Automatización de la gestión de accesos y alertas de seguridad de acuerdo con la clasificación de la información publicada en la plataforma Business Intelligence - MBIT - MESI
EMPRESA
DIARI - Contraloría General de la República
INTEGRANTES
Oscar Enrique García Mesa - MBIT
Aileen Correa Ochoa - MESI
Carlos Alberto López Prada - MESI
Jefe de Seguridad Dependencia - CGR
Jefe de Información Dependencia - CGR
SEMESTRE
2021
PALABRAS CLAVE
Business Intelligence, Power Bi, Automatización, Gestión de accesos, Directorio Activo, Power Automate, Alertas de Seguridad, Confidencialidad, Clasificación información
JURADOS
Jefe Seguridad y Jefe Unidad de Información
SPONSOR
DIARI - Contraloría General de la República
OBJETIVO GLOBAL
Estructurar y automatizar el proceso de gestión de usuarios que requieren acceso a los tableros de Business Intelligence, mediante la integración con el directorio activo, la creación de una matriz de roles y perfiles, la clasificación de la información de los tableros, alertas de negocio y seguridad.
OBJETIVOS ESPECíFICOS
- Realizar la Integración entre el Directorio Activo con la plataforma de Business Intelligence para la creación, modificación y eliminación automática de acceso de usuarios a los tableros.
- Definir y diseñar la Matriz de Roles y perfiles para la clasificación de los accesos respectivos de usuarios.
- Definir los niveles de clasificación de la información contenida en los tableros de acuerdo con su confidencialidad.
- Desarrollar alertas de seguridad de acceso a la información de los tableros BI, basadas en el análisis de los eventos de creación, modificación y eliminación de usuarios.
- Diseñar alertas tempranas, basadas en los datos que alimentan los tableros BI, de acuerdo con las reglas prestablecidas de negocio.
RESULTADOS TÉCNICOS
Teniendo en cuenta que el trabajo de grado se hizo con una Entidad Pública, el intercambio de comunicaciones fue vía correo electrónico con el Jefe de Seguridad de la Dependencia, donde especificaba la información de carácter confidencial y sensible que por tal motivo no se puede compartir los nombres de los funcionarios. Adicional y debido a la confidencialidad y la misma seguridad de la Entidad, el alcance del desarrollo del proyecto llegó hasta el diseño y prototipo con (Prueba de Concepto), en un ambiente externo de pruebas, donde se replica la infraestructura y los desarrollos lo cual quedó tácitamente involucrada en el proyecto.
- Automatización de la gestión de accesos: integración y automatización de los grupos de usuarios entre el directorio activo con la plataforma de Business Intelligence para la asignación automática y centralizada de roles y perfiles a los tableros de la entidad según la clasificación de la información (Pública, Privada o Sensible) publicada en los tableros.
- Matriz de Roles y perfiles: Diseño y definición de una matriz de roles y perfiles para la gestión de acceso de usuarios a los más de 135 tableros en la plataforma de Business Intelligence a partir de los privilegios otorgados según el grado de responsabilidad que tengan de acuerdo con el área y cargo.
- Matriz de clasificación de la información: Análisis y clasificación los niveles de confidencialidad de los tableros de la plataforma de Business Intelligence teniendo en cuenta el tipo de información: pública, privada y sensible.
- Alertas de seguridad: Generación de alertas de seguridad a través del correo electrónico para la creación, modificación y eliminación de usuarios, basada en el análisis de los eventos del registro de actividades de la plataforma de Business Intelligence para que sean evaluadas por el Jefe de Seguridad para tomar acciones en tiempo real.
- Alertas de negocio: Configuración de alertas tempranas con base en la información presentada en los tableros de Power Bi; de acuerdo con las condiciones y la metodología general definidas por los Directivos mediante el uso de la herramienta Power Automate y los grupos de seguridad del Directorio Activo.
VALOR PARA EL NEGOCIO
El proceso de gestión de accesos para los tableros de la nueva dependencia publicados en Power Bi, se ve optimizado a nivel de asignación, administración y seguridad con la implementación de las herramientas que ofrece Microsoft Azure debido a su fácil integración y adaptabilidad con todos los productos Microsoft 365.
La administración de los tableros se ve optimizada al implementar el esquema de Workspace, el cual permite agrupar los tableros con características comunes definidas por el administrador y gestionar los accesos de manera centralizada desde el Directorio Activo, esto evita la configuración individual de accesos a cada uno de los tableros que podría comprometer la seguridad de la información publicada.
Combinando los flujos automatizados que se hicieron con Power Automate y la plataforma de Business Intelligence, en este caso Power Bi, permite administrar de manera mucho más eficiente los accesos a los tableros de información, al igual que automatiza el registro y el historial de cambios o modificación de usuarios en la plataforma de Power BI. Por otro lado, permite agilizar la detección de nuevos usuarios que sean adicionados o removidos del entorno, a través de una notificación por correo electrónico al Jefe de Seguridad, dándole la oportunidad de validar la correcta asignación de los permisos.
Existe una reducción notoria en las horas hombre que se necesitan en la gestión de roles y perfiles de los funcionarios de la nueva dependencia y la Entidad, fortaleciendo la seguridad de la información que se despliega en los tableros de Power BI, al igual que se disminuye en gran medida las posibilidades del error humano.
Recomendaciones:
- "Les recomiendo adicionar una sección (antes de arquitectura de aplicaciones) que presente la arquitectura sin hablar de marcas, más bien de funcionalidades (de qué se encarga cada componente y cómo es el flujo). Después si adicionan la instancia que incluye las marcas de los productos específicos que implementan la funcionalidad (azure, power bi, etc.) Es decir, primero va el diseño y después la implementación." (Jefe de seguridad Dependencia)
- "Elaborar más sobre la definición de roles. Primero deberían identificar las tareas o funciones que se deben ejecutar y que se quiere proteger. Posteriormente asocian esas tareas con roles (es un trabajo de dos pasos)". (Jefe de Información Dependencia)
- "Después de la sección de clasificación de la información deberían tener una sección que defina reglas para verificación: los tableros deben tener un nivel asignado y por otro lado los usuarios deberían también tener un nivel. Adicionalmente debería existir una política estilo MLS o Bell Lapadula que permita validar las asignaciones que se hagan posteriormente. Les recomiendo definir mejor esta parte." (Jefe de Seguridad Dependencia)