Skip to main content
Únase a nosotros en TDX, en San Francisco, o en Salesforce+ los días 5 y 6 de marzo en la conferencia para desarrolladores sobre la era de agentes de IA. Registrarse ahora.

Gestionar las credenciales de administrador

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Definir los sistemas de gestión de acceso privilegiado.
  • Explicar el principio del mínimo privilegio.

Gestión del acceso privilegiado

Si bien los gestores de contraseñas son fantásticos para generar y proteger las contraseñas personales, se necesita un sistema más seguro para proteger las credenciales de los usuarios privilegiados (también conocidos como usuarios administrativos). Las credenciales privilegiadas son un subconjunto de credenciales (como contraseñas) que proporcionan acceso y permisos de nivel elevado mediante cuentas, aplicaciones y sistemas. Las contraseñas privilegiadas pueden estar asociadas a personas, aplicaciones, cuentas de servicio, etc. 

Las soluciones de gestión de acceso privilegiado (PAM) proporcionan una forma de almacenar información secreta, como contraseñas y claves criptográficas (una palabra, número o frase que funciona en combinación con un algoritmo para cifrar [o codificar] texto sin formato). Las soluciones de PAM utilizan una herramienta central para gestionar, delegar y auditar el acceso privilegiado. PAM ayuda a las organizaciones a implementar el mínimo privilegio, que es el principio según el cual los usuarios solo reciben el nivel de acceso necesario para realizar su trabajo. 

Política de contraseñas de cuentas privilegiadas

Para proteger sus sistemas, su organización debe desarrollar y aplicar una política clara de contraseñas de cuentas privilegiadas y compartirla con todas las partes implicadas que utilicen y gestionen esas cuentas.

Es una buena idea que las organizaciones desarrollen políticas de contraseñas de cuentas privilegiadas tanto para las cuentas a las que acceden las personas como para las cuentas a las que acceden otros sistemas. Estas políticas deben incluir el uso obligatorio de frases de contraseña largas y la autenticación de múltiples factores (MFA) para las cuentas humanas. 

Las normas de rotación de contraseñas pueden garantizar la rotación sistemática de contraseñas para la totalidad de las cuentas, los sistemas, los dispositivos de hardware en red, las aplicaciones y los servicios. Sus normas de rotación deben incluir una notificación automática a las partes interesadas cuando llegue el momento de actualizar las contraseñas. 

Aplicar el mínimo privilegio

Defender sus perímetros no es suficiente para la seguridad y la protección de datos. Vemos constantemente filtraciones de datos tanto en sistemas de las administraciones públicas como del sector privado que se producen porque se filtran las credenciales de la red. En estos casos, los atacantes buscan acceder a cuentas privilegiadas para poder llegar a datos sensibles y registros privados. 

Al configurar las credenciales de administración, plantéese aplicar el principio del mínimo privilegio (POLP). En la formación sobre seguridad hablamos tanto del POLP porque es uno de los medios fundamentales para proteger nuestros sistemas. A modo de repaso, el principio del mínimo privilegio es un principio de diseño de seguridad informática que restringe los derechos de acceso y los privilegios de los programas a solo los necesarios para el trabajo requerido. Es la diferencia entre tener una llave que funciona en todas las puertas y otra que solo abre determinadas habitaciones.

Un aspecto de la implementación del mínimo privilegio es que se elimina el acceso total del administrador local a los extremos del sistema. Por ejemplo, una cuenta de usuario que solo necesita permiso para crear copias de seguridad no necesita la capacidad de instalar software, por lo que esa cuenta solo tiene derechos para ejecutar copias de seguridad y las aplicaciones relacionadas con estas. El resto de los privilegios, como la instalación de software nuevo, debe bloquearse. 

Para facilitar la gestión de privilegios, es buena idea automatizar la concesión de privilegios mínimos en función de quién es el usuario, a qué solicita acceso y el contexto de la solicitud. Los usuarios solo deben poder acceder a los sistemas que necesiten para realizar su trabajo y no se les debe conceder acceso general a la información. 

Esto significa que Sally, de Recursos Humanos (RR. HH.), por ejemplo, no debería poder acceder a la base de datos de Bilal, de Finanzas, que se ocupa de los acuerdos globales. Una buena gestión del acceso privilegiado significa que Sally tiene acceso a todos los registros de RR. HH. que necesita para hacer su trabajo, mientras que Bilal lo tiene a todos los registros financieros que necesita para desempeñar el suyo, pero ninguno de ellos tiene acceso a los archivos del otro.  

Se muestran dos usuarios con niveles de acceso diferentes a varios sistemas.

Elegir una solución de gestión de acceso privilegiado (PAM)

Existen numerosas soluciones de PAM que ofrecen diversas funciones y opciones de implementación. Puede probar y evaluar unas cuantas antes de decidir cuál implementar. Un factor importante de la implementación de PAM es asegurarse de tener bien definidos los casos de uso y los perfiles de usuario. Utilice una solución de PAM para asignar niveles de acceso a la gestión de cuentas de servicio, funciones de descubrimiento, gestión de activos y vulnerabilidades, análisis, etc.

Si su organización no dispone de los recursos necesarios para mantener personal de seguridad con formación para instalar, configurar y gestionar estas soluciones, plantéese recurrir a un proveedor de servicios gestionados (MSP) que pueda realizar estas funciones por usted. 

Detección continua de cuentas con privilegios

Uno de los pasos más importantes para asegurar el acceso privilegiado es identificar todos los usos válidos del acceso privilegiado a los servidores, los servicios en la nube, las bases de datos y otros sistemas. Esto garantiza que las cuentas con privilegios sean válidas, pero también localiza las cuentas que no lo son. Por ejemplo, es importante llevar un registro no solo de la concesión, sino también de la eliminación de privilegios cuando las personas cambian de trabajo entre departamentos o cuando se van de la empresa. 

Las cuentas con privilegios deben supervisarse en todo momento mediante mecanismos automatizados para identificar actividades maliciosas o accidentales. El análisis de esta actividad permite obtener información sobre el comportamiento de los usuarios, garantiza que sus sistemas de acceso estén actualizados y comprueba que se aplique correctamente el mínimo privilegio.

Comprobación de conocimientos

¿Todo listo para repasar lo que ha aprendido? La comprobación de conocimientos siguiente no se puntúa: es solo una forma sencilla de ponerse a prueba. Para empezar, arrastre la descripción de la columna de la izquierda hacia el término correspondiente de la derecha. Cuando termine de emparejar todos los elementos, haga clic en Submit (Enviar) para comprobar las respuestas. Para volver a empezar, haga clic en Reset (Restablecer).

¡Bien hecho!

Recursos

Comparta sus comentarios sobre Trailhead en la Ayuda de Salesforce.

Nos encantaría conocer su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios cuando quiera desde el sitio de la Ayuda de Salesforce.

Más información Continuar para compartir comentarios