¿Qué es la gestión de accesos privilegiados?

La gestión de acceso privilegiado (PAM) protege su infraestructura crítica asegurando y controlando el acceso administrativo en entornos híbridos. Al permitir controles de seguridad basados en la identidad, PAM garantiza que las políticas de acceso en tiempo real se ajusten a las necesidades dinámicas de la empresa. Ayuda a mitigar los riesgos de seguridad, mejora la gobernanza y simplifica el cumplimiento mediante la supervisión continua y la gestión inteligente de privilegios. 

¿Qué es una identidad privilegiada?

Los usuarios con una identidad privilegiada suelen tener algún tipo de acceso administrativo a datos críticos, sistemas o información sensible. Las identidades de este tipo incluyen empleados, consultores, socios, clientes, pero también pueden ser aplicaciones, servicios, cosas y dispositivos.

¿Qué es el principio del menor privilegio (POLP)?

El principio del menor privilegio se refiere a conceder a una identidad sólo los derechos y privilegios que necesita para funcionar. Se necesita una forma sencilla y centralizada de gestionar y proteger las credenciales privilegiadas, así como controles flexibles para equilibrar los requisitos de ciberseguridad y conformidad con los requisitos operativos y de los usuarios finales.

¿Quién es el usuario privilegiado?

Un usuario o cuenta privilegiada concede acceso y privilegios que superan los concedidos por las cuentas no privilegiadas. Los usuarios con privilegios serán, entre otros, el gerente/director de TI, el administrador de sistemas/base de datos o aplicaciones, el de desarrollo/ingeniería, el auditor o consultor, el de nivel C u otro ejecutivo. Estos usuarios tienen mayor acceso debido a su legado, habilidad o función.

¿Cuáles son las amenazas y los riesgos de incumplimiento en la gestión de los accesos privilegiados?

Los expertos calculan que hasta la mitad de las violaciones de la seguridad se producen como resultado de actividades internas. Las amenazas internas son especialmente graves cuando se asocian a empleados que tienen privilegios de acceso superiores a los necesarios.

Tanto si el uso indebido de privilegios se debe a un error de los empleados como si es obra de un ciberdelincuente que ha aprovechado las credenciales de un usuario interno para acceder a su red de TI, la mejor forma de gestionar este riesgo es controlar y supervisar de cerca lo que los usuarios con privilegios, como los superusuarios y los administradores de bases de datos, hacen con su acceso.

Tendencias como la nube híbrida, la movilidad, el big data, CIAM, IoT y la transformación digital introducen complejidad, nuevas amenazas y niveles de riesgo en torno a los privilegios. Las identidades son ahora mucho más que personas -también pueden ser dispositivos o cosas- y todas las identidades tienen alguna forma de privilegio.

Cada día, los departamentos de TI conceden privilegios elevados a las identidades en nombre de la productividad, lo que conlleva tres tipos de riesgos en torno al acceso privilegiado: amenazas externas, amenazas internas e incumplimiento de normativas. Todos estos tipos de cuentas son vulnerables, ya que tienen acceso a sistemas e información críticos, lo que, a su vez, expone a la empresa a riesgos.

Amenazas exteriores

Los hackers sofisticados dirigen los ataques de phishing a quienes tendrían un acceso elevado: ejecutivos, administradores de sistemas, gestores de redes, ingenieros y trabajadores de seguridad que tienen acceso a finanzas, propiedad intelectual, datos de clientes, fórmulas, procesos de fabricación, etc. Los hackers o cazadores de amenazas pueden no ser conscientes de qué identidades tienen acceso a qué, pero buscarán activamente los riesgos de seguridad ocultos en cualquier red.  Los atacantes que consiguen acceder a las credenciales de usuarios privilegiados pueden pasar desapercibidos durante meses mientras aprenden los sistemas de una empresa y deciden qué robar. Los hackers experimentados también tienen la posibilidad de piratear dispositivos/cosas huérfanos o con privilegios para obtener acceso administrativo. Pueden robar el contenido de bases de datos enteras y borrar fácilmente los registros para ocultar su actividad.

