Las empresas utilizan las soluciones de administración de acceso para autenticar, autorizar y auditar el acceso a aplicaciones y sistemas de TI. Con frecuencia se suministran como un componente de una solución de administración de identidad y acceso (IAM), lo que ayuda a aumentar la seguridad y disminuir el riesgo al administrar de cerca el acceso a aplicaciones, servicios e infraestructura de TI locales y basados en la nube. También ayudan a garantizar que los usuarios apropiados tengan acceso a los recursos apropiados en los momentos apropiados y por las razones apropiadas. Esta publicación de blog explicará la administración de acceso en detalle, incluido el precio de la administración de acceso privilegiado.
¿Qué es la gestión de acceso?
La administración de acceso es el proceso de identificar, rastrear, regular y administrar el acceso permitido o especificado de usuarios a un sistema, aplicación o cualquier instancia de TI.
Es una noción integral que incluye todas las reglas, métodos, metodologías y tecnologías utilizadas para mantener seguros los derechos de acceso en un entorno de TI.
La administración de acceso es esencialmente un procedimiento de seguridad de la información, TI y gobierno de datos que permite el acceso de usuarios válidos y prohíbe el acceso de usuarios no válidos. AM generalmente se usa junto con la gestión de acceso de identidad (IAM). AM garantiza que se obedezcan estos roles y políticas, mientras que la gestión de identidades desarrolla, aprovisiona y regula varios usuarios, roles, grupos y políticas. Una aplicación/sistema basado en AM guarda los diversos roles y perfiles de usuario y luego procesa las solicitudes de acceso de los usuarios en función de los datos/perfil/roles.
Gestión de identidades y acceso
La gestión de identidad y acceso (IAM) es una disciplina de ciberseguridad que se centra en la gestión de las identidades de los usuarios y los derechos de acceso a la red. Si bien las políticas, los procesos y las tecnologías de IAM varían según la empresa, el objetivo de cualquier iniciativa de IAM es garantizar que los usuarios y dispositivos correctos tengan acceso a los recursos correctos en el momento correcto por las razones correctas.
IAM puede ayudar a simplificar el control de acceso en configuraciones de múltiples nubes que son complejas. Las redes corporativas ahora están vinculadas a software y fuentes de datos locales, remotos y basados en la nube (SaaS). Los usuarios humanos (trabajadores, clientes, contratistas) y los usuarios no humanos (bots, dispositivos IoT, cargas de trabajo automatizadas, API) requieren acceso a estos recursos por una variedad de razones.
Los sistemas IAM permiten a las empresas emitir una única identidad digital para cada usuario y determinar los privilegios de acceso para cada usuario. Como resultado, solo los usuarios autorizados tienen acceso a los recursos de la empresa y solo pueden usar esos recursos de la manera que la organización lo permita.
Cómo funciona IAM
En esencia, IAM se esfuerza por mantener alejados a los piratas informáticos y permite que los usuarios autorizados simplemente realicen todo lo que necesitan sin exceder sus permisos.
La red de cada empresa es única, al igual que las políticas, los procesos y las herramientas utilizadas para desarrollar un sistema de gestión de acceso e identidad. Habiendo dicho eso, la mayoría, si no todas, las implementaciones de IAM cubren cuatro funciones clave:
#1. Gestión del ciclo de vida de la identidad
El proceso de desarrollar y mantener una identidad digital para cada entidad humana o no humana en una red se conoce como gestión del ciclo de vida de la identidad.
Una identidad digital informa a la red sobre quién o qué es cada entidad y qué se les permite realizar en la red. La identificación a menudo contiene información básica de la cuenta de usuario (nombre, número de identificación, credenciales de inicio de sesión, etc.), así como información sobre la función organizativa, los deberes y los derechos de acceso de la entidad.
Los procesos para incorporar nuevas entidades, actualizar sus cuentas y permisos con el tiempo, y dar de baja o desaprovisionar a los usuarios que ya no necesitan acceso son parte de la gestión del ciclo de vida de la identidad.
#2. Control de acceso
Como se indicó anteriormente, cada identidad digital tiene diferentes niveles de acceso a los recursos de la red según las restricciones de acceso de la empresa. Un consumidor solo puede tener acceso a su cuenta y datos personales en una plataforma en la nube. Los empleados pueden tener acceso a bases de datos de clientes, así como a herramientas internas como portales de recursos humanos. Un administrador del sistema puede tener acceso y cambiar todo en la red, incluidas las cuentas de clientes y empleados, los servicios internos y externos y los equipos de red, como conmutadores y enrutadores.
Para crear y hacer cumplir las normas de acceso, muchos sistemas IAM emplean el control de acceso basado en roles (RBAC). Los privilegios de cada usuario en RBAC están determinados por su función laboral o título laboral. Suponga que una empresa está configurando permisos de acceso al firewall de la red. Es poco probable que un representante de ventas tenga acceso porque su profesión no lo exige. Un analista de seguridad de nivel junior puede ver pero no cambiar las configuraciones del firewall. El CISO tendría toda la autoridad administrativa. Una API que conecta el SIEM de la empresa con el cortafuegos puede leer los registros de actividad del cortafuegos pero no ver nada más.
