El 41 por ciento de las organizaciones que afirman haber implementado el estándar ISO27001 siguen manteniendo malas prácticas de gestión como compartir cuentas de usuarios privilegiados
Madrid, 21 de octubre de 2009.- CA (NASDAQ: CA), el principal proveedor independiente del mundo de software de gestión de las TI, ha anunciado los resultados de un estudio europeo que revela que las malas prácticas en la gestión de usuarios privilegiados representan una amenaza para la seguridad de las empresas europeas. El estudio titulado “Privileged User Management―It’s Time to Take Control”, que ha sido elaborado por la firma Quocirca a instancias de CA, abarca 14 países (Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia).
Los usuarios privilegiados suelen ser los administradores de la red o de TI responsables del mantenimiento y disponibilidad de los sistemas, o también los administradores de sistemas operativos, aplicaciones de negocios, seguridad y bases de datos. Por lo general, a los usuarios privilegiados se les conceden unos derechos de acceso dentro de la infraestructura TI de las empresas que son significativamente mayores que los derechos de la mayoría de usuarios de TI.
El estudio destaca que el 41% de los encuestados europeos (40% en España) que señalan haber implementado el estándar ISO27001* aún mantienen algunas prácticas no conformes con la normativa como el compartir cuentas de usuarios privilegiados; esto se suma a otra mala práctica como es el uso de los nombres de usuario y contraseñas por defecto para las cuentas privilegiadas. Si se consideran sólo aquellos que han implementado el estándar ISO27001 y tienen la certificación de un auditor externo, esta cifra continúa manteniéndose alta, con un 36%.
En los últimos años, se han dado muchos casos que ponen de relieve los peligros de subestimar y pasar por alto los riegos que pueden derivar de la falta de control sobre la actividad de los usuarios privilegiados. Cuando los administradores o usuarios privilegiados acumulan un exceso de privilegios o cuando comparten sus credenciales de acceso con otras personas, pueden causar grandes perjuicios, sea accidental o deliberadamente. Además, hay muchos ejemplos de hackers cuyo objetivo son las cuentas privilegiadas para obtener acceso a las aplicaciones y datos más importantes del negocio. Algunos de estos casos incluyen desde el robo de datos que pueden venderse, como información sobre tarjetas de crédito, hasta fraudes más sofisticados o robo de propiedad intelectual.
A pesar de estos riesgos, la investigación revela que el control y la monitorización de la actividad de los usuarios privilegiados no ocupan un lugar destacado en la agenda de los responsables de TI. Los encuestados valoraron la gestión de usuarios privilegiados en octavo lugar entre las amenazas de seguridad con una puntuación de 2,5 sobre 5, por debajo de las amenazas del malware (2,9), Internet (2,7), usuarios internos (2,7) y herramientas web (2,6). Además, existe un exceso de confianza en la capacidad de gestionar los usuarios privilegiados. Los encuestados también están relativamente seguros de poder pasar una auditoria de cumplimiento y se preocupan más de temas como pérdidas de datos o de la violación de la propiedad intelectual.
Según el estudio”Privileged User Management―It’s Time to Take Control”, el 24% de las organizaciones europeas tienen dispuesta alguna forma de control manual para supervisar las acciones y controlar el acceso de los usuarios privilegiados. Sin embargo, confiar en los procesos manuales para el control y monitorización de los usuarios privilegiados consume mucho tiempo, es excesivamente costoso, no es fiable y es propenso a errores.
A pesar de la disponibilidad de sistemas más sofisticados y de su necesidad, sólo el 26% de las empresas europeas encuestadas ha implantado un sistema completo de gestión de usuarios privilegiados. Sin embargo, el alto número de organizaciones (48%) que dicen tener planes (aunque a menudo retrasados) sugiere que no se trata de una prioridad aunque figure en la agenda. La disponibilidad de presupuesto, puntuada con 3,3 sobre 5 en la escala de factores restrictivos, puede explicar esta distorsión, aunque el 85% de los encuestados europeos manifiesta que la parte de presupuesto TI asignado a seguridad es estable o se incrementará. Al fin y al cabo, es probable que la razón principal para los retrasos en la inversión sea una infravaloración de los riesgos asociados a los usuarios privilegiados.
