Automatización de la gestión de accesos y alertas de seguridad de acuerdo con la clasificación de la información publicada en una plataforma de Business Intelligence

Speaker 1

BENEFICIARIO

Entidad Gubernamental - Departamento de Seguridad Informática

INTEGRANTES

  • Carlos Alberto López Prada 
  • Oscar Enrique García Mesa 
  • Aileen Correa Ochoa  

Proyecto conjunto Maestría en Seguridad de la Información y Maestría en Tecnologías de Información para el Negocio. 


AÑO

2021

PALABRAS CLAVE

Business Intelligence, Power Bi, Automatización, Gestión de accesos, Directorio Activo, Power Automate, Alertas de Seguridad, Confidencialidad, Clasificación información


CONTEXTO

La conformación de una nueva área para monitorear fuentes de datos y hacer analítica en una organización hace necesario introducir cambios, entre ellos, estructurar y organizar la gestión del control de acceso a los más de cien tableros de uso interno  con información de proyectos de inversión, resultados de modelos de análisis de presupuestos y auditorias. Información que en su mayoría es de carácter sensible y confidencial.


El procedimiento actual para controlar acceso a la información presenta algunas deficiencias, entre las cuales están, la asignación manual de permisos para los más de mil usuarios, la ausencia de una definición clara de perfiles y niveles de acceso de acuerdo con las funciones y la actualización manual de los permisos asignados en un archivo Excel; dejando una alta probabilidad de riesgo por errores humanos, pérdida de información, daño del archivo, generación de diferentes versiones o descuidos al registrarla o guardarla.


Así mismo, el tiempo requerido para la asignación de permisos y el registro de estos, es una tarea repetitiva y dispendiosa que consume gran parte del tiempo del responsable y que, debido a su criticidad, no puede ser delegada a otra persona. La complejidad de este proceso y las tareas manuales que se realizan, pueden ocasionar inconsistencias y posible discontinuidad en el momento en que se presente una ausencia o cambio de responsable.


Adicionalmente, los frecuentes cambios en los niveles de acceso, en los permisos asignados y en los diversos procesos que requieren de la información alojada en los tableros para el control fiscal, hace que se otorguen permisos temporales, aumentando el nivel de dificultad del control de acceso y dando pie a posibles hallazgos o no conformidades en auditorias debido a la incorrecta asignación de permisos.

PROPUESTA

Se propone diseñar un esquema semiautomático de gestión de accesos para los más de cien tableros en una plataforma de Business Intelligence de uso interno de la organización, mediante la clasificación y análisis de los niveles de confidencialidad de la información expuesta en cada uno de dichos tableros y los privilegios otorgados a los usuarios según el grado de responsabilidad que tenga de acuerdo con el área y cargo generando así una Matriz de roles y perfiles.


Adicionalmente, se quiere evaluar la viabilidad de integrar el servicio central de manejo de usuarios (Directorio Activo) para la creación, modificación y eliminación automática de usuarios en la plataforma de Business Intelligence, de acuerdo con los parámetros establecidos por el departamento de Seguridad. Esta integración también permitirá generar reportes de los logs de auditoria para validar la información detallada de los accesos. 

RESULTADOS

    • Automatización de la gestión de accesos: integración y automatización de los grupos de usuarios entre el directorio activo con la plataforma de Business Intelligence para la asignación automática y centralizada de roles y perfiles a los tableros de la entidad según la clasificación de la información(Pública, Privada o Sensible) publicada en los tableros.
    • Matriz de Roles y perfiles: Diseño y definición de una matriz de roles y perfiles para la gestión de acceso de usuarios a los más de 135 tableros en la plataforma de Business Intelligence a partir de los privilegios otorgados según el grado de responsabilidad que tengan de acuerdo con el área y cargo.
    • Matriz de clasificación de la información: Análisis y clasificación los niveles de confidencialidad de los tableros de la plataforma de Business Intelligence teniendo en cuenta el tipo de información: pública, privada y sensible.
    • Alertas de seguridad:  Generación de alertas de seguridad a través del correo electrónico para la creación, modificación y eliminación de usuarios, basada en el análisis de los eventos del registro de actividades de la plataforma de Business Intelligence para que sean evaluadas por el Jefe de Seguridad para tomar acciones en tiempo real.
    • Alertas de negocio: Configuración de alertas tempranas con base en la información presentada en los tableros de Power Bi; de acuerdo con las condiciones y la metodología general definidas por los Directivos mediante el uso de la herramienta Power Automate y los grupos de seguridad del Directorio Activo. 

    MÁS DETALLES