#3. Autenticacion y autorizacion
Los sistemas IAM hacen más que solo generar identidades y emitir permisos; también ayudan en la aplicación de esos permisos a través de la autenticación y la autorización.
La autenticación es el proceso a través del cual los usuarios demuestran que son quienes dicen ser. Cuando un usuario busca acceso a un recurso, el sistema IAM compara sus credenciales con las almacenadas en el directorio. Se otorga acceso si coinciden.
Si bien una combinación de nombre de usuario/contraseña proporciona un nivel básico de autenticación, la mayoría de los marcos de gestión de acceso e identidad actuales emplean capas adicionales de autenticación para brindar seguridad adicional contra las ciberamenazas.
Autenticación multifactor.
Los usuarios deben enviar dos o más factores de autenticación para probar sus identidades al usar la autenticación multifactor (MFA). Un código de seguridad proporcionado al teléfono del usuario, una clave de seguridad física o datos biométricos como el escaneo de huellas dactilares son factores comunes.
SSO (inicio de sesión único)
SSO permite a los usuarios acceder a numerosas aplicaciones y servicios con un solo conjunto de credenciales de inicio de sesión. El portal SSO verifica la identidad del usuario y genera un certificado o token que sirve como clave de seguridad para otros recursos. Muchos sistemas SSO utilizan protocolos abiertos como el lenguaje de marcado de aserción de seguridad (SAML) para permitir que los proveedores de servicios compartan claves libremente.
Identificación adaptativa
Cuando cambia el riesgo, la autenticación adaptable, también conocida como "autenticación basada en el riesgo", cambia los requisitos de autenticación en tiempo real. Es posible que un usuario solo necesite enviar un nombre de usuario y una contraseña cuando se registre desde su dispositivo normal. Si el mismo usuario inicia sesión desde un dispositivo que no es de confianza o intenta ver información confidencial, es posible que se requieran factores de autenticación adicionales.
El sistema IAM verifica el directorio para obtener los privilegios de acceso de un usuario después de que se hayan autenticado. Luego, el sistema IAM autoriza al usuario a acceder y completar solo las tareas que le permiten sus permisos.
#4. Gestión de identidad
El proceso de seguimiento de lo que hacen las personas con su acceso a los recursos se conoce como gestión de identidad. Los sistemas IAM vigilan a los usuarios para asegurarse de que no estén abusando de sus privilegios y para atrapar a cualquier pirata informático que haya ingresado a la red.
La gestión de la identidad también es esencial para el cumplimiento normativo. Las empresas pueden utilizar datos de actividad para garantizar que sus controles de acceso cumplan con los estándares de seguridad de datos, como el Reglamento general de protección de datos (GDPR) o el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS).
Gestión de acceso privilegiado (PAM)
La gestión de acceso privilegiado (PAM) es un método de seguridad de la información (infosec) que protege las identidades con acceso único o capacidades que van más allá de las de los usuarios habituales. La seguridad PAM, como todas las demás soluciones de seguridad de la información, se basa en una combinación de personas, procesos y tecnología.
Tomamos precauciones adicionales con las cuentas privilegiadas debido al riesgo que representan para el entorno técnico. Por ejemplo, si las credenciales de un administrador o una cuenta de servicio se ven comprometidas, los sistemas y los datos confidenciales de la organización pueden verse comprometidos.
Cuando los actores de amenazas comprometen las cuentas de acceso privilegiado, se producen filtraciones de datos. Debido a que estas cuentas contienen las llaves que abren todas las puertas en un entorno tecnológico, debemos agregar capas adicionales de seguridad. Un sistema de gestión de acceso privilegiado proporciona esa seguridad adicional.
¿Qué es el acceso privilegiado?
En un contexto tecnológico, el acceso privilegiado se refiere a cuentas que tienen mayores capacidades que los usuarios regulares. En un entorno Linux, por ejemplo, el usuario raíz puede agregar, editar o eliminar usuarios; instalar y desinstalar software; y acceder a secciones restringidas de sistemas operativos que un usuario normal no puede. Los entornos de Windows tienen un modelo de seguridad similar, pero el usuario raíz se denomina administrador.
¿Cuál es el proceso de gestión de acceso privilegiado?
La gestión de acceso privilegiado, como se dijo anteriormente, es una combinación de personas, procesos y tecnología. Identificar qué cuentas tienen acceso privilegiado es, por lo tanto, el primer paso para instalar una solución PAM. A continuación, la empresa debe decidir qué políticas se aplicarán a estas cuentas.
Pueden, por ejemplo, estipular que las cuentas de servicio deben actualizar sus contraseñas cada vez que un usuario accede a sus credenciales guardadas. La aplicación de la autenticación multifactor (MFA) para todos los administradores del sistema es otro ejemplo. Otra regulación que la corporación puede optar por aplicar es mantener un registro completo de todas las sesiones privilegiadas. Idealmente, cada proceso debería estar alineado con un riesgo específico. Por ejemplo, solicitar un cambio de contraseña para las cuentas de servicio reduce la posibilidad de un ataque interno. Del mismo modo, mantener un registro de todas las sesiones privilegiadas permite a los administradores de seguridad identificar cualquier anomalía, y hacer cumplir MFA es una solución comprobada para prevenir ataques relacionados con contraseñas.
