La compañía ofrece prácticas idóneas para la gestión de accesos con privilegios, de forma que se puedan salvaguardar los datos y sistemas corporativos y gubernamentales más críticos.
Una mayor concienciación acerca de los posibles riesgos para la
seguridad es un paso fundamental para frustrar ataques malintencionados.
Sin embargo, con demasiada frecuencia, las organizaciones públicas y
privadas se ven obligadas a reconocer que los riesgos potenciales de
seguridad son aún mayores cuando un atacante logra obtener privilegios
de administrador, independientemente de si es un atacante externo o una
amenaza interna. Quest Software (ahora parte de Dell) tiene un profundo
conocimiento de los problemas a los que se enfrentan las organizaciones
que carecen del control y las auditorías adecuadas sobre los accesos de
administración y las cuentas de superusuario.
Con el fin de ayudar a los directores ejecutivos a evitar estos riesgos
de seguridad, tristemente tan frecuentes, Quest ofrece dos prácticos
consejos:
1. Asignar responsabilidades individuales a la actividad de los
superusuarios
Los derechos de administración compartidos y mal
gestionados no son una mera mala ocurrencia; suponen la forma más rápida
y sencilla de exponer a toda una organización a riesgos innecesarios, ya
que estas cuentas de superusuario suelen tener amplios privilegios sobre
sistemas operativos, aplicaciones, bases de datos, etc. De compartirse
las cuentas, cualquier posible fallo de seguridad o normativa podrá
rastrearse a nivel de cuenta, pero no será posible determinar qué
administrador la ha estado empleando. Por ello, con el fin de contener
posibles riesgos, convendrá adoptar un planteamiento por el que solo
ofreceremos a los administradores privilegios de acceso sobre aquello
que necesiten, cuando lo necesiten. Ni más, ni menos. Así, solo se
emitirían las credenciales que fueran necesarias, en el momento en que
fueran necesarias, acompañándolas de un registro auditado de quién las
utiliza, quién ha aprobado su uso, para qué se han utilizado y cómo y
por qué se han entregado. Una vez se hayan utilizado para el fin para el
que estaban previstas, deberá cambiarse la contraseña de inmediato. La
capacidad para automatizar y asegurar todo este proceso supone un medio
eficaz para gestionar los derechos de administración de toda una
organización. Del mismo modo, las prácticas PAM son fundamentales a la
hora de garantizar la correcta colaboración entre agencias locales,
estatales y federales, y pueden suponer la diferencia entre una correcta
colaboración e intercambio de información entre todas las esferas del
gobierno, o suponer un colapso total de dicha colaboración.
2. Implementar y seguir una estrategia de “privilegios mínimos” en
los accesos de administración
Muchas cuentas de administración,
incluyendo las de las cuentas root de Unix, las cuentas de administrador
de Windows o de Active Directory, DBA, etc., ofrecen permisos ilimitados
en su ámbito de gestión. De compartirse estas cuentas, se pueden estar
fomentando posibles actividades malintencionadas. Un planteamiento mucho
más prudente pasa por establecer una política que defina claramente qué
puede hacer cada administrador (o cada puesto de administración) con sus
accesos y qué no. Dado que este proceso puede resultar complicado y de
difícil implementación en los diversos sistemas de una organización,
Quest recomienda la incorporación de herramientas de microdelegación,
optimizadas para las plataformas designadas, e integradas a otras
tecnologías PAM como la salvaguarda de privilegios, la autenticación
multifactor y los puentes para Active Directory
Fuente:Newsletter E.Security 18 / 12 / 2012
No hay comentarios:
Publicar un comentario