Resultados por sectores de la industria
Al examinar los distintos sectores de la industria que abarcó la encuesta también se encuentra una gran variación. El 43% de las organizaciones de los sectores de Telecomunicaciones y Administraciones Públicas admiten que diferentes personas comparten las cuentas del administrador del sistema operativo. Este porcentaje disminuye al 29% en el sector Industria. Curiosamente, las empresas de Telecomunicaciones y Medios son las que más seguras están de ser capaces de monitorizar las cuentas de usuarios privilegiados (con una puntuación de 3,7 en un índice de confianza de 5), mientras que las de Administraciones Públicas son las menos confiadas (3,5). Las empresas de Telecomunicaciones y Medios están por delante en la implantación de soluciones de gestión de usuarios privilegiados, el 37% ya tienen un sistema en funcionamiento, comparado con el 18% de las empresas del sector Industria. Finalmente, el 34% de las empresas del sector Telecomunicaciones y Medios ya tiene herramientas para monitorizar y controlar las actividades de los usuarios privilegiados, seguidas del sector Administraciones Públicas (25%), Finanzas (22%) e Industria (13%).
“Este estudio proporciona pruebas concluyentes de que las organizaciones están pasando por alto un aspecto fundamental de la seguridad informática: el acceso privilegiado que los administradores se conceden a sí mismos o a sus compañeros para hacer su trabajo“, dice Tim Dunn, vicepresidente de la unidad de negocio de Seguridad de EMEA, CA. “Si bien el acceso es necesario, a menudo se gestiona de forma puntual y con frecuencia los requisitos de cumplimiento de normativas relacionados con los usuarios privilegiados se pasan por alto. En el propio interés de los administradores de TI, el departamento de TI y el negocio en general, es preciso disponer de medidas de control y supervisión de los usuarios privilegiados. El despliegue de herramientas de gestión de usuarios privilegiados lo hace posible y permite a las organizaciones madurar esta gestión con el tiempo. La gestión de los usuarios privilegiados es clave para el cumplimiento, para reducir la exposición a riesgos y para proteger las aplicaciones críticas de negocio“.
Bob Tarzey, Analista y Director de Quocirca Ltd. comenta, “esta investigación demuestra claramente que si bien es interesante tanto para los responsables de TI como para la propia empresa adoptar medidas para controlar y supervisar a los usuarios privilegiados, esto no es una prioridad. Los procesos manuales son ineficaces y no ofrecen un registro histórico que satisfaga a los legisladores. El único medio seguro de garantizar un control de usuarios privilegiados sin fisuras es a través de la gestión automatizada de sus cuentas, la asignación de accesos a los usuarios privilegiados y la monitorización total de sus actividades“.
El estudio “Privileged User Management―It’s Time to Take Control” ha sido realizado por la firma de investigación y análisis Quocirca, especializada en el impacto de las tecnologías de la información y la comunicación en el negocio. Durante junio de 2009, se llevaron a cabo un total de 270 entrevistas a directores de TI, responsables de seguridad TI y otros administradores de TI de empresas de los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.
Los usuarios privilegiados suelen ser los administradores de la red o de TI responsables del mantenimiento y disponibilidad de los sistemas, o también los administradores de sistemas operativos, aplicaciones de negocios, seguridad y bases de datos. Por lo general, a los usuarios privilegiados se les conceden unos derechos de acceso dentro de la infraestructura TI de las empresas que son significativamente mayores que los derechos de la mayoría de usuarios de TI.
El estudio destaca que el 41% de los encuestados europeos (40% en España) que señalan haber implementado el estándar ISO27001* aún mantienen algunas prácticas no conformes con la normativa como el compartir cuentas de usuarios privilegiados; esto se suma a otra mala práctica como es el uso de los nombres de usuario y contraseñas por defecto para las cuentas privilegiadas. Si se consideran sólo aquellos que han implementado el estándar ISO27001 y tienen la certificación de un auditor externo, esta cifra continúa manteniéndose alta, con un 36%.
En los últimos años, se han dado muchos casos que ponen de relieve los peligros de subestimar y pasar por alto los riegos que pueden derivar de la falta de control sobre la actividad de los usuarios privilegiados. Cuando los administradores o usuarios privilegiados acumulan un exceso de privilegios o cuando comparten sus credenciales de acceso con otras personas, pueden causar grandes perjuicios, sea accidental o deliberadamente. Además, hay muchos ejemplos de hackers cuyo objetivo son las cuentas privilegiadas para obtener acceso a las aplicaciones y datos más importantes del negocio. Algunos de estos casos incluyen desde el robo de datos que pueden venderse, como información sobre tarjetas de crédito, hasta fraudes más sofisticados o robo de propiedad intelectual.
A pesar de estos riesgos, la investigación revela que el control y la monitorización de la actividad de los usuarios privilegiados no ocupan un lugar destacado en la agenda de los responsables de TI. Los encuestados valoraron la gestión de usuarios privilegiados en octavo lugar entre las amenazas de seguridad con una puntuación de 2,5 sobre 5, por debajo de las amenazas del malware (2,9), Internet (2,7), usuarios internos (2,7) y herramientas web (2,6). Además, existe un exceso de confianza en la capacidad de gestionar los usuarios privilegiados. Los encuestados también están relativamente seguros de poder pasar una auditoria de cumplimiento y se preocupan más de temas como pérdidas de datos o de la violación de la propiedad intelectual.