Después de completar el paso de descubrimiento de encontrar cuentas privilegiadas y finalizar sus políticas PAM, la empresa puede instalar una plataforma tecnológica para monitorear y hacer cumplir su Administración de acceso privilegiado. Esta solución PAM automatiza las reglas de la organización y proporciona una plataforma para que los administradores de seguridad administren y monitoreen las cuentas privilegiadas.
¿Cuál es la importancia de PAM?
Las cuentas privilegiadas ofrecen un gran riesgo para la corporación, por lo que la gestión de acceso privilegiado es fundamental en cualquier organización. Por ejemplo, si un actor de amenazas compromete una cuenta de usuario normal, solo tendrá acceso a la información de ese usuario específico. Si logran comprometer a un usuario privilegiado, tendrán mucho más acceso y, según la cuenta, incluso pueden dañar los sistemas.
Debido a su rango y perfil, los estafadores apuntan a cuentas privilegiadas para atacar a empresas enteras en lugar de a un solo individuo. Con Forrester prediciendo que las cuentas privilegiadas están involucradas en el 80 % de las infracciones de seguridad, es fundamental proteger y monitorear estas identidades organizacionales fundamentales. Una solución PAM, por ejemplo, puede abordar las fallas de seguridad, como que muchas personas accedan y conozcan la misma contraseña administrativa para un servicio específico. También reduce el peligro de que los administradores se nieguen a cambiar las contraseñas estáticas de larga data por temor a causar una interrupción imprevista.
PAM administra componentes importantes de acceso seguro y agiliza la creación de cuentas de usuario administrador, capacidades de acceso elevadas y configuración de aplicaciones en la nube. PAM reduce la superficie de ataque de una organización a través de redes, servidores e identidades en términos de seguridad de TI. También reduce la probabilidad de violaciones de datos causadas por amenazas de ciberseguridad internas y externas.
Precios de gestión de acceso privilegiado
Un sistema de administración de acceso privilegiado (PAM) cuesta más que solo tarifas de licencia. Si bien puede ser tentador centrarse únicamente en los costos iniciales, evaluar los precios de administración de acceso privilegiado requiere considerar otros factores para determinar si la solución proporcionará un verdadero retorno de la inversión (ROI) o causará más problemas de los que resuelve.
Por eso, además de considerar los costos de administración de acceso privilegiado, las empresas deben determinar qué tipo de ROI recibirían al seleccionar un sistema PAM. Una calculadora de ROI puede ayudarlos a determinar los tipos de retornos que son viables para los equipos de DevOps/Ingeniería, los equipos de seguridad y la empresa.
¿Cuánto cuesta una solución PAM?
Las soluciones de administración de acceso privilegiado (PAM) cuestan $70 por usuario cada mes. Esto incluye auditorías e integraciones para todas las bases de datos, servidores, clústeres, aplicaciones web y nubes. Tampoco hay medición, limitaciones de datos o costos de servicios profesionales.
¿Cuál es el papel de la gestión de acceso?
La gestión de acceso garantiza que una persona reciba el nivel exacto y el tipo de acceso a una herramienta a la que tiene derecho.
¿Qué habilidades necesita para la gestión de acceso?
- Buena comprensión y conocimiento de la seguridad de las aplicaciones.
- Cierta comprensión y/o experiencia con los sistemas de control de acceso basados en funciones.
- Excelentes habilidades de comunicación oral y escrita, interpersonales, organizativas y de gestión del tiempo.
- Gran capacidad para transmitir y explicar a otros cuestiones técnicas complicadas, problemas y soluciones alternativas.
- Buen conocimiento o experiencia trabajando con sistemas ERP en una agencia de educación superior o gubernamental.
- Se requieren habilidades analíticas y de resolución de problemas con tareas y problemas técnicos complicados.
- Se prefiere el conocimiento o la experiencia como administrador de identidades en un entorno de desarrollo de software relacionado con un sistema ERP.
- Fuerte conocimiento o experiencia con las regulaciones estatales y federales de gestión de identidad.
- Saber cuándo se pueden utilizar medidas de control de acceso basadas en roles para proporcionar acceso.
- Capacidad para identificar cuándo presentar un caso con el centro de soporte técnico del proveedor y/o cuándo escalar un problema existente.
- Capacidad para decidir si escalar o aplicar niveles específicos de mitigación de riesgos.
Artículos Relacionados
- EMPATÍA: Señales de falta de empatía y cómo desarrollarla
- SISTEMA DE GESTIÓN DE IDENTIDAD
- HERRAMIENTAS DE GESTIÓN DE IDENTIDAD Y ACCESO: Definiciones, mejores y gratuitas herramientas de identidad y acceso
- Gestión de acceso privilegiado: cómo funciona
Referencias
