Upload File

kick off avalon_imserso_20100209

8
Copyright © 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 9 de febrero de 2010 Piloto Auditoría SISAAD

Upload: alvaro-alcocer-sotil

Post on 04-Aug-2015

36 views

Category:

Documents


1 download

Report

TRANSCRIPT

Page 1: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture.

9 de febrero de 2010

Piloto Auditoría SISAAD

Page 2: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.2

1. Presentación de AVALON

2. Piloto de auditoría del SISAAD

Page 3: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.3

1. Presentación de AVALON¿Qué es AVALON?

• AVALON es una Solución de Auditoría que contiene además algunas funcionalidades básicas de Gestión de la Seguridad en aplicaciones. El desarrollo de AVALON se ha basado en experiencias de éxito en la implantación de soluciones de seguridad.

• Registro de transacciones de negocio y acceso a datos (consultas realizadas y valores visualizados)

• Monitorización de actividad de usuarios concretos• Control de acceso a datos sensibles o especialmente

protegidos• Explotación de datos

• Identificación del puesto de trabajo desde el que se realizan las operaciones (dirección IP)

• Identificación de intentos de suplantación de credenciales

• Validación básica de perfiles autorizados para el acceso a datos

AVALON está desarrollado en J2EE bajo entorno open-source con las siguientes características técnicas:

• Multi-Aplicación: permite controlar distintas aplicaciones de forma conjunta en un único repositorio de auditoría

• Multi-Plataforma: admite no sólo aplicaciones que utilicen el protocolo HTTP, sino también aplicaciones desarrolladas en otras tecnologías

• Independiente del gestor de base de datos.• Escalable / fácil de configurar: la configuración de los

elementos a auditar es flexible y se realiza “en caliente”.• Persistencia ante fallos: sus componentes pueden funcionar

de manera independiente en el caso de pérdidas eventuales de conexión entre ellos.

• No intrusivo / desacoplado: basado en colas asíncronas, no impacta en el rendimiento de las aplicaciones ni requiere en gran parte de los casos, su modificación

Au

dit

orí

aS

egu

ridad

Ser. Aplicaciones

Ser. Web

Servidores Auditoria

AVALON Audit TrailAVALON Parser

AVALON Web Filter

AVALON Setup Manager

AVALON puede definirse como una solución “intermedia” y complementaria entre el enfoque tradicional y el enfoque basado en appliances.

Page 4: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.4

AVALONAplicaciones web

Usuarios

Base de datos de la aplicación web

AVALON Audit Trail

Lógica de la aplicación web

AVALON Parser

AVALON Web Filter

Sistema de persistencia

Colas XML asíncronas

Sistema de persistencia

Control de errores

AVALON Web Filter*

• Filtro Web que captura las peticiones enviadas por el servidor web al servidor de aplicaciones y las llamadas HTTP que pudieran ser enviadas a AVALON por éste último (opcional), genera los ficheros en formato XML y los transfiere a AVALON Parser mediante un sistema de colas asíncronas.

* Disponible para aplicaciones web (J2EE o .NET)

Otros componentes

• Sistemas de persistencia: Tanto AVALON Web Filter como AVALON Parser utilizan sistemas de persistencia, que permiten almacenar la información procesada en caso de que se produzca algún error de comunicación o indisponibilidad eventual de los sistemas con los que interactúan.

• Control de errores: AVALON Parser dispone de un mecanismo que permite identificar errores en el procesamiento de datos de auditoría y almacenarlos en un repositorio auxiliar si no es posible efectuar su registro en el componente AVALON Audit Trail. De este modo, se garantiza la persistencia de la información de auditoría incluso en el caso de errores.

AVALON Parser

• Componente cuyo propósito es la identificación de los casos de uso a auditar y de los datos que deben ser registrados, en base a la configuración realizada por el administrador del sistema, y almacenarlos en la base de datos de auditoría (AVALON Audit Trail), desechando los datos recabados que no se consideren de utilidad.

AVALON Audit Trail

• Constituye la base de datos de auditoría. Se puede optar por utilizar el modelo estándar (opción “Easy Plug & Play”) o configurar la base de datos de auditoría en base a los principales casos de uso que se desean auditar (opción “Custom”), facilitando así su exportación posterior a sistemas de reporting.

Otras aplicacionesAVALON Setup Manager

AVALON Setup Manager

• Interfaz de administración para configurar los criterios a aplicar por AVALON Web Filter y AVALON Parser en relación a los mecanismos de seguridad en aplicaciones y de auditoría.

Llamadas HTTP (opcional)

Colas XML asíncronas

1. Presentación de AVALONComponentes

Page 5: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.5

Aplicaciones de gestión AVALON

ILUSTRATIVO

C/S

IIS

Aplicaciones J2EE

Aplicaciones .NET

Otras aplicaciones (Host, cliente / servidor, etc.)

