Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
manual_del_capacitador_de_integrabilidad [2013/04/10 18:42] 127.0.0.1 [DEFINICIÓN de INTEGRABILIDAD de un sistema:] |
manual_del_capacitador_de_integrabilidad [2019/10/22 13:55] (actual) |
||
---|---|---|---|
Línea 1633: | Línea 1633: | ||
El administrador define quien está autorizado a operar un recurso, es un modelo Centralizado, rígido y no integrable. | El administrador define quien está autorizado a operar un recurso, es un modelo Centralizado, rígido y no integrable. | ||
+ | {{ :wiki:controlaccesomac.jpg?nolink&300 |}} | ||
\\ | \\ | ||
**Discretionary Access Control (DAC) ** | **Discretionary Access Control (DAC) ** | ||
Línea 1640: | Línea 1640: | ||
Ej. Sistema Unix. Distribuido, flexible. | Ej. Sistema Unix. Distribuido, flexible. | ||
+ | {{ :wiki:controlaccesodac.jpg?nolink&300 |}} | ||
**Separación de Deberes SSD/DSD** | **Separación de Deberes SSD/DSD** | ||
Línea 1645: | Línea 1646: | ||
Se mantiene distribuido, pero existen políticas que previenen a un usuario de actividades incompatibles. Permite reglas por Defecto. | Se mantiene distribuido, pero existen políticas que previenen a un usuario de actividades incompatibles. Permite reglas por Defecto. | ||
+ | {{ :wiki:controlaccesossdydsd.jpg?nolink&300 |}} | ||
**Identity Based Access Control (IBAC) ** | **Identity Based Access Control (IBAC) ** | ||
- | Los perm isos se asocian a un usuario en particular | + | Los permisos se asocian a un usuario en particular |
+ | {{ :wiki:controlaccesoibac.jpg?nolink&300 |}} | ||
**Role Based Access Control (RBAC) ** | **Role Based Access Control (RBAC) ** | ||
Línea 1655: | Línea 1658: | ||
Se separa la asignación,tanto a lo recursos como los usuarios se le asigna una propiedad (Ej . Rol). | Se separa la asignación,tanto a lo recursos como los usuarios se le asigna una propiedad (Ej . Rol). | ||
+ | {{ :wiki:controlaccesorbac.jpg?nolink&300 |}} | ||
**Attribute Based Access Control (ABAC) ** | **Attribute Based Access Control (ABAC) ** | ||
Línea 1660: | Línea 1664: | ||
Se generaliza RBAC, permitiendo asignar varias propiedades. | Se generaliza RBAC, permitiendo asignar varias propiedades. | ||
+ | {{ :wiki:controlaccesoabac.jpg?nolink&300 |}} | ||
**LRBAC/HRBAC ** | **LRBAC/HRBAC ** | ||
Línea 1675: | Línea 1680: | ||
Permite utilizar por ejemplo <= nivel1 o > director etc. | Permite utilizar por ejemplo <= nivel1 o > director etc. | ||
+ | {{ :wiki:controlaccesolrbacyhrbac.jpg?nolink&300 |}} | ||
**Multi Level Attribute Based Access Control (MABAC)** | **Multi Level Attribute Based Access Control (MABAC)** | ||
Línea 1681: | Línea 1687: | ||
Generaliza ABAC, permitiendo agrupaciones de recursos, además de usuarios. | Generaliza ABAC, permitiendo agrupaciones de recursos, además de usuarios. | ||
+ | {{ :wiki:controlaccesomabac.jpg?nolink |}} | ||
\\ | \\ | ||
**Recursos ** Una instancia de proceso puede asignar dinámicamente un recurso | **Recursos ** Una instancia de proceso puede asignar dinámicamente un recurso | ||
+ | {{ :wiki:controlaccesomabacrecursos.jpg?nolink |}} | ||
\\ | \\ | ||
**Usuarios ** Una sesión puede asignar dinámicamente a un usuario | **Usuarios ** Una sesión puede asignar dinámicamente a un usuario | ||
+ | {{ :wiki:controlaccesomabacusuarios.jpg?nolink |}} | ||
\\ | \\ | ||
**Conclusiones sobre los modelos** | **Conclusiones sobre los modelos** | ||
Línea 1706: | Línea 1712: | ||
MABAC se implementa en el Servidor Coordinador del Modelo de Integrabilidad. | MABAC se implementa en el Servidor Coordinador del Modelo de Integrabilidad. | ||
+ | {{ :wiki:integrabilidadmabac.jpg?nolink |}} | ||
\\ | \\ | ||
===== Multi Level Attribute Based Access Control (MABAC) ===== | ===== Multi Level Attribute Based Access Control (MABAC) ===== | ||
Línea 1713: | Línea 1720: | ||
externos a la organización, en grandes cantidades y donde la autorización de los mismos está subordinada a diferentes fuentes auténticas. | externos a la organización, en grandes cantidades y donde la autorización de los mismos está subordinada a diferentes fuentes auténticas. | ||
+ | {{ :wiki:inegrabilidadmabaccapas.jpg?nolink |}} | ||
\\ | \\ | ||