Amenazas internas

Las organizaciones también deben protegerse contra las amenazas internas, tanto maliciosas como accidentales. Tanto si es su intención como si no, los usuarios que han recibido o robado credenciales con acceso elevado podrían fácilmente hacer caer una red, exponer información confidencial y mucho más, lo que podría costar a la organización millones de dólares en pérdida de productividad, pérdida de ingresos y multas por incumplimiento de normativas. Se conocen casos de empleados o contratistas que realizan actos malintencionados, pero la mayoría de las circunstancias son el resultado de un error humano o un descuido. Si la empresa no proporciona una buena experiencia de usuario y el acceso adecuado en el momento oportuno, incluso los usuarios privilegiados altamente técnicos y de confianza encontrarán la forma de realizar su trabajo, a veces a expensas de la seguridad. Las organizaciones deben saber quién o qué tiene privilegios y controlar lo que pueden hacer para minimizar el impacto.

Riesgos de incumplimiento

Hay muchas normas de cumplimiento existentes en torno al acceso a los datos, como GDPR, HIPAA y PCI, y se espera que se introduzcan más en los próximos años. La mayoría de estos reglamentos son descriptivos, no prescriptivos, lo que hace que la aplicación de las políticas quede abierta a la interpretación. Cuando una política está abierta a la interpretación, se expone intrínsecamente al riesgo. La normalización de las políticas garantiza que se cumplan las partes de seguridad y gestión de identidades de una estrategia de cumplimiento. A medida que los requisitos de cumplimiento y gobernanza interna se hacen más estrictos y las auditorías más duras, las organizaciones también se ven presionadas para encontrar un equilibrio entre mantener la productividad de las personas y aplicar controles de seguridad basados en la identidad. Muchos buscan resultados rápidos para mitigar la cantidad de riesgos a los que se enfrenta su organización, con la capacidad de demostrar a los auditores que han implantado las normas necesarias.

Los activos más importantes de una organización deben estar protegidos por identidades privilegiadas y políticas de acceso que den acceso a las personas adecuadas en el momento adecuado. La mayoría de las organizaciones ignoran los problemas de privilegios, no saben por dónde empezar o sólo utilizan procesos manuales.

¿Por qué es importante la gestión de accesos privilegiados?

Los responsables de TI son conscientes de que una de las formas más rápidas e impactantes de reducir el riesgo es gestionar mejor sus identidades privilegiadas (también conocidas como superusuarios). La mayoría de las infracciones implican el acceso a credenciales privilegiadas, ya que proporcionan acceso ilimitado a sistemas y datos, lo que crea un importante problema de seguridad y cumplimiento. Gestionar eficazmente el acceso de aquellos usuarios que tienen la capacidad de hacer el mayor daño -maliciosa o accidentalmente- es un paso lógico para asegurar su organización.

¿Cómo puede proporcionar visibilidad y control de las actividades de los usuarios con privilegios?

La mayoría de las infracciones implican el acceso a credenciales privilegiadas, ya que proporcionan acceso ilimitado a sistemas y datos, lo que crea un importante problema de seguridad y cumplimiento.

Aunque las cuentas privilegiadas son imprescindibles, son difíciles de gestionar porque las herramientas nativas rara vez son capaces de hacerlo correctamente. Las identidades privilegiadas se encuentran en todas partes dentro de una organización y las normas de seguridad son diferentes en casi todas las circunstancias. Encontrará privilegios en aplicaciones, servicios, servidores, bases de datos, dispositivos, cosas, etc. 

También se carece de información sobre los usuarios, las dependencias y la actividad de las cuentas privilegiadas. A menudo, los privilegios se comparten entre varias personas, lo que hace casi imposible que TI pueda responsabilizar a alguien de las acciones realizadas. Además, la mayoría de las organizaciones son incapaces de extender sus actuales políticas de autenticación o autorización a plataformas como Linux o UNIX o a servicios en la nube. 

Para minimizar los riesgos asociados a los privilegios, las organizaciones deben superar varios retos, como gestionar, proteger y mitigar todos los accesos privilegiados.

Gestión de credenciales privilegiadas

Muchas organizaciones de TI dependen de procesos administrativos manuales, intensivos y propensos a errores para gestionar el acceso de credenciales privilegiadas. Se trata de un planteamiento ineficaz, arriesgado y costoso. En un entorno híbrido complejo, descubrir todas las identidades con derechos elevados puede ser difícil, y a veces casi imposible. Por ejemplo, Microsoft Windows, el sistema operativo más utilizado, permite tener cuentas de servicio, que ejecutan sistemas y aplicaciones, no personas. 

