Una mayor concienciación acerca de los posibles riesgos para la
seguridad es un paso fundamental para frustrar ataques malintencionados.
Sin embargo, con demasiada frecuencia, las organizaciones públicas y
privadas se ven obligadas a reconocer que los riesgos potenciales de
seguridad son aún mayores cuando un atacante logra obtener privilegios
de administrador, independientemente de si es un atacante externo o una
amenaza interna. Quest Software (ahora parte de Dell)
tiene un profundo conocimiento de los problemas a los que se enfrentan
las organizaciones que carecen del control y las auditorías adecuadas
sobre los accesos de administración y las cuentas de superusuario.
Tal y como se recoge en un estudio realizado este año en la The Experts Conference, conferencia anual que reúne a profesionales de la informática de todo el mundo bajo el patrocinio conjunto de Quest y Microsoft, la mitad de las organizaciones encuestadas manifestaron que su principal problema normativo es garantizar la correcta asignación de los privilegios de acceso de los usuarios,
incluyendo los accesos con privilegios. En el caso de la gestión de
cuentas con privilegios, la situación es aún más problemática cuando los
administradores reciben “las llaves del reino”, al obtener privilegios
de acceso anónimo compartido a sistemas informáticos cruciales. En el
sector privado, los errores y carencias a la hora de gestionar los
accesos a la información y la adecuación a las normativas mediante
mandatos de seguridad pueden conllevar pérdidas de ingresos, auditorías
adversas y un deterioro generalizado de la marca. En las instituciones
gubernamentales, por su parte, la gestión de los derechos de
acceso plantea situaciones de alto riesgo, ya que anticiparse a las
posibles amenazas emergentes es una cuestión de seguridad nacional.
Tanto es así, que la gestión de las cuentas con privilegios queda
recogida en varias certificaciones de seguridad, incluyendo las ISO 27001 y NIST 800-53. Un nuevo informe elaborado por Enterprise Management Associates para Quest, destaca los controles de accesos de administración incorrectos como “una de las lagunas de seguridad informática más indignantes en muchas organizaciones.”
El informe, titulado “Por qué debería replantearse la gestión de privilegios de acceso (y cosas que desconoce que debería conocer),”
examina algunas de las excusas más frecuentes que ofrecen las compañías
a la hora de justificar sus descuidos. Además el informe ofrece
perspectivas de gran utilidad sobre cómo las prácticas modernas de
administración de cuentas con privilegios (o PAM, por sus siglas en
inglés), y las correspondientes soluciones tecnológicas pueden cubrir
esas carencias de seguridad mediante un control flexible de las
políticas, la automatización de los flujos de trabajo y el registro
y seguimiento de todas las actividades, con el fin de aumentar la
seguridad, cumplir las normativas y aumentar la eficiencia.
Con el fin de ayudar a los directores ejecutivos a evitar estos
riesgos de seguridad, tristemente tan frecuentes, Quest ofrece tres
prácticos consejos:
1. Asignar responsabilidades individuales a la actividad de los superusuarios
Los derechos de administración compartidos y mal gestionados no son
una mera mala ocurrencia; suponen la forma más rápida y sencilla de
exponer a toda una organización a riesgos innecesarios, ya que estas
cuentas de superusuario suelen tener amplios privilegios sobre sistemas
operativos, aplicaciones, bases de datos, etc. De compartirse las
cuentas, cualquier posible fallo de seguridad o normativa podrá
rastrearse a nivel de cuenta, pero no será posible determinar qué
administrador la ha estado empleando.
Por ello, con el fin de contener posibles riesgos, convendrá adoptar
un planteamiento por el que solo ofreceremos a los administradores
privilegios de acceso sobre aquello que necesiten, cuando lo necesiten.