El primer paso es separar Autenticación de Autorización, y es uno de los requisitos que debe cumplir todo sistema que pretenda operar en un modelo de Integrabilidad: | El primer paso es separar Autenticación de Autorización, y es uno de los requisitos que debe cumplir todo sistema que pretenda operar en un modelo de Integrabilidad: | ||
Línea 1718: | Línea 1726: | ||
* Integrabilidad exige que todos los sistemas se subordinen a un servidor de Autenticación externo. | * Integrabilidad exige que todos los sistemas se subordinen a un servidor de Autenticación externo. | ||
- | \\ | + | {{ :wiki:integrabilidadmabacrelaciones.jpg?nolink |}} |
\\ | \\ | ||
Línea 1726: | Línea 1734: | ||
**SUJETO - ATRIBUTOS DEL USUARIO: ** el modelo MABAC utiliza distintos atributos para representar los agrupamientos más comunes que se utilizan emplean en las organizaciones: | **SUJETO - ATRIBUTOS DEL USUARIO: ** el modelo MABAC utiliza distintos atributos para representar los agrupamientos más comunes que se utilizan emplean en las organizaciones: | ||
+ | {{ :wiki:integrabilidadmabacatributospersonas.jpg?nolink&300 |}} | ||
\\ | \\ | ||
**AUTORIZACION de Usuarios EXTERNOS** | **AUTORIZACION de Usuarios EXTERNOS** | ||
Línea 1767: | Línea 1776: | ||
\\ | \\ | ||
===== MABAC (Sujeto – Atributos – Recursos)===== | ===== MABAC (Sujeto – Atributos – Recursos)===== | ||
+ | |||
+ | {{ :wiki:integrabilidadmabaccomponents.jpg?nolink |}} | ||
A continuación puede verse como se definen los atributos del usuario que permiten representar el organigrama de puestos, Comités, Grupos, Equipos. | A continuación puede verse como se definen los atributos del usuario que permiten representar el organigrama de puestos, Comités, Grupos, Equipos. | ||
+ | |||
+ | {{ :wiki:integrabilidadmabacatributosusuario.jpg?nolink |}} | ||
\\ | \\ | ||
**Recursos de CONTROL: (canal de eventos) ** | **Recursos de CONTROL: (canal de eventos) ** | ||
+ | {{ :wiki:integrabilidadmabacatributoscontrol.jpg?nolink |}} | ||
\\ | \\ | ||
**Recursos de INFORMACION: (canal de información) ** | **Recursos de INFORMACION: (canal de información) ** | ||
+ | {{ :wiki:integrabilidadmabacatributosanalisis.jpg?nolink |}} | ||
**Recursos de FUNCIONES: (canal de interacción) ** | **Recursos de FUNCIONES: (canal de interacción) ** | ||
+ | {{ :wiki:integrabilidadmabacatributosfunciones.jpg?nolink |}} | ||
\\ | \\ | ||
**Recursos de PROCESOS: (canal de procesos) ** | **Recursos de PROCESOS: (canal de procesos) ** | ||
+ | {{ :wiki:integrabilidadmabacatributosprocesos.jpg?nolink |}} | ||
En resumen el modelo MABAC está diseñado para soportar la AUTORIZACIÓN de USUARIOS, con los atributos propios de las organizaciones, con respecto a RECURSOS de información, cubriendo los distintos perfiles funcionales que brindan los sistemas informáticos. | En resumen el modelo MABAC está diseñado para soportar la AUTORIZACIÓN de USUARIOS, con los atributos propios de las organizaciones, con respecto a RECURSOS de información, cubriendo los distintos perfiles funcionales que brindan los sistemas informáticos. | ||
Línea 1798: | Línea 1814: | ||
* Servicios de generación de Tickes del usuario que son utilizados en el protocolo de comunicación entre los servidores (actores). | * Servicios de generación de Tickes del usuario que son utilizados en el protocolo de comunicación entre los servidores (actores). | ||
+ | |||
+ | {{ :wiki:autenticacionldap.jpg?nolink |}} | ||
La seguridad de acceso del Modelo de Integrabilidad sigue atentamente las tendencias en materia de seguridad que utilizan las entidades bancarias. Estas instituciones financieras basan su estratégica | La seguridad de acceso del Modelo de Integrabilidad sigue atentamente las tendencias en materia de seguridad que utilizan las entidades bancarias. Estas instituciones financieras basan su estratégica | ||
Línea 1822: | Línea 1840: | ||
Una lista parcial por ejemplo: | Una lista parcial por ejemplo: | ||
+ | {{ :wiki:autenticacionmultifactor.jpg?nolink |}} | ||
\\ | \\ | ||
La utilización de estos mecanismos multifactor agregan complicaciones y molestias en la operación y deben ser analizadas tanto desde el punto de vista de la seguridad como desde la usabilidad. | La utilización de estos mecanismos multifactor agregan complicaciones y molestias en la operación y deben ser analizadas tanto desde el punto de vista de la seguridad como desde la usabilidad. | ||
Línea 1844: | Línea 1863: | ||
2. algo que tengo = **celular** | 2. algo que tengo = **celular** | ||