Servidor de aplicaciones J2EE

Servidor web

Servidor web

AVALON Audit TrailAVALON Parser

AVALON Web Filter

Col

as

XM

L a

sín

cro

nas

Generación de información de auditoría en formato XML

• La arquitectura de AVALON permite adoptar diferentes configuraciones físicas, en función de las tecnologías utilizadas en las aplicaciones (J2EE, .NET, cliente/servidor, host, etc.), los medios técnicos disponibles (por ejemplo, disponibilidad de servidores) y las necesidades de la organización.

AVALON Web Filter

1. Presentación de AVALONArquitectura física

Page 6: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.6

Solicitudes (ida)

Respuestas (vuelta)

Grado de cobertura

Tipos de aplicación

Por transacción Cualquier tipo de aplicación

Por funcionalidad de negocio

Sí, mediante llamadas efectuadas al sistema AVALON desde la aplicación para que se efectúe el registro de la

solicitud realizada

Sí, mediante filtro web (AVALON Web Filter) que redirige las

peticiones al sistema de auditoría

Sí, mediante llamadas efectuadas al sistema AVALON desde la aplicación para que se efectúe el registro de los

datos consultados

Requiere el desarrollo a medida de una clase que interprete la estructura

de datos proporcionada por el servidor de aplicaciones

Aplicaciones web:• J2EE• .NET

Mecanismo

Filtro (AVALON Web Filter)

• Llamadas HTTP • Generación de

ficheros XML

• AVALON permite efectuar el registro de las operaciones efectuadas por los usuarios de las aplicaciones, mediante dos mecanismos, que pueden ser utilizados de forma alternativa o complementaria:

– Por funcionalidad de negocio: definición de filtros que permiten establecer, de forma no intrusiva en las aplicaciones, los casos de uso que se requieren auditar y los campos cuyo acceso debe ser registrado.

– Por transacción: definición de llamadas directas al sistema AVALON implementadas en la funcionalidad de las ventanas cliente, mediante las que se registra información de solicitudes de acceso a servicios.

1. Presentación de AVALONMecanismo de registro de operaciones

Page 7: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.7

2. Piloto de auditoría del SISAADObjetivo y resultados esperados

Objetivo• Prueba de integración de AVALON con el SISAAD, de modo que el IMSERSO pueda valorar la utilización de esta solución como herramienta de auditoría, con independencia de que se considere conveniente la utilización de otras soluciones complementarias basadas en productos comerciales.

Resultados esperados

• Selección de dos casos de uso relevantes, y configuración de AVALON de modo que sea posible obtener datos de auditoría, relativos tanto a las consultas efectuadas por los usuarios como a la información que han podido visualizar, sin requerir modificar el código fuente del SISAAD, y con un efecto mínimo en el rendimiento del sistema.

• Centralización de los datos de auditoría en un mismo repositorio.

• Construcción de un informe que facilite la visualización de los resultados obtenidos en alguno de los casos auditados.

• Planteamiento de proyecto de adaptación y configuración de AVALON para la implementación de la función de auditoría del SISAAD haciendo uso de dicha solución.

Page 8: Kick off avalon_imserso_20100209

Copyright © 2010 Accenture All Rights Reserved.8

2. Piloto de auditoría del SISAADTareas y cronograma

1. Arranque y preparación

Selección de casos de uso a auditar

Desarrollo de adaptaciones para la integración AVALON - SISAAD

Gestión y seguimiento del proyecto

Revisión del entorno, instalación y configuración básica de AVALON

Semana

2. Desarrollo y pruebas

Configuración de casos de uso - ejemplo

Pruebas de integración AVALON - SISAAD

Definición de próximos pasos

Informe de conclusiones - Demostración

3. Conclusiones

Tareas

Diseño, desarrollo y pruebas de informes - ejemplo

Reunión de arranque

Presentación de conclusiones


FutureDAQ Kick-off

Kick Off - 62

Wasco kick off

Kick-Off Lunch

Kick-Off 26_September_2009

Wiki Kick-off

Realty kick off

Project Kick-Off Meeting Project Kick-Off Meeting September 13, 2013

54 Kick Off

Kick Off 65

2012 Kick Off

Kick off sat

Kick-off workshop

58 Kick Off

DaNet kick off

Kick off mmr

KICK-OFF CROWDFUNDING

FALL KICK-OFF

57 Kick-Off

Kick off meeting

HimmelstrupEvent Kick Off

Kick-off 2015 - Oriflameholland.oriflame.com/Kick-off_2015/Presentatie Anita Kick Off 2015.pdf · Kick-off 2015 Productpresentatie Anita van Dijk Oriflame Beauty Expert

Kick Off - Modelo

Kick-off projet

Kick off presentation

PatchWorking Kick-off

KICK OFF - trigon-film.org · KICK OFF Shawkat Amin Korki, Irak

Communication Kick-Off

KICK OFF - trigon-film · KICK OFF Shawkat Amin Korki, Irak

Administrator Kick Off

140212.kick off

Kick Off Famous

Kick off meeting_course_dev_sp2012

Kick off meeting_course_dev_sp2014

TENTTIAKVAARIO KICK-OFF/KICK-OFF FÖR E-TENT