Las cuentas no son sólo para las personas. Pueden estar en manos de sistemas, dispositivos o sensores IoT en máquinas. Cualquier cosa que tenga acceso a sistemas críticos es una cuenta privilegiada y a veces las cuentas privilegiadas están duplicadas dentro de cada sistema (Windows, Linux, UNIX, etc.) al que deben acceder. Aunque es normal tener un gran número de cuentas privilegiadas, la mayoría de las organizaciones tienen muchas más de las que necesitan. Además, cuando cambian las identidades, no siempre se siguen los procesos de reasignación de derechos de acceso.

Muchas organizaciones ni siquiera se dan cuenta de cuántas cuentas privilegiadas tienen o de que tienen cuentas vacías o huérfanas que están esperando a ser explotadas. OpenText™ Privileged Access Manager solución segura y flexible permite la gestión centralizada de cuentas de administrador en cualquier entorno de TI híbrido con facilidad. .

Funciones y responsabilidades seguras

La aplicación real de una estrategia de gestión de privilegios es un gran reto en un entorno híbrido complejo. A medida que las organizaciones crecen, descubren que sus sistemas no proporcionan los controles de acceso necesarios en torno a los usuarios con privilegios. Incluso los mejores procesos y políticas no importan si no se puede automatizar su aplicación de forma coherente y eficaz. 

Para ayudar a satisfacer los requisitos de cumplimiento y gobernanza, la mayoría de las organizaciones deben contar con controles de acceso adaptables porque se enfrentan a algo llamado "privilege creep". Esto ocurre cuando las personas cambian de función dentro de la organización, pero los nuevos privilegios simplemente se amplían para reflejar las necesidades actuales, en lugar de eliminar los que ya no son necesarios. 

Las organizaciones suelen tener dificultades para controlar eficazmente el acceso de los usuarios con privilegios a las plataformas en la nube, las aplicaciones SaaS, las redes sociales, etc., lo que genera riesgos de cumplimiento y complejidad operativa. Es importante aplicar el principio del menor privilegio a cualquier usuario con privilegios. 

Compartir contraseñas o proporcionar demasiado acceso de nivel raíz a sistemas críticos amplía la superficie de ataque y aumenta la complejidad del sistema, lo que dificulta la detección de intrusos. La mayoría de los usuarios sólo necesitan un subconjunto de derechos administrativos para hacer su trabajo, pero como las herramientas nativas pueden no permitir un control granular, los usuarios obtienen privilegios administrativos completos por defecto. Esto significa que ahora tienen más privilegios de los que necesitan, lo que genera riesgos innecesarios y puede convertirse en una pesadilla para el cumplimiento de la normativa. 

Mitigar y rastrear la actividad privilegiada

Una vez implantados los controles, las organizaciones deben realizar un seguimiento de la actividad privilegiada y supervisarla a lo largo de todo el ciclo de vida de la identidad para identificar posibles amenazas, remediarlas en tiempo real y garantizar auditorías sin fisuras. Intentar hacerlo manualmente puede dar lugar a errores, llevar mucho tiempo y ser casi imposible de gestionar, ya que los requisitos de acceso cambian con el tiempo y constantemente se aprovisionan nuevas identidades. Esta no es una forma eficiente ni sostenible de gestionar las identidades privilegiadas, especialmente para las grandes organizaciones de TI con entornos híbridos complejos. 

Muchas organizaciones recurren a certificaciones de acceso o atestaciones periódicas como parte de su estrategia interna de gobernanza de identidades, pero suelen ser procesos manuales también para TI. Y es probable que no estén rastreando y registrando toda la actividad privilegiada. 

Las organizaciones necesitan una forma de detectar el uso indebido de privilegios y detenerlo inmediatamente, sin esperar a que se produzca una auditoría o un incidente para iniciar la investigación. Toda organización debe tener una estrategia para mantenerse al día con el acceso privilegiado para minimizar el riesgo de incidentes en la red, auditorías internas y externas fallidas, multas por incumplimiento y el riesgo añadido de una brecha.

Todos estos retos podrían dar lugar a una auditoría dolorosa o proporcionar una apertura ideal para que los intrusos la exploten. Las organizaciones deben tener la capacidad de automatizar la identificación del exceso de privilegios y revocarlos o ajustarlos cuando ya no sean necesarios.

