seguro de Salud
- Auditoría de tecnología de la información
Manejo de identidades
- Gestión de identidad
- Identificador único (clave común)
- Identificador
- Nombre de usuario
- ID de usuario
- Aprovisionamiento
- Metadirectorio
Control de acceso
Directorio de Servicios
Otras categorias
- Control de acceso basado en roles (RBAC)
- Federación de derechos de acceso de usuarios en aplicaciones web a través de redes que de otro modo no serían confiables
Referencias
- ^ Harris, Shon . "Guía de examen todo en uno de certificación CISSP, 4ª ed." (9 de noviembre de 2007), McGraw-Hill Osborne Media.
- ^ Fritsch, Lothar; Momen, Nurul (2017). "Identidades parciales derivadas generadas a partir de permisos de aplicaciones" . Gesellschaft für Informatik: 117–130. Cite journal requiere
|journal=
( ayuda ) - ^ [1] , "Identidad web con correlación de identidad de redes sociales", publicado el 9 de mayo de 2012, Patente de EE. UU.
- ^ Ng-Kruelle, Grace; Swatman, Paul A .; Hampe, J. Felix; Rebne, Douglas S. (2006). "Biometría e identidad electrónica (pasaporte electrónico) en la Unión Europea: perspectivas del usuario final sobre la adopción de una innovación controvertida" . Revista de Investigación Teórica y Aplicada en Comercio Electrónico . 1 (2): 12–35. ISSN 0718-1876 .
- ^ Bruegger, Bud P .; Roßnagel, Heiko (2016). Hacia un ecosistema de gestión de identidad descentralizado para Europa y más allá . Gesellschaft für Informatik eV ISBN 978-3-88579-658-9.