Una mayor concienciación acerca de los posibles riesgos para la seguridad es un paso fundamental para frustrar ataques malintencionados.  Sin embargo, con demasiada frecuencia, las organizaciones públicas y privadas se ven obligadas a reconocer que los riesgos potenciales de seguridad son aún mayores cuando un atacante logra obtener privilegios de administrador, independientemente de si es un atacante externo o una amenaza interna. Quest Software (ahora parte de Dell) tiene un profundo conocimiento de los problemas a los que se enfrentan las organizaciones que carecen del control y las auditorías adecuadas sobre los accesos de administración y las cuentas de superusuario.

Tal y como se recoge en un estudio realizado este año en la The Experts Conference, conferencia anual que reúne a profesionales de la informática de todo el mundo bajo el patrocinio conjunto de Quest y Microsoft, la mitad de las organizaciones encuestadas manifestaron que su principal problema normativo es garantizar la correcta asignación de los privilegios de acceso de los usuarios, incluyendo los accesos con privilegios). En el caso de la gestión de cuentas con privilegios, la situación es aún más problemática cuando los administradores reciben "las llaves del reino", al obtener privilegios de acceso anónimo compartido a sistemas informáticos cruciales. En el sector privado, los errores y carencias a la hora de gestionar los accesos a la información y la adecuación a las normativas mediante mandatos de seguridad pueden conllevar pérdidas de ingresos, auditorías adversas y un deterioro generalizado de la marca. En las instituciones gubernamentales, por su parte, la gestión de los derechos de acceso plantea situaciones de alto riesgo, ya que anticiparse a las posibles amenazas emergentes es una cuestión de seguridad nacional. Tanto es así, que la gestión de las cuentas con privilegios queda recogida en varias certificaciones de seguridad, incluyendo las ISO 27001 y NIST 800-53. Un nuevo informe elaborado por Enterprise Management Associates para Quest, destaca los controles de accesos de administración incorrectos como "una de las lagunas de seguridad informática más indignantes en muchas organizaciones."

El informe, titulado "Por qué debería replantearse la gestión de privilegios de acceso (y cosas que desconoce que debería conocer)," examina algunas de las excusas más frecuentes que ofrecen las compañías a la hora de justificar sus descuidos. Además el informe ofrece perspectivas de gran utilidad sobre cómo las prácticas modernas de administración de cuentas con privilegios (o PAM, por sus siglas en inglés), y las correspondientes soluciones tecnológicas pueden cubrir esas carencias de seguridad mediante un control flexible de las políticas, la automatización de los flujos de trabajo y el registro y seguimiento de todas las actividades, con el fin de aumentar la seguridad, cumplir las normativas y aumentar la eficiencia.

 

Con el fin de ayudar a los directores ejecutivos a evitar estos riesgos de seguridad, tristemente tan frecuentes, Quest ofrece tres prácticos consejos:

1.      Asignar responsabilidades individuales a la actividad de los superusuarios

Los derechos de administración compartidos y mal gestionados no son una mera mala ocurrencia; suponen la forma más rápida y sencilla de exponer a toda una organización a riesgos innecesarios, ya que estas cuentas de superusuario suelen tener amplios privilegios sobre sistemas operativos, aplicaciones, bases de datos, etc. De compartirse las cuentas, cualquier posible fallo de seguridad o normativa podrá rastrearse a nivel de cuenta, pero no será posible determinar qué administrador la ha estado empleando. 

Por ello, con el fin de contener posibles riesgos, convendrá adoptar un planteamiento por el que solo ofreceremos a los administradores privilegios de acceso sobre aquello que necesiten, cuando lo necesiten. Ni más, ni menos. Así, solo se emitirían las credenciales que fueran necesarias, en el momento en que fueran necesarias, acompañándolas de un registro auditado de quién las utiliza, quién ha aprobado su uso, para qué se han utilizado y cómo y por qué se han entregado. Una vez se hayan utilizado para el fin para el que estaban previstas, deberá cambiarse la contraseña de inmediato. La capacidad para automatizar y asegurar todo este proceso supone un medio eficaz para gestionar los derechos de administración de toda una organización.  Del mismo modo, las prácticas PAM son fundamentales a la hora de garantizar la correcta colaboración entre agencias locales, estatales y federales, y pueden suponer la diferencia entre una correcta colaboración e intercambio de información entre todas las esferas del gobierno, o suponer un colapso total de dicha colaboración.

2.      Implementar y seguir una estrategia de "privilegios mínimos" en los accesos de administración

Muchas cuentas de administración, incluyendo las de las cuentas root de Unix, las cuentas de administrador de Windows o de Active Directory, DBA, etc., ofrecen permisos ilimitados en su ámbito de gestión. De compartirse estas cuentas, se pueden estar fomentando posibles actividades malintencionadas. Así, por ejemplo, el tan divulgado fallo de seguridad que se produjo en Fannie Mae se dio cuando un empleado empleó un acceso de superusuario de este tipo para colocar una bomba lógica malintencionada que, de no haber sido descubierta, podría haber trastocado las operaciones de toda la organización y haber puesto en peligro los datos personales y financieros de aproximadamente 1.100 personas.