¿Cuáles son las mejores prácticas de gestión de accesos privilegiados?

Gestionar el acceso de aquellos usuarios con potencial para dañar a su organización, ya sea de forma maliciosa o accidental, es clave para garantizar la seguridad de su organización. Puede reducir el riesgo y la complejidad siguiendo estos pasos: descubrir, controlar y supervisar.

Descubrir identidades privilegiadas

Obtenga una base completa de las identidades privilegiadas y sus dependencias

El primer paso en la gestión de privilegios es saber qué identidades (usuarios, servicios, dispositivos, cosas, etc.) tienen acceso elevado y qué dependencias existen, de modo que tenga la perspectiva que necesita para simplificar e implementar políticas. Descubrir identidades privilegiadas y sus dependencias para establecer una línea base de identidades privilegiadas.

Descubrir cuentas y servicios privilegiados

¿Quién y qué tiene privilegios elevados en las aplicaciones y servicios de su entorno? ¿Corre el riesgo de no superar una auditoría por tener demasiados administradores?

Identifique todas y cada una de las dependencias

¿De qué manera todas mis identidades privilegiadas dependen unas de otras o de los servicios? ¿Cómo asegurarse de que no se caen servicios durante un proceso de limpieza o simplificación?

Detectar políticas de grupo no esenciales o huérfanas

¿Tiene cuentas o políticas de grupo huérfanas?

Privilegios de control

Implantar una gestión de privilegios basada en identidades para reducir riesgos

Al implantar la gestión de privilegios basada en identidades, el control reduce el riesgo, aplicando políticas para ajustar los privilegios en función de los atributos en tiempo real. El principio del "menor privilegio" garantiza que todos y cada uno tengan el acceso justo para hacer su trabajo (ni más, ni menos).

• ¿Puede aplicar la delegación de privilegios mínimos?
• ¿Dispone de capacidades de puente AD para ampliar la autenticación a los recursos en la nube de Windows &?
• ¿Desea eliminar los nombres de usuario y contraseñas codificados mediante el almacenamiento de credenciales?
• ¿Puede disponer de autenticación multifactor para los accesos privilegiados?
• ¿Utiliza el aprovisionamiento adaptativo de atributos?
• ¿Cómo se gestionan las sesiones privilegiadas?
• ¿Y la gestión de las políticas de grupo? ¿Cómo se gestiona el aprovisionamiento de licencias de Office 365?
• ¿Necesita una delegación raíz UNIX?
• ¿Cómo se gestiona el acceso privilegiado con la automatización del trabajo inmediato?

Supervisar la actividad privilegiada

Detectar cambios y realizar un seguimiento de la actividad privilegiada para apoyar la gobernanza y el cumplimiento de la normativa.

Se identifican los cambios y se realiza un seguimiento de la actividad de privilegios para apoyar la gobernanza y el cumplimiento. Una vez establecidos los controles, supervise los cambios y la actividad de los privilegios a lo largo de todo el ciclo de vida de la identidad para identificar posibles amenazas y garantizar la gobernanza y el cumplimiento.

Control de cambios no autorizados

¿Cómo se descubren los cambios realizados al margen de la política? ¿Recibes alertas cuando se ha realizado un cambio no autorizado?

Identificar las amenazas y cerrar el acceso

¿Puede identificar el abuso de privilegios en tiempo real? ¿Cómo se ataja el abuso de privilegios una vez identificado?

Generar informes para los auditores

¿Puede acceder a los registros de toda la actividad de sus usuarios privilegiados? ¿Le resulta fácil cumplimentar los informes de certificación?

¿Por qué OpenText para la gestión de accesos privilegiados?

• Metodología probada de descubrimiento, control y seguimiento
• Visibilidad de todo el ciclo de vida de la identidad privilegiada
• Granularidad de privilegios inigualable con nuestro modelo ActiveView
• Amplia gama de sistemas y aplicaciones compatibles
• Mejor experiencia con la supervisión no intrusiva de sesiones privilegiadas
• Automatización del flujo de trabajo integrada, segura, eficaz y coherente
• Cobertura de un único proveedor en todo su entorno híbrido
• Reducir el tiempo necesario para las auditorías y los informes de certificación