Skip to main content

Gestionar credenciales de administrador

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Definir sistemas de gestión de acceso privilegiado.
  • Explicar el principio de menor privilegio.

Gestión de acceso privilegiado

Si bien los gestores de contraseñas son excelentes para generar y proteger las contraseñas personales, se necesita un sistema más seguro para proteger las credenciales de los usuarios privilegiados (o usuarios administradores). Las credenciales privilegiadas son un subconjunto de credenciales (como las contraseñas) que proporcionan acceso general y permisos para cuentas, aplicaciones y sistemas diversos. Las cuentas privilegiadas pueden corresponder a personas, aplicaciones, cuentas de servicio y otras opciones. 

Las soluciones de gestión de acceso privilegiado (PAM) permiten almacenar secretos, como contraseñas y claves criptográficas (palabra, número o frase que se combina con un algoritmo para cifrar o codificar texto plano). Las soluciones PAM usan una herramienta central para gestionar, delegar y auditar el acceso privilegiado. Estas soluciones ayudan a las organizaciones a implementar el principio de menor privilegio, según el cual los usuarios reciben únicamente el nivel de acceso que necesitan para cumplir sus tareas. 

Políticas de contraseñas de cuentas privilegiadas

Para proteger sus sistemas, su organización debe desarrollar e implementar una política clara para las contraseñas de cuentas privilegiadas y compartirla con todos los actores relevantes que usan y gestionan esas cuentas.

Es recomendable que las organizaciones desarrollen políticas de contraseñas de cuentas privilegiadas para las cuentas a las que acceden personas y para las cuentas a las que acceden otros sistemas. Estas políticas deben incluir el uso obligatorio de frases de contraseña largas y autenticación de múltiples factores (MFA) para las cuentas de personas. 

Los estándares de rotación de contraseñas garantizan la rotación sistemática de contraseñas para cada cuenta, sistema, dispositivo de hardware en red, aplicación y servicio. Los estándares de rotación deben incluir la notificación automática a los involucrados para informarles cuándo deben actualizar su contraseña. 

Implementar el menor privilegio

Defender los perímetros no es suficiente para mantener la seguridad y proteger los datos. Ya hemos visto varias filtraciones de datos, tanto en sistemas gubernamentales como del sector público, que se deben a la posibilidad de filtración de las credenciales de red. En estos casos, los atacantes buscan obtener acceso a cuentas privilegiadas para acceder a datos confidenciales y registros privados. 

Al configurar credenciales de administración, es buena idea implementar el principio de menor privilegio (POLP). En las capacitaciones de seguridad, solemos hablar de este principio porque es uno de los métodos fundamentales para proteger nuestros sistemas. Como revisión, el principio de menor privilegio es un principio de diseño de seguridad de TI que restringe los derechos de acceso y los privilegios de programas únicamente a los que se necesitan para cada tarea. Es la diferencia entre tener una llave que abre todas las puertas o una que abre únicamente algunas habitaciones.

Un aspecto de implementar el principio de menor privilegio es que se elimina el acceso total del administrador local a los extremos del sistema. Por ejemplo, una cuenta de usuario que necesita permiso únicamente para crear copias de seguridad no necesita la capacidad de instalar software; entonces, esa cuenta tiene derechos únicamente para ejecutar copias de seguridad y aplicaciones relacionadas. Cualquier otro privilegio, como el de instalar nuevo software, debe bloquearse. 

Para facilitar la gestión de privilegios, es recomendable automatizar la cesión del menor privilegio en función de quién es el usuario, a qué solicita acceso y el contexto de la solicitud. Los usuarios deben tener acceso únicamente a los sistemas que necesitan para cumplir su tarea, y no deberían tener acceso general a la información. 

Esto significa que Sally, de Recursos Humanos (RR. HH.), no debería tener acceso a la base de datos de Bilal, de Finanzas, quien participa en negociaciones globales. Una buena gestión de acceso privilegiado significa que Sally tendrá acceso a todos los registros de RR. HH. que necesita para su trabajo, mientras que Bilal tendrá acceso a todos los registros financieros que necesita para su tarea, pero no tendrán acceso a los archivos de la otra persona.  

Se muestran dos usuarios con diferentes niveles de acceso a distintos sistemas.

Elegir una solución de gestión de acceso privilegiado (PAM)

Hay varias soluciones de PAM que ofrecen diversas funciones y opciones de implementación. Puede probar y evaluar varias antes de elegir cuál implementar. Un factor importante de la implementación de PAM es contar con casos de uso y perfiles de usuario bien definidos. Use una PAM para asignar niveles de acceso para la gestión de cuentas de servicio, las funciones de detección o la gestión de activos y vulnerabilidades, análisis, entre otras tareas.

Si su organización no tiene los recursos para contar con personal de seguridad capacitado para instalar, configurar y administrar estas soluciones, puede recurrir a un proveedor de servicios de administración (MSP) que cumpla estas funciones. 

Aplicar detección continua de cuentas privilegiadas

Uno de los pasos más importantes para otorgar acceso privilegiado es identificar todos los usos válidos de acceso privilegiado a servidores, servicios en la nube, bases de datos y otros sistemas. De esta forma, se verifica que las cuentas privilegiadas sean válidas, y también se identifican las cuentas que no lo son. Por ejemplo, es importante controlar no solo que se otorguen privilegios, sino también que se eliminen cuando una persona cambia de departamento o deja la compañía. 

Las cuentas privilegiadas deben supervisarse en todo momento con mecanismos automatizados para identificar actividad maliciosa o accidental. El análisis de esta actividad permite obtener información sobre las conductas de los usuarios, garantizar que los sistemas de acceso estén actualizados y comprobar que el principio de menor privilegio se aplique correctamente.

Comprobación de conocimientos

¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la descripción en la columna izquierda al término correspondiente a la derecha. Cuando finalice la comparación de todos los elementos, haga clic en Enviar para comprobar su trabajo. Para volver a empezar, haga clic en Restablecer.

¡Bien hecho!

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios