Prevenir vulnerabilidades de acceso privilegiado
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Identificar las amenazas inherentes al acceso privilegiado.
- Explicar cómo prevenir el abuso del acceso privilegiado.
- Aplicar controles de acceso privilegiado.
Comprender las amenazas del acceso privilegiado
Ahora sabe que los usuarios privilegiados, por definición, tienen acceso a sistemas informáticos o aplicaciones a los que otros usuarios no tienen acceso. Dado que las organizaciones necesitan usuarios que puedan instalar o modificar sistemas y controles, deben ser capaces de otorgar acceso privilegiado a ciertos usuarios. Sin embargo, esto también significa que las organizaciones deben tener en cuenta que los usuarios privilegiados representan una amenaza para la seguridad.
Si bien un ciberdelincuente que obtiene las credenciales de un usuario privilegiado puede causar un daño inmenso a un sistema, el uso indebido interno del acceso privilegiado puede ser igualmente peligroso. En muchos casos, solo la curiosidad es la responsable. Según encuestas de la industria, un gran porcentaje de usuarios privilegiados se sienten con la capacidad de acceder a toda la información que tienen permitido ver, incluso cuando eso no es necesario para su función laboral. Por eso es tan importante implementar el principio del mÃnimo privilegio al configurar los controles de acceso. Las personas no pueden vulnerar sistemas a los que no tienen acceso desde el principio.
Restringir el tipo y la cantidad de cuentas con acceso privilegiado es una de las primeras lÃneas de defensa de una organización. Las encuestas a nivel nacional de empleados de TI muestran que el acceso privilegiado sigue siendo otorgado a empleados que no lo necesitan para llevar a cabo su trabajo. Esto sucede porque todos los empleados con esa descripción de trabajo tienen ese nivel de acceso o porque este nunca se revocó cuando cambiaron de puesto.
Prevenir el abuso del acceso privilegiado
Como persona con acceso privilegiado, ¿qué puede hacer para asegurarse de no dejar una puerta abierta que otros puedan usar para acceder a esa información?
Una buena higiene de contraseñas es la primera lÃnea de defensa contra brechas de seguridad.
- Nunca comparta contraseñas( ni entre usuarios ni entre cuentas).
- Cree contraseñas fuertes con la ayuda de generadores de contraseñas como 1Password, Keeper o Dashlane, que las almacenan de forma segura para que no tenga que preocuparse por recordarlas.
- Cambie siempre las contraseñas predeterminadas de todos los sistemas.
- Utilice varios métodos de autenticación, que proporcionan una red de seguridad en caso de que las credenciales de su cuenta principal se vean comprometidas.
Una buena práctica como usuario privilegiado es acostumbrarse a solicitar solo el acceso mÃnimo necesario para llevar a cabo su trabajo y solo durante el tiempo que lo necesite.
Aunque todos sabemos que la información obtenida a través de acceso privilegiado está protegida y no se debe entregar a ningún usuario no privilegiado, tenga cuidado con los intentos de ingenierÃa social. Si algún usuario, sea privilegiado o no, le pide sus credenciales para acceder a información protegida, eso está prohibido. Los usuarios con los privilegios adecuados pueden iniciar sesión con sus propias credenciales.
Como usuario privilegiado, es su responsabilidad mantenerse informado sobre la gestión de acceso y las polÃticas de acceso a producción en su organización. También es su responsabilidad estar informado sobre y seguir todos los procesos de control de cambios antes de hacer modificaciones en los sistemas de producción.
Una buena ciberseguridad depende de la vigilancia de todos. Como persona con estatus de usuario privilegiado, tiene un nivel elevado de responsabilidad para proteger los datos y sistemas de su organización.
Gestionar el acceso privilegiado
Existen varios principios clave que las organizaciones deben implementar para proteger los activos, los datos y los usuarios.
El mÃnimo privilegio
Como hemos mencionado antes, el principio del mÃnimo privilegio es la base de una ciberseguridad protegida. Es crucial que, al configurar el acceso, solo otorgue el acceso mÃnimo que los usuarios necesiten para hacer el trabajo que estén llevando a cabo en ese momento. Esto significa que limita el acceso y, en ciertos casos, configura un acceso temporal y limitado en el tiempo.
Autenticación de múltiples factores (MFA)
La MFA incluye componentes de al menos dos de las siguientes categorÃas: algo que tiene, algo que sabe o algo que es. En el pasado, las contraseñas de un solo factor eran suficientes. Sin embargo, dado que una contraseña es algo que recuerda, si otra persona también la conoce, puede autenticarse como usted. Por eso es tan valioso configurar la MFA.
Un buen sistema de MFA es dinámico, difÃcil de adivinar y cambia con frecuencia. Los factores pueden ser duros o suaves. Los tokens duros pueden ser elementos como YubiKey o un chip en una tarjeta. Ejemplos de tokens suaves son las aplicaciones de autenticación a las que accede desde su teléfono móvil. Utilizados junto con un PIN, una contraseña o datos biométricos, estos factores ofrecen protecciones más seguras que los nombres de usuario y las contraseñas por sà solos.
Acceso justo a tiempo
Cuando se otorga a los usuarios un acceso permanente en lugar de uno temporal, aumentan significativamente las probabilidades de que suceda una violación de seguridad. Si un usuario solo necesita acceder a datos confidenciales o configuraciones del sistema de forma ocasional, es mucho mejor proporcionarle credenciales temporales o de acceso limitado que se desactiven automáticamente al finalizar su tarea. De este modo, se asegura de que la cantidad de cuentas privilegiadas se mantenga limitada y de que las cuentas que ya no se utilizan se desactiven correctamente.
Desarrollar procedimientos de terminación
Otra forma de controlar el acceso de los usuarios privilegiados es asegurarse de que las cuentas no utilizadas se desactiven cuando un empleado deje la organización o se traslade a otro puesto. Es muy importante establecer procedimientos para deshabilitar sus cuentas de acceso privilegiado.
Auditar a los usuarios con acceso privilegiado
Muchas organizaciones requieren que se hagan revisiones de acceso a todos los usuarios en los sistemas, aplicaciones y bases de datos al menos cada 90 dÃas. Algunos puntos para tener en cuenta sobre estas auditorÃas:
- Si un revisor de acceso indica que la accesibilidad no es adecuada o necesaria para un usuario, se debe desactivar de inmediato.
- La revisión debe documentarse, mostrando la lista inicial, la confirmación del acceso por parte del propietario correspondiente del sistema o aplicación, y la lista final que demuestre que se han completado las actualizaciones.
- Las revisiones de acceso deben documentarse y aprobarse.
Monitorear las acciones de los usuarios
Toda la actividad de los usuarios privilegiados debe monitorizarse. Los registros de uso deben contener toda la información necesaria para rastrear las acciones, como el Id. del usuario, la hora, el objeto de la base de datos, la acción efectuada y la lista de registros a los que se accedió o que se modificaron. Debido a que los usuarios privilegiados tienen un mejor acceso, debe asegurarse de que estos registros no puedan ser modificados por los mismos usuarios que estén siendo monitoreados. Para evitar esto, aloje estos registros en bases de datos separadas y restrinja el acceso de los usuarios monitoreados para que no puedan hacer cambios en la base de datos (acceso de escritura). También se recomienda establecer polÃticas que definan el comportamiento legÃtimo para los usuarios privilegiados. Luego, configure sistemas que puedan identificar violaciones, bloquear actividades sospechosas y enviar alertas, todo en tiempo real.
Ahora que sabe cómo mantener una buena higiene cibernética, puede ser la primera lÃnea de defensa de su organización. Como persona con estatus de usuario privilegiado, es su responsabilidad proteger los datos y asegurar sus sistemas.
Implementar Zero Trust
Zero Trust es un modelo de seguridad que ofrece un enfoque más seguro para gestionar el acceso privilegiado, reduciendo el impacto potencial del abuso de acceso privilegiado y minimizando los efectos negativos de personas con malas intenciones por obtener acceso a sistemas o datos confidenciales. El modelo Zero Trust utiliza varias capas de seguridad y protocolos de autenticación para verificar de forma continua la identidad del usuario y otorgarle acceso según el principio del mÃnimo privilegio.
Esto significa que, aunque un usuario privilegiado tenga acceso legÃtimo a algunos sistemas, no tiene acceso automático a todos los sistemas o datos. El acceso se basa en una variedad de factores, como la identidad del usuario, su ubicación, el dispositivo, la hora de acceso y los patrones de comportamiento. Esto asegura que las decisiones de autorización se basen en datos contextuales, en lugar de asumir que un usuario con privilegios elevados es de confianza.
Comprobación de conocimientos
¿Todo listo para repasar lo que ha aprendido? La comprobación de conocimientos siguiente no se puntúa: es solo una forma sencilla de ponerse a prueba. Para comenzar, arrastre el término de la columna de la izquierda hacia la descripción correspondiente de la derecha. Cuando termine de emparejar todos los elementos, haga clic en Submit (Enviar) para comprobar las respuestas. Para volver a empezar, haga clic en Reset (Restablecer).
¡Bien hecho!
Resumen
En este módulo, se le han presentado los conceptos de acceso privilegiado y gestión del acceso privilegiado (PAM). Ha aprendido por qué es tan importante establecer lÃmites en el control de acceso y los desafÃos de seguridad que plantea este proceso. También ha aprendido sobre los principios fundamentales de ciberseguridad que deben guiar las buenas polÃticas de control de acceso.
Como futuro/a desarrollador/a, es crucial que aprenda a incorporar la seguridad en todos los aspectos de su trabajo. Esto incluye asegurarse de que su organización esté protegida con polÃticas de acceso seguras. ¿Le interesa aprender más sobre las mejores prácticas de ciberseguridad? Visite Cybersecurity Learning Hub (Centro de aprendizaje de ciberseguridad) en Trailhead.
Recursos
-
Trailhead: Seguridad Zero Trust
-
VÃnculo externo: Open Web Application Security Project (OWASP) (Proyecto abierto de seguridad en aplicaciones web): Control de acceso para la seguridad del software
-
VÃnculo externo: National Cybersecurity Center of Excellence (NCCOE) (Centro nacional de excelencia en ciberseguridad): Dejemos atrás lo antiguo y demos la bienvenida a lo nuevo, convirtiendo la autenticación de múltiples factores (MFA) en un estándar.
-
VÃnculo externo: Open Web Application Security Project (OWASP) (Proyecto abierto de seguridad en aplicaciones web): GuÃa rápida de autorización