Ni más, ni menos. Así, solo se emitirían las credenciales que fueran
necesarias, en el momento en que fueran necesarias, acompañándolas de un
registro auditado de quién las utiliza, quién ha aprobado su uso, para
qué se han utilizado y cómo y por qué se han entregado. Una vez se hayan
utilizado para el fin para el que estaban previstas, deberá cambiarse
la contraseña de inmediato. La capacidad para automatizar y asegurar
todo este proceso supone un medio eficaz para gestionar los derechos de
administración de toda una organización. Del mismo modo, las prácticas
PAM son fundamentales a la hora de garantizar la correcta colaboración
entre agencias locales, estatales y
federales, y pueden suponer la diferencia entre una correcta colaboración e intercambio de información entre todas las esferas del gobierno, o suponer un colapso total de dicha colaboración.
federales, y pueden suponer la diferencia entre una correcta colaboración e intercambio de información entre todas las esferas del gobierno, o suponer un colapso total de dicha colaboración.
2. Implementar y seguir una estrategia de “privilegios mínimos” en los accesos de administración
Muchas cuentas de administración, incluyendo las de las cuentas root
de Unix, las cuentas de administrador de Windows o de Active Directory,
DBA, etc., ofrecen permisos ilimitados en su ámbito de gestión. De
compartirse estas cuentas, se pueden estar fomentando posibles
actividades malintencionadas. Así, por ejemplo, el tan divulgado fallo
de seguridad que se produjo en Fannie Mae se dio cuando un empleado
empleó un acceso de superusuario de este tipo para colocar una bomba
lógica malintencionada que, de no haber sido descubierta, podría haber
trastocado las operaciones de toda la organización y haber puesto en
peligro los datos personales y financieros de aproximadamente
1.100 personas.
Un planteamiento mucho más prudente pasa por establecer una política
que defina claramente qué puede hacer cada administrador (o cada puesto
de administración) con sus accesos y qué no. Dado que este proceso puede
resultar complicado y de difícil implementación en los diversos
sistemas de una organización, Quest recomienda la incorporación de
herramientas de microdelegación, optimizadas para las plataformas
designadas, e integradas a otras tecnologías PAM como la salvaguarda de
privilegios, la autenticación multifactor y los puentes para Active
Directory.
3. Reducir la complejidad de la administración de cuentas con privilegios
Uno de los retos más habituales a los que se enfrentan las prácticas
PAM es la diversidad de sistemas informáticos, cada uno de los cuales
presenta sus propias características y requisitos en materia de
administración de cuentas con privilegios. Esto suele resultar en la
utilización de herramientas especializadas y políticas y prácticas
específicas, diseñadas para controlar el acceso a las cuentas
con privilegios. Desgraciadamente, este planteamiento suele complicar
los procesos de auditoría, por lo que puede resultar complicado
demostrar que todos los accesos estén controlados y que los principios
de separación de tareas se han establecido y se hacen cumplir.
Por ello, consolidar diferentes sistemas en una estructura de
identidades común crea un entorno en el que resulta posible implantar
una estrategia de prácticas PAM unificada, garantizando la cohesión en
las prácticas en una mayor parte de la organización, eliminando con ello
posibles errores producidos por la complejidad derivada del uso de
múltiples sistemas, al tiempo que se reducen los riesgos y los
gastos que conlleva la administración de dichos sistemas. Además, toda
consolidación de las capacidades de PAM bajo una interfaz unificada de
gestión y registro redunda en una mayor eficiencia.
El informe realizado por EMA al que hacíamos referencia, apunta a que
las organizaciones centradas en alcanzar un elevado nivel de disciplina
en la administración de configuraciones y cambios tienden a presentar
mejores resultados, no solo por una menor incidencia de sucesos de
seguridad que alteren sus operaciones, sino por una mayor fiabilidad
informática, menos tareas no planificadas para los departamentos
informáticos, cambios informáticos más exitosos, mejores proporciones
de administradores de servidores frente a sistemas, y más proyectos
informáticos completados cumpliendo plazos y presupuestos.
Fuente: www.muycomputerpro.com
No hay comentarios:
Publicar un comentario