+ | {{ :wiki:autenticacionoob.jpg?nolink&300 |}} | ||
\\ | \\ | ||
===== Flexibilidad entre la seguridad y la usabilidad ===== | ===== Flexibilidad entre la seguridad y la usabilidad ===== | ||
Línea 1855: | Línea 1874: | ||
* Punto de vista del Servicio: el coordinador define si el servicio requiere 1 o 2 factores. | * Punto de vista del Servicio: el coordinador define si el servicio requiere 1 o 2 factores. | ||
- | |||
- | \\ | ||
La combinación dinámica de ambas perspectivas genera la flexibilidad necesaria. | La combinación dinámica de ambas perspectivas genera la flexibilidad necesaria. | ||
+ | {{ :wiki:autenticaciondecisionusuario.jpg?nolink |}} | ||
\\ | \\ | ||
===== Autenticación del usuario por dos factores (Servicios SMS) ===== | ===== Autenticación del usuario por dos factores (Servicios SMS) ===== | ||
Línea 1872: | Línea 1890: | ||
2. algo que tengo = **celular** | 2. algo que tengo = **celular** | ||
+ | {{ :wiki:autenticacionsms.jpg?nolink&300 |}} | ||
\\ | \\ | ||
Autorización del usuario operador (Servicios SMS) | Autorización del usuario operador (Servicios SMS) | ||
+ | {{ :wiki:autenticacionsmsautorizacion.jpg?nolink&300 |}} | ||
\\ | \\ | ||
Flexibilidad entre seguridad y usabilidad | Flexibilidad entre seguridad y usabilidad | ||
+ | {{ :wiki:autenticacionsmsusuarioservicio.jpg?nolink |}} | ||
\\ | \\ | ||
Línea 1905: | Línea 1926: | ||
Hay dos artículos que requieren especial tratamiento para ser atendidos y requieren el trabajo interrelacionado de al menos tres actores del Modelo de Integrabilidad; Servidor Autenticador; Servidor Coordinador y la Persona Involucrada. | Hay dos artículos que requieren especial tratamiento para ser atendidos y requieren el trabajo interrelacionado de al menos tres actores del Modelo de Integrabilidad; Servidor Autenticador; Servidor Coordinador y la Persona Involucrada. | ||
+ | |||
+ | {{ :wiki:leycoordinadormultilateral.jpg?nolink |}} | ||
Estos artículos especiales son: | Estos artículos especiales son: | ||
- | |||
- | \\ | ||
**//Artículo 5° - Consentimiento // ** | **//Artículo 5° - Consentimiento // ** | ||
+ | {{ :wiki:leyart5consentimiento.jpg?nolink&300 |}} | ||
**//Artículo 11° - Cesión // ** | **//Artículo 11° - Cesión // ** | ||
+ | {{ :wiki:leyart11cesion.jpg?nolink&300 |}} | ||
\\ | \\ | ||
Como puede observarse de la letra de la ley, se requiere de una acción (dar consentimiento registrable) por parte de la persona involucrada, como hecho previo a la exposición de los datos. | Como puede observarse de la letra de la ley, se requiere de una acción (dar consentimiento registrable) por parte de la persona involucrada, como hecho previo a la exposición de los datos. | ||
Línea 1923: | Línea 1945: | ||
Repasemos por un momento el modelo de autenticación por 2 factores | Repasemos por un momento el modelo de autenticación por 2 factores | ||
- | \\ | + | {{ :wiki:autenticacionoobcompleta.jpg?nolink&300 |}} |
El operador del sistema (mesa de entrada) realizó esta operación de autenticación sobre el Servidor Autenticador, y esto le da derechos para acceder a determinados recursos de información entre los que se | El operador del sistema (mesa de entrada) realizó esta operación de autenticación sobre el Servidor Autenticador, y esto le da derechos para acceder a determinados recursos de información entre los que se | ||
Línea 1935: | Línea 1957: | ||
* registrar en los registros de auditoría con sellado de tiempo, **Trusted timestamping**, la decisión sobre el consentimiento solicitado. | * registrar en los registros de auditoría con sellado de tiempo, **Trusted timestamping**, la decisión sobre el consentimiento solicitado. | ||
+ | {{ :wiki:autorizacionoobconsentimiento.jpg?nolink&300 |}} | ||
\\ | \\ | ||
De esta manera el servidor coordinador se convierte en la fuente auténtica del registro de los consentimientos otorgados por las personas para el acceso a su información personal. | De esta manera el servidor coordinador se convierte en la fuente auténtica del registro de los consentimientos otorgados por las personas para el acceso a su información personal. | ||
Línea 1949: | Línea 1972: | ||
Coordinador MABAC. | Coordinador MABAC. | ||
+ | {{ :wiki:autenticacionjossoymabac.jpg?nolink |}} | ||
\\ | \\ | ||
====== Referencias ====== | ====== Referencias ====== |