Cuando hablamos de seguridad de la información, una de las primeras cosas en las que pensamos es en los accesos a los sistemas, en especial a nuestros directorios y aplicaciones críticas de negocio, es claro que en general las compañías no tienen el nivel de madurez que se requiere para evitar riesgos relacionados con el uso inadecuado de cuentas de acceso. ¿Pero realmente que significa esto de gestión de accesos? Podríamos preguntarles a muchos responsables de este tema y seguramente saldrán de inmediato algunos conceptos.

Efectivamente las compañías dedican tiempo y esfuerzos a trabajar en muchos de estos conceptos, sin embargo, seguimos teniendo compromisos por la forma en la que se implementan, se utilizan o se integran con el resto de los componentes que hacen parte de este mundo llamado gestión de accesos, veamos algunos puntos importantes, que vale la pena tener en cuenta.

Visibilidad y conocimiento

¿Conocemos cuáles son las credenciales de acceso que se encuentran creadas en los sistemas de información?

Es común encontrar cuentas que nunca han pasado por un proceso de certificación, que no tienen un responsable identificado, incluso que no se tiene claridad donde pueden ser utilizadas y si algún servicio depende o no de ellas, este es uno de los principales retos que tenemos como responsables de seguridad de la información, tener un proceso claro, respaldado por algún control tecnológico que nos permita saber quién es responsable por cada acceso, cuál es el tiempo de vigencia y el nivel de privilegios asignado, se convierten en factores fundamentales en el proceso de aseguramiento de nuestros activos de información.

Roles y Perfiles

¿Sabemos cuál es el rol de nuestro personal? ¿Tenemos claridad de los niveles de acceso que requieren estos roles?

Otro factor esencial en la gestión de accesos es tener claridad de cuáles son los roles que existen dentro de nuestras compañías, tener este inventario y conocer el nivel de acceso que requiere cada rol para poder ejecutar las actividades asignadas a cada uno, nos permite cumplir con la política de menor privilegio, tan citada dentro de las políticas de accesos y seguridad de la información. El no tener totalmente clara esta información, nos llevará a tener acumuladores de privilegios, mayor número de casos de soporte, riesgos asociados con el nivel de acceso que tienen los empleados y afectará la implementación de procedimientos y herramientas para gestionar accesos dentro de nuestra compañía.

Cuentas Privilegiadas

¿Tenemos identificadas las cuentas con altos privilegios? ¿Cómo las gestionamos?

Es claro que cualquier atacante que logre acceder a la red de su objetivo, buscara obtener acceso a una cuenta privilegiada que le permita acceder a los sistemas críticos de la compañía, con el fin de exfiltrar información, generar alguna indisponibilidad, alterar datos, en fin, ejecutar cualquier actividad que le permita obtener algún beneficio o afectar de alguna forma a su víctima. Por eso es fundamental tener un procedimiento claro para gestionar el ciclo de vida de estas cuentas, en la mayoría de los casos se hace necesario respaldar estos procesos con herramientas para gestionar usuarios privilegiados, es claro que el éxito de estas implementaciones depende en gran medida de la visibilidad que tengamos y la madurez de los procesos establecidos.

Terceros

Muchas compañías no tienen claro cómo está distribuido su personal, quienes son usuarios directos, cuales son terceros y dentro de los terceros, las compañías responsables de cada cuenta, esto hace difícil los procesos de certificación; que tan común es escuchar frases como ¿Y si elimino esa cuenta cual podría ser el impacto? Ese tipo de interrogantes nos muestra que tenemos cuentas que podrían incluso pertenecer a personas de proveedores, partners o clientes que podrían no tener en la actualidad relación con la compañía.

También se dan casos en los que tenemos accesos externos a través de VPN o servicios presentados a otras redes, sobre los cuales no tenemos ninguna certeza del propietario y el uso que se les está dando.

Se hace necesario un proceso claro de gestión de terceros, el hecho de tener responsables sobre estos actores, como un gestor de contrato y unos procesos que permitan certificar la validez de estas cuentas, es indispensable en la gestión de accesos a los sistemas de información.

Fuente Autoritativa y Herramienta

Llegamos a uno de los puntos más importantes, el hecho de tener una herramienta que me permita gestionar las identidades dentro de la compañía es un factor decisivo, sin embargo, si esta herramienta no se soporta en unos procesos claros, unos roles establecidos, perfiles configurados para cada rol, responsables y una fuente autoritativa que me permita identificar de manera oportuna las ABC (Altas, bajas y cambios) difícilmente esta herramienta va a generar valor.

En las condiciones esperadas estas herramientas realmente son un control que ataca directamente muchos de los riesgos asociados con la gestión de accesos, entre otros tenemos los siguientes beneficios:

  • Gracias a la opción de autoaprovisionamiento automatiza las tareas de gestión, esto mejora la oportunidad y reduce sustancialmente el riesgo por errores humanos.
  • Al integrarse con la fuente autoritativa (herramienta de RRHH) permite que los flujos que se configuren respondan en línea ante creaciones, bajas y cambios de rol por citar los ejemplos más significativos.
  • En su mayoría funcionan sobre modelo RBAC, lo que reduce el riesgo que una persona tenga más o menos privilegios de los que requiere. Como lo mencioné anteriormente esto depende de que tan certera sea la definición que se tenga sobre estos roles y perfiles.

En conclusión, el éxito en la gestión de accesos no se obtiene únicamente a través de un procedimiento, herramienta o lineamiento, es un conjunto de componentes que trabajan de forma coordinada para lograr llevar los riesgos identificados que se relacionan con accesos a un nivel aceptable, podemos decir que todo comienza con una definición clara de un gobiernos de accesos, el cual debe tener un responsable que debe velar por mantenerlo vigente en el tiempo; lo anterior nos lleva a concluir que la estructura organizacional juega un factor fundamental en este aspecto, esto más la cultura de seguridad que se logre incorporar permitirá que los procesos y procedimientos definidos se cumplan.

Tenemos después un factor clave, esto es las herramientas que soportan estos procesos, o podríamos decir los controles tecnológicos implementados, de acuerdo con las definiciones hechas dentro del gobierno, el conocimiento de los flujos de trabajo, requisitos técnicos y funcionales y la forma como todo esto se alinea con los objetivos estratégicos del negocio nos permitirá aumentar la probabilidad de éxito en este tipo de proyectos. Por último, el mantenimiento de todo este modelo, la mejora continua, la implementación de cambios nos permitirá mantener la vigencia del proceso.

Accesos