La seguridad sigue siendo uno de los principales problemas del sector TIC. Una mayor concienciación acerca de los posibles riesgos para la seguridad es un paso fundamental para frustrar ataques malintencionados. Sin embargo, con demasiada frecuencia, las organizaciones públicas y privadas se ven obligadas a reconocer que los riesgos potenciales de seguridad son aún mayores cuando un atacante logra obtener privilegios de administrador, independientemente de si es un atacante externo o una amenaza interna. Quest Software (ahora parte de Dell) tiene un profundo conocimiento de los problemas a los que se enfrentan las organizaciones que carecen del control y las auditorías adecuadas sobre los accesos de administración y las cuentas de superusuario.
Tal y como se recoge en un estudio realizado este año en la The Experts Conference, conferencia anual que reúne a profesionales de la informática de todo el mundo bajo el patrocinio conjunto de Quest y Microsoft, la mitad de las organizaciones encuestadas manifestaron que su principal problema normativo es garantizar la correcta asignación de los privilegios de acceso de los usuarios, incluyendo los accesos con privilegios). En el caso de la gestión de cuentas con privilegios, la situación es aún más problemática cuando los administradores reciben «las llaves del reino», al obtener privilegios de acceso anónimo compartido a sistemas informáticos cruciales. En el sector privado, los errores y carencias a la hora de gestionar los accesos a la información y la adecuación a las normativas mediante mandatos de seguridad pueden conllevar pérdidas de ingresos, auditorías adversas y un deterioro generalizado de la marca. En las instituciones gubernamentales, por su parte, la gestión de los derechos de acceso plantea situaciones de alto riesgo, ya que anticiparse a las posibles amenazas emergentes es una cuestión de seguridad nacional. Tanto es así, que la gestión de las cuentas con privilegios queda recogida en varias certificaciones de seguridad, incluyendo las ISO 27001 y NIST 800-53. Un nuevo informe elaborado por Enterprise Management Associates para Quest, destaca los controles de accesos de administración incorrectos como «una de las lagunas de seguridad informática más indignantes en muchas organizaciones.»
El informe, titulado “Por qué debería replantearse la gestión de privilegios de acceso (y cosas que desconoce que debería conocer),” examina algunas de las excusas más frecuentes que ofrecen las compañías a la hora de justificar sus descuidos. Además el informe ofrece perspectivas de gran utilidad sobre cómo las prácticas modernas de administración de cuentas con privilegios (o PAM, por sus siglas en inglés), y las correspondientes soluciones tecnológicas pueden cubrir esas carencias de seguridad mediante un control flexible de las políticas, la automatización de los flujos de trabajo y el registro y seguimiento de todas las actividades, con el fin de aumentar la seguridad, cumplir las normativas y aumentar la eficiencia. según las propuestas de la compañía recientemente adquirida por Dell, hay que tener en cuenta tres factores fundamentales:
1. Asignar responsabilidades individuales a la actividad de los superusuarios
Los derechos de administración compartidos y mal gestionados no son una mera mala ocurrencia; suponen la forma más rápida y sencilla de exponer a toda una organización a riesgos innecesarios, ya que estas cuentas de superusuario suelen tener amplios privilegios sobre sistemas operativos, aplicaciones, bases de datos, etc. De compartirse las cuentas, cualquier posible fallo de seguridad o normativa podrá rastrearse a nivel de cuenta, pero no será posible determinar qué administrador la ha estado empleando.
Por ello, con el fin de contener posibles riesgos, convendrá adoptar un planteamiento por el que solo ofreceremos a los administradores privilegios de acceso sobre aquello que necesiten, cuando lo necesiten. Ni más, ni menos. Así, solo se emitirían las credenciales que fueran necesarias, en el momento en que fueran necesarias, acompañándolas de un registro auditado de quién las utiliza, quién ha aprobado su uso, para qué se han utilizado y cómo y por qué se han entregado. Una vez se hayan utilizado para el fin para el que estaban previstas, deberá cambiarse la contraseña de inmediato. La capacidad para automatizar y asegurar todo este proceso supone un medio eficaz para gestionar los derechos de administración de toda una organización. Del mismo modo, las prácticas PAM son fundamentales a la hora de garantizar la correcta colaboración entre agencias locales, estatales y federales, y pueden suponer la diferencia entre una correcta colaboración e intercambio de información entre todas las esferas del gobierno, o suponer un colapso total de dicha colaboración.
2. Implementar y seguir una estrategia de “privilegios mínimos” en los accesos de administración
Muchas cuentas de administración, incluyendo las de las cuentas root de Unix, las cuentas de administrador de Windows o de Active Directory, DBA, etc., ofrecen permisos ilimitados en su ámbito de gestión. De compartirse estas cuentas, se pueden estar fomentando posibles actividades malintencionadas. Así, por ejemplo, el tan divulgado fallo de seguridad que se produjo en Fannie Mae se dio cuando un empleado empleó un acceso de superusuario de este tipo para colocar una bomba lógica malintencionada que, de no haber sido descubierta, podría haber trastocado las operaciones de toda la organización y haber puesto en peligro los datos personales y financieros de aproximadamente 1.100 personas.
Un planteamiento mucho más prudente pasa por establecer una política que defina claramente qué puede hacer cada administrador (o cada puesto de administración) con sus accesos y qué no. Dado que este proceso puede resultar complicado y de difícil implementación en los diversos sistemas de una organización, Quest recomienda la incorporación de herramientas de microdelegación, optimizadas para las plataformas designadas, e integradas a otras tecnologías PAM como la salvaguarda de privilegios, la autenticación multifactor y los puentes para Active Directory.
3. Reducir la complejidad de la administración de cuentas con privilegios
Uno de los retos más habituales a los que se enfrentan las prácticas PAM es la diversidad de sistemas informáticos, cada uno de los cuales presenta sus propias características y requisitos en materia de administración de cuentas con privilegios. Esto suele resultar en la utilización de herramientas especializadas y políticas y prácticas específicas, diseñadas para controlar el acceso a las cuentas con privilegios. Desgraciadamente, este planteamiento suele complicar los procesos de auditoría, por lo que puede resultar complicado demostrar que todos los accesos estén controlados y que los principios de separación de tareas se han establecido y se hacen cumplir.
Por ello, consolidar diferentes sistemas en una estructura de identidades común crea un entorno en el que resulta posible implantar una estrategia de prácticas PAM unificada, garantizando la cohesión en las prácticas en una mayor parte de la organización, eliminando con ello posibles errores producidos por la complejidad derivada del uso de múltiples sistemas, al tiempo que se reducen los riesgos y los gastos que conlleva la administración de dichos sistemas. Además, toda consolidación de las capacidades de PAM bajo una interfaz unificada de gestión y registro redunda en una mayor eficiencia.
El informe realizado por EMA al que hacíamos referencia, apunta a que las organizaciones centradas en alcanzar un elevado nivel de disciplina en la administración de configuraciones y cambios tienden a presentar mejores resultados, no solo por una menor incidencia de sucesos de seguridad que alteren sus operaciones, sino por una mayor fiabilidad informática, menos tareas no planificadas para los departamentos informáticos, cambios informáticos más exitosos, mejores proporciones de administradores de servidores frente a sistemas, y más proyectos informáticos completados cumpliendo plazos y presupuestos.