Un planteamiento mucho más prudente pasa por establecer una política que defina claramente qué puede hacer cada administrador (o cada puesto de administración) con sus accesos y qué no. Dado que este proceso puede resultar complicado y de difícil implementación en los diversos sistemas de una organización, Quest recomienda la incorporación de herramientas de microdelegación, optimizadas para las plataformas designadas, e integradas a otras tecnologías PAM como la salvaguarda de privilegios, la autenticación multifactor y los puentes para Active Directory.

 

3.      Reducir la complejidad de la administración de cuentas con privilegios

Uno de los retos más habituales a los que se enfrentan las prácticas PAM es la diversidad de sistemas informáticos, cada uno de los cuales presenta sus propias características y requisitos en materia de administración de cuentas con privilegios. Esto suele resultar en la utilización de herramientas especializadas y políticas y prácticas específicas, diseñadas para controlar el acceso a las cuentas con privilegios. Desgraciadamente, este planteamiento suele complicar los procesos de auditoría, por lo quepuede resultar complicado demostrar que todos los accesos estén controlados y que los principios de separación de tareas se han establecido y se hacen cumplir.

Por ello, consolidar diferentes sistemas en una estructura de identidades común crea un entorno en el que resulta posible implantar una estrategia de prácticas PAM unificada, garantizando la cohesión en las prácticas en una mayor parte de la organización, eliminando con ello posibles errores producidos por la complejidad derivada del uso de múltiples sistemas, al tiempo que se reducen los riesgos y los gastos que conlleva la administración de dichos sistemas. Además, toda consolidación de las capacidades de PAM bajo una interfaz unificada de gestión y registro redunda en una mayor eficiencia.

El informe realizado por EMA al que hacíamos referencia, apunta a que las organizaciones centradas en alcanzar un elevado nivel de disciplina en la administración de configuraciones y cambios tienden a presentar mejores resultados, no solo por una menor incidencia de sucesos de seguridad que alteren sus operaciones, sino por una mayor fiabilidad informática, menos tareas no planificadas para los departamentos informáticos, cambios informáticos más exitosos, mejores proporciones de administradores de servidores frente a sistemas, y más proyectos informáticos completados cumpliendo plazos y presupuestos. 

Las soluciones de identidad Quest® One permiten centralizar y simplificar la gestión de las cuentas con privilegios

Quest Software ofrece un planteamiento modular, aunque integrado, a la hora de abordar la gestión de accesos e identidades, y más concretamente, las prácticas PAM. Dicho planteamiento pasa por controlar las amenazas internas y mejorar las eficiencias de los departamentos informáticos, al permitir a las organizaciones eliminar los peligros que suponen los accesos de superusuario fuera de control, las auditorías adversas, las penalizaciones directas y la notoriedad negativa en la prensa.

Citas:

Jackson Shaw, director jefe de gestión de productos de Quest Software

"A lo largo de los próximos años, la gestión de las cuentas con privilegios (PAM o Privileged Account Management) va a ser uno de los ámbitos de más rápido crecimiento en el campo de las IAM (Tecnologías de gestión de identidades y accesos). La mayoría de los fallos de seguridad más notorios de los últimos años, incluyendo el ataque contra UBS Paine Webber y la vulnerabilidad del Consistorio de San Francisco, se han producido fruto de una falta de control sobre las cuentas con privilegios. Más aún, este tipo de fallos de seguridad no discriminan, ya que pueden resultar igualmente dañinos para cualquier tipo de organización, independientemente de su tamaño. Ha llegado el momento de que las compañías tomen nota de los grandes riesgos de seguridad que suponen las prácticas PAM deficientes, y de que busquen una solución integral y definitiva, a la altura de la importancia de las mismas. Quest One ofrece todo un conjunto de herramientas PAM y ofrece mecanismos integrales de control, mediante una arquitectura flexible y modular."

Recursos de apoyo:

 

Sobre Quest Software (ahora parte de Dell)

Dell Inc. (NASDAQ: DELL) escucha a sus clientes y les ofrece tecnología y servicios innovadores que les permite hacer más. Quest, ahora forma parte de Dell Software y proporciona soluciones de gestión simples e innovadoras que permiten a más de 100,000 clientes a nivel mundial para ahorrar tiempo y dinero en sus entornos físicos y virtuales. Las soluciones de Quest resuelven complejos desafíos de TI, que van desde la gestión de base de datos, protección de datos, gestión de identidad y acceso, monitorización, gestión de usuario hasta la gestión de Windows. Más información en http://www.questsoftware.es/ o http://www.dell.es/

Dell is a trademark of Dell Inc. Dell disclaims any proprietary interest in the marks and names of others.

Quest, Quest Software, and the Quest logo are trademarks or registered trademarks of Quest Software in the United States and certain other countries.  All other names mentioned herein may be trademarks of their respective owners.