Las cuentas privilegiadas son las “llaves del reino” de cualquier empresa u organización. Casi todos los dispositivos, sistemas, aplicaciones y bases de datos tienen una cuenta privilegiada, y las organizaciones no pueden existir sin ellas. Los administradores deben tener acceso a esas cuentas para instalar actualizaciones de software, restablecer las contraseñas, configurar o desactivar cuentas, y realizar otras tareas administrativas. Las cuentas privilegiadas proporcionan un acceso ilimitado a los sistemas y a los datos, pero esto tiene sus riesgos, si no se controlan, permiten que cualquier persona con acceso pueda hacerse con el control total sobre las cuentas, dejando al resto de la organización con poca o ninguna visibilidad de lo que se está haciendo.
Los proyectos de gestión de cuentas privilegiadas (PAM) deben estar respaldados por un plan que tenga en cuenta a los principales stakeholders involucrados, así como los requisitos y los hitos necesarios para llevarlo a cabo. Una vez que se haya puesto en marcha el plan, será necesario implementar tres puntos de control clave. Estos incluyen proporcionar acceso seguro y controlado a las cuentas privilegiadas, implementar accesos con menos privilegios, y procesos para el registro y la monitorización de las cuentas privilegiadas.
Índice de temas
Acceso seguro y controlado a las cuentas privilegiadas
La reducción del riesgo de las cuentas privilegiadas requiere un recuento exhaustivo o un inventario de las cuentas y los titulares de las mismas. Las contraseñas privilegiadas son a menudo difíciles de codificar en muchos scripts y aplicaciones, y los negocios sólo serán capaces de evaluar los principales puntos de vulnerabilidad una vez que exista una lista completa de todas las cuentas privilegiadas, junto con las personas y los sistemas que necesitan tener acceso a las mismas.
En caso de no estar seguro con que área comenzar, se recomienda que sea con el acceso de terceros o de proveedores. Si bien es posible confiar en los empleados que cuentan con las “llaves del reino”, hay que destacar que confiar en terceros que posean estas valiosas credenciales puede ser muy arriesgado. Por ejemplo, si su organización recluta a proveedores y consultores de soluciones y servicios especializados que requieren acceso remoto y privilegiado a su infraestructura, es necesario designar un conjunto de requisitos de acceso para ellos. Equivocarse al diferenciar entre el acceso privilegiado en remoto de proveedores y el acceso privilegiado tradicional para los empleados, puede dar lugar a riesgos de seguridad, tales como infecciones por virus, accesos no autorizados y problemas por incumplimiento de políticas.
A continuación, es necesario determinar un lugar seguro para guardar estas credenciales, lo ideal sería hacerlo en un lugar dotado con servicios de cifrado y de autenticación en múltiples capas. El siguiente paso sería eliminar el proceso por el que se comparten los mismos y garantizar la responsabilidad individual sobre el acceso mediante la implementación de solicitudes de contraseñas estrictas. Si se hace esto de forma manual, podría llevar mucho tiempo y que el proceso fuera propenso a la creación de errores, por lo que las organizaciones que conceden una alta prioridad a la seguridad de las cuentas privilegiadas tienden a utilizar una tecnología segura de contraseñas privilegiadas. Una contraseña privilegiada segura no sólo asegura las credenciales privilegiadas utilizando múltiples capas de seguridad y autenticación, sino que también permite el acceso a ellas a través de flujos de trabajo.
Antes de continuar, es importante tener en cuenta que la eliminación de las credenciales tendrá un impacto en la productividad de la organización. En todo momento, incluso durante este proyecto, hay que estar seguro de que los procesos críticos para el negocio sigan funcionando sin interrupciones.
Implementación de derechos privilegiados mínimos
Para desarrollar buenas prácticas en seguridad, así como para implementar regulaciones de cumplimiento, son necesarias tanto la responsabilidad individual como el acceso con menos privilegios. Las organizaciones deben estar al tanto de quién tiene acceso a qué y cuándo, y otorgar el nivel de acceso adecuado que un usuario necesita para llevar a cabo sus tareas. Esto limita las acciones perjudiciales, ya sean de forma involuntaria o intencionada.
Para poner en práctica un modelo operativo con menos privilegios, hay que delimitar en primer lugar todos los roles y responsabilidades clave dentro de la organización. Hay tres maneras en las que se pueden determinar los roles, de arriba hacia abajo, de abajo hacia arriba y por ejemplificación. En la determinación de roles de arriba hacia abajo, a los usuarios se les otorgan roles en función de las labores que realizan. En el caso de la determinación de roles de abajo hacia arriba, a los usuarios se les otorga su rol en función de los conjuntos comunes de recursos a los que necesitan acceder. En el caso de la asignación de roles por ejemplificación, los roles están determinados por los managers, que identifican a aquello usuarios que realizan el mismo trabajo, y si esos usuarios tienen los mismos privilegios, se debe crear un rol para ellos.
Esto supone un reto importante, ya que los roles y los derechos de acceso cambian a medida que la gente cambia de puesto, de función o sale de la compañía y, por tanto, es fundamental reevaluar constantemente y hacer los ajustes necesarios en función de esos cambios. Una recomendación adecuada sería llevar a cabo una actualización de estos accesos, al menos, una vez al año. Sin embargo, para organizaciones en crecimiento, ya sea de forma orgánica o a través de fusiones y adquisiciones, es posible que esta revisión deba hacerse con mayor frecuencia.
Hay que tener cuidado en no ser demasiado granular en la implementación de los accesos con menos privilegios, ya que entraría en juego la ley de los rendimientos decrecientes. Si se designa un rol muy específico para cada individuo, los sistemas pueden llegar a ser tan limitados que lleguen a ralentizar el proceso de concesión de acceso a los usuarios.
La implementación de accesos con menos privilegios, por lo tanto, puede ser una labor bastante compleja, y no todos los sistemas proporcionan formas nativas de hacerlo. Para hacer frente a este desafío, las organizaciones utilizan las soluciones de terceros que les sirven de ayuda, sobre todo con sistemas en los que la delegación no está disponible de forma nativa, como Unix y Linux.
Auditar el acceso privilegiado con monitorización y registro
No es suficiente con controlar simplemente lo que los usuarios privilegiados pueden hacer. También es necesario auditar lo que están haciendo, y el primer paso es determinar el tipo de actividades que se quieren auditar y de las que se quieren tener reportes. Dependiendo de los requisitos de cumplimiento y de seguridad, los auditores necesitarán informes específicos que respondan a las siguientes preguntas respecto a los accesos privilegiados:
- ¿Quién tiene acceso a cuentas privilegiadas, desde cuándo tiene acceso y a que sistemas acceden?
- ¿Qué sistemas tienen datos sobre cumplimiento (PII, PCI, HIPAA, etc.), quién tiene acceso a esos sistemas, y que han hecho con ese acceso?
- ¿Qué sistemas han denegado solicitudes de acceso, y quién ha intentado acceder a ellos?
- ¿Qué comandos potencialmente dañinos se han ejecutado en cada sistema, y por quién?
Por último, es necesario determinar cómo realizar esos informes. ¿Qué registros se necesitan obtener para asegurar que se puede elaborar un informe completo y preciso? Y por otro lado, ¿cómo es posible relacionar ese informe con un usuario individual? Relacionar los registros de forma nativa con los individuos específicos, puede ser un proceso muy difícil. Pese a ello, las soluciones de contraseña segura pueden ser de gran utilidad, pero será necesario utilizar una solución de gestión de sesiones, con el fin de averiguar exactamente lo que un usuario ha hecho con un acceso privilegiado.