viernes, agosto 18, 2006

MEHGEST - Seguridad / Confidencialidad

Como en cualquier otro entorno, la confidencialidad es uno de los requerimientos de la información básicos que debemos cumplir. En una herramienta en la que almacenaremos información de todo tipo, es necesario garantizar que las personas sólo ven aquello que deben ver.

Roles

 En cualquier entorno medianamente complejo y que vaya a tener un número de usuarios medianamente alto, en lugar de gestionar los permisos de acceso individualmente lo haremos mediante roles o perfiles de seguridad. Así, el perfil de técnico de primer nivel tendrá unos niveles de acceso a la información diferentes a los del gestor de configuraciones.

Permisos de Acceso

Asociado directamente a los perfiles, tendremos los permisos de acceso. Aquí si que creo que es importante tener cuanta mayor granularidad, mejor. Luego es posible que no utilicemos la granularidad proporcionada (por ejemplo, llegar a determinar que un rol determinado puede o no ver determinado campo bajo determinadas condiciones), pero cuando necesitemos esos niveles de detalle es bueno tenerlos a nuestra disposición.

Acceso en función del contenido

Esta es una de esas funcionalidades poco corrientes, pero que vienen bien, sobre todo en entornos complejos. La idea es que la herramienta nos permita definir permisos de acceso a los diferentes items u objetos no sólo en función del rol o perfil de acceso sino además en función de los contenidos. Por ejemplo, puedo definir que un técnico de primer nivel no puede modificar los contenidos de una llamada de servicio que no esté asignada a él, o que un gestor de configuraciones que tiene asignadas las responsabilidades del mantenimiento de la CMDB en el área de software no pueda modificar un CI de tipo Router.

Autenticación de Usuarios

Aquí es necesario evaluar las capacidades de autenticación de los usuarios y las facilidades en la gestión de los mismos. ¿Tiene controles de fecha/hora de logon? ¿Tiene posibilidad de bloquear a un usuario? ¿Tiene posibilidad de "caducar" las contraseñas?

Integración con Directorios Externos (LDAP / MS-AD / etc)

En aquellos entornos en los que tengamos una gran cantidad de usuarios o bien en los que la rotación de usuarios sea demasiado frecuente, la integración de los sistemas de autenticación de usuarios con los directorios corporativos no es sólo un requisito estético, sino que se convierte en una verdadera necesidad para reducir los costes de administración. Esta integración se puede realizar de dos formas principalmente:

  • Integración completa, de tal forma que en el momento en que vamos a realizar el logon en la aplicación las credenciales son validadas directamente en el directorio externo
  • Integracion por réplicas, donde se sincroniza periodicamente la información del directorio corporativo con la base de datos de usuarios propia de la herramienta. Esta es una integración más débil que la anterior, pero bastante frecuente.

Single Sign-On

Una vez que disponemos de un sistema de integración con el directorio corporativo, el siguiente paso es que el sistema nos permita realizar un logon único adaptado al logon ya realizado en el sistema operativo, ya sea de forma nativa o bien utilizando software de terceros.

2 Comments:

Blogger Leicca said...

Estaré encantada de que vengas y comentes votes o hagas lo que quieras digas lo bueno.

Sólo se crece mediante el feedback.
No dejes de pasarte por Bleicca.
Será un placer.

Y aunque tus publicaciones son bien distintas, le iré echando un vistacillo a lo que haces.

2/15/2007 12:46:00 p. m.  
Blogger Leicca said...

El otro blog, que participa, tiene ya un voto de agradecimiento.
No sé si me había presetado antes.
Creo que he tardado bastante en recuperar los comentarios y era un poco lío.

2/15/2007 12:47:00 p. m.  

Publicar un comentario

Links to this post:

Crear un enlace

<< Home

Creative Commons License
Esta obra está bajo una licencia de Creative Commons.