Según el estudio”Privileged User Management―It’s Time to Take Control”, el 24% de las organizaciones europeas tienen dispuesta alguna forma de control manual para supervisar las acciones y controlar el acceso de los usuarios privilegiados. Sin embargo, confiar en los procesos manuales para el control y monitorización de los usuarios privilegiados consume mucho tiempo, es excesivamente costoso, no es fiable y es propenso a errores.
A pesar de la disponibilidad de sistemas más sofisticados y de su necesidad, sólo el 26% de las empresas europeas encuestadas ha implantado un sistema completo de gestión de usuarios privilegiados. Sin embargo, el alto número de organizaciones (48%) que dicen tener planes (aunque a menudo retrasados) sugiere que no se trata de una prioridad aunque figure en la agenda. La disponibilidad de presupuesto, puntuada con 3,3 sobre 5 en la escala de factores restrictivos, puede explicar esta distorsión, aunque el 85% de los encuestados europeos manifiesta que la parte de presupuesto TI asignado a seguridad es estable o se incrementará. Al fin y al cabo, es probable que la razón principal para los retrasos en la inversión sea una infravaloración de los riesgos asociados a los usuarios privilegiados.
Resultados por sectores de la industria
Al examinar los distintos sectores de la industria que abarcó la encuesta también se encuentra una gran variación. El 43% de las organizaciones de los sectores de Telecomunicaciones y Administraciones Públicas admiten que diferentes personas comparten las cuentas del administrador del sistema operativo. Este porcentaje disminuye al 29% en el sector Industria. Curiosamente, las empresas de Telecomunicaciones y Medios son las que más seguras están de ser capaces de monitorizar las cuentas de usuarios privilegiados (con una puntuación de 3,7 en un índice de confianza de 5), mientras que las de Administraciones Públicas son las menos confiadas (3,5). Las empresas de Telecomunicaciones y Medios están por delante en la implantación de soluciones de gestión de usuarios privilegiados, el 37% ya tienen un sistema en funcionamiento, comparado con el 18% de las empresas del sector Industria. Finalmente, el 34% de las empresas del sector Telecomunicaciones y Medios ya tiene herramientas para monitorizar y controlar las actividades de los usuarios privilegiados, seguidas del sector Administraciones Públicas (25%), Finanzas (22%) e Industria (13%).
“Este estudio proporciona pruebas concluyentes de que las organizaciones están pasando por alto un aspecto fundamental de la seguridad informática: el acceso privilegiado que los administradores se conceden a sí mismos o a sus compañeros para hacer su trabajo“, dice Tim Dunn, vicepresidente de la unidad de negocio de Seguridad de EMEA, CA. “Si bien el acceso es necesario, a menudo se gestiona de forma puntual y con frecuencia los requisitos de cumplimiento de normativas relacionados con los usuarios privilegiados se pasan por alto. En el propio interés de los administradores de TI, el departamento de TI y el negocio en general, es preciso disponer de medidas de control y supervisión de los usuarios privilegiados. El despliegue de herramientas de gestión de usuarios privilegiados lo hace posible y permite a las organizaciones madurar esta gestión con el tiempo. La gestión de los usuarios privilegiados es clave para el cumplimiento, para reducir la exposición a riesgos y para proteger las aplicaciones críticas de negocio“.
Bob Tarzey, Analista y Director de Quocirca Ltd. comenta, “esta investigación demuestra claramente que si bien es interesante tanto para los responsables de TI como para la propia empresa adoptar medidas para controlar y supervisar a los usuarios privilegiados, esto no es una prioridad. Los procesos manuales son ineficaces y no ofrecen un registro histórico que satisfaga a los legisladores. El único medio seguro de garantizar un control de usuarios privilegiados sin fisuras es a través de la gestión automatizada de sus cuentas, la asignación de accesos a los usuarios privilegiados y la monitorización total de sus actividades“.
El estudio “Privileged User Management―It’s Time to Take Control” ha sido realizado por la firma de investigación y análisis Quocirca, especializada en el impacto de las tecnologías de la información y la comunicación en el negocio. Durante junio de 2009, se llevaron a cabo un total de 270 entrevistas a directores de TI, responsables de seguridad TI y otros administradores de TI de empresas de los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.
Descarga del Informe (Octubre 2009)
La serie de estándares ISO27000 para la gestión de TI dice que “la asignación y uso de privilegios debe ser restringida y controlada”.
La serie de estándares ISO27000 para la gestión de TI dice que “la asignación y uso de privilegios debe ser restringida y controlada”.
Visto en is-portal.com
Caption: Do you share administrator accounts between different individual users in the following areas?
Link relacionados:
No hay comentarios:
Publicar un comentario