Tres maneras de controlar el acceso a una cuenta para prevenir amenazas

Publicado el 11 Dic 2012

En el marco del pasado Cyber Monday, las tiendas minoristas online y los bancos se prepararon ante la posibilidad de un aumento de violaciones de datos y amenazas de seguridad, mientras que los compradores online tomaron precauciones adicionales para proteger su información personal.

Todos los días, los estadounidenses confían en que los sistemas de TI gubernamentales y corporativos manejan su información de identidad crítica (como por ejemplo números de tarjetas de crédito, números de identidad fiscal y declaraciones de impuestos) están equipados con las medidas de seguridad correspondientes para mantener sus datos personales seguros. Aumentar la conciencia de potenciales riesgos de seguridad, es un paso esencial para frustrar ataques maliciosos. Sin embargo, con mucha frecuencia las entidades públicas y privadas también deben reconocer que existe una exposición aún más riesgosa cuando se explota el privilegio administrativo, sin importar si los culpables son adversarios externos o amenazas internas.

Quest Software (ahora parte de Dell) tiene un conocimiento profundo de los problemas a los que enfrentan las organizaciones cuando no se controlan o no auditan de la forma debida los accesos administrativos y las cuentas de “super-usuarios”.

Según una encuesta realizada este año en The Experts Conference (La Conferencia de Expertos), -una convención anual de profesionales de TI de todo el mundo coauspiciada por Quest y Microsoft-, la mitad de las organizaciones consultadas informaron que la principal preocupación que deben cumplir, es asegurar los derechos de acceso apropiados (incluido el acceso de usuario privilegiado). En el caso de administrar cuentas privilegiadas, este desafío se intensifica cuando se entregan a los administradores las “llaves del reino”, con derechos de acceso anónimos compartidos y de largo alcance para sistemas de TI vitales.

En el sector privado, la falta de administración en el acceso a la información y el incumplimiento de mandatos de seguridad pueden provocar pérdidas de ingresos, auditorías negativas y daños a la marca. En el gobierno, la administración de derechos de acceso de usuario representa un juego de alto riesgo, en el cual evadir amenazas emergentes es un tema de seguridad nacional. En este aspecto, el sistema de Privileged Account Management (administración de cuentas privilegiadas) se registra en muchos estándares de seguridad, incluidos ISO 27001 y NIST 800-53. Un nuevo informe desarrollado por Enterprise Management Associates, a pedido de Quest, identifica los controles de acceso administrativos inadecuados como “una de las brechas de riesgo de TI más prominentes en muchas organizaciones.”

El informe, “Why You Need to Consider Privileged Access Management (And What You May Not Know About It That You Should)” [Por qué debe considerar la administración de acceso privilegiado (y lo que tal vez no sabe, pero debería saber, sobre el tema)] examina algunas de las excusas más comunes que dan las empresas para justificar su descuido, además de ofrecer un conocimiento profundo y útil sobre cómo las prácticas de Privileged Account Management (PAM, por sus siglas en inglés) y las soluciones de tecnología correspondientes pueden cerrar la brecha de riesgo con un control de políticas flexible, flujos de trabajo automatizados e informes exhaustivos para mejorar la seguridad, lograr el cumplimiento de normativas y mejorar la eficiencia.

Para ayudar aún más a los CXO a prevenir estos riesgos de seguridad demasiado comunes, Quest ofrece tres recomendaciones pragmáticas:

1. Asigne responsabilidades individuales a la actividad de los súper-usuarios

El acceso administrativo compartido y sin administrar es peor que una mala idea: es una de las formas más rápidas y sencillas de exponer una organización a un riesgo innecesario, especialmente porque estas cuentas de super-usuario tienen un gran poder sobre los sistemas operativos, aplicaciones y bases de datos de la TI, entre otras facultades. Con cuentas compartidas, cualquier fallo de seguridad o cumplimiento puede rastrearse solamente hasta la cuenta, y no a un administrador en particular que utiliza dicha cuenta.

Un enfoque mucho mejor para la contención de riesgos consiste en limitar el derecho de acceso de los administradores a lo que necesitan, cómo lo necesitan, nada más y nada menos. Las credenciales deben emitirse solamente a medida que sean necesarias, acompañadas por un seguimiento de auditoría que registre quién las usó, quién aprobó el uso y qué hizo con ellas, además de cómo y por qué las reciben. También, la contraseña debe cambiarse inmediatamente cuando los administradores terminan de usar la credencial. La capacidad de automatizar y asegurar todo este proceso es un modo eficiente para gestionar accesos administrativos en toda una organización. De un modo similar, PAM es esencial para permitir que trabajen en conjunto las agencias locales, estatales y federales, y puede hacer o dañar su capacidad de colaborar y compartir información en todos los ámbitos del gobierno.

2. Implemente y haga cumplir una posición de seguridad del “menor privilegio” para el acceso administrativo

Muchas cuentas administrativas, incluidas aquellas para un root de Unix, de Windows o administrador de Active Directory, DBA, etc. brindan permisos ilimitados dentro del límite de control y, cuando se comparten, abren la puerta a actividades malintencionadas. Por ejemplo, la brecha de seguridad ampliamente publicitada en Fannie Mae se debió a que un empleado utilizó este tipo de acceso de super-usuario para plantar una bomba lógica que, de no haber sido descubierta, hubiera incapacitado toda la organización y comprometido la información personal y financiera de aproximadamente 1100 personas.

Un enfoque más prudente es establecer una política que defina claramente lo que cada administrador (o rol de administrador) puede y no puede hacer con su acceso. Como este proceso puede ser complicado y a veces difícil de implementar en sistemas diversos, Quest recomienda agregar herramientas de delegación granular que estén optimizadas para las plataformas designadas e integradas con otras tecnologías PAM, tales como una autenticación de factores múltiples, un depósito seguro de privilegios o un puente de Active Directory.

3. Reduzca la complejidad de la administración de cuentas privilegiadas

Uno de los desafíos predominantes de PAM proviene de navegar en diversos sistemas de TI, cada uno con sus propias capacidades únicas y requisitos para administración de cuentas privilegiadas. Esto suele llevar al uso de herramientas especializadas, junto con políticas y prácticas ad-hoc para controlar el acceso a cuentas privilegiadas. Desafortunadamente, este enfoque con frecuencia complica el proceso de auditoría, lo que dificulta probar que todo el acceso se controla y que los principios de separación de deberes queden establecidos y se respeten.

Por esa razón, consolidar sistemas dispares en una estructura de identidad común, crea un entorno en el que un solo enfoque PAM puede implementarse fácilmente con mayor consistencia en una porción mucho mayor de una organización, eliminando los errores que surgen de la complejidad de usar sistemas múltiples, disminuyendo así el riesgo y reduciendo los costos de administrar sistemas múltiples. Además, cualquier consolidación de capacidades PAM bajo una interfaz de administración e informe común brinda una mejora en la eficiencia.

El informe EMA al que se hace referencia anteriormente indica que las organizaciones centradas en lograr un alto nivel de disciplina en la administración de cambios y configuración suelen tener mejores resultados, no solo en casos menores de eventos de seguridad disruptivos, sino que también exhiben una mejor confiabilidad de la TI, menos trabajo de TI no planificado, más cambios de TI exitosos, mayor tasa de administración servidor/sistema y más proyectos de TI completos dentro de los tiempos y presupuestos estipulados.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 4