Menu

Implementación eficaz de la gestión de acceso privilegiado: una guía paso a paso

La gestión de accesos privilegiados (PAM) es una parte clave de la ciberseguridad moderna.

En términos sencillos, es la estrategia que se utiliza para supervisar y controlar el acceso a los activos o datos más sensibles, como la información confidencial de los clientes o los servidores de misión crítica.

La lógica es simple: estos activos conllevan un nivel de riesgo único debido al daño que pueden causar a su organización si las personas equivocadas acceden a ellos.

Por lo tanto, es sensato restringir el acceso de los usuarios tanto como sea posible.

La teoría puede ser simple, pero la ejecución está lejos de ser sencilla.

Para hacerlo bien, necesita las herramientas y los procesos adecuados. En este blog, te explicamos cómo hacerlo.

Para empezar, he aquí algunas ideas clave del artículo, de un vistazo:

Ideas clave

  • La implementación efectiva de PAM implica identificar cuentas privilegiadas, aplicar privilegios mínimos, aprovechar la automatización, el monitoreo continuo y garantizar el cumplimiento.
  • La integración de protecciones PAM modernas, como la gestión automatizada de credenciales, la autenticación multifactor, la grabación de sesiones y la detección de amenazas en tiempo real, mejorará la seguridad con poco esfuerzo.
  • Los conceptos básicos y fundamentales de PAM implican la gestión y supervisión de cuentas privilegiadas para limitar el acceso a sistemas confidenciales, lo que garantiza la seguridad, la responsabilidad y el cumplimiento.
  • El principio de privilegios mínimos es clave en cualquier estrategia de PAM eficaz. Garantiza que los usuarios y los sistemas tengan solo el acceso mínimo necesario, lo que reduce el riesgo de acceso no autorizado y mejora la seguridad.

Cinco pasos clave para una implementación efectiva de PAM

Blue Template 1600 x 1600 4 sections1

Si está buscando implementar una estrategia de administración de acceso privilegiado, es posible que se pregunte por dónde empezar.

Si bien cada entorno de TI es diferente, hay una serie de pasos que la mayoría de las organizaciones deben seguir al implementar una estrategia de PAM.

Estos son los cinco más importantes:

1. Identificar cuentas privilegiadas

El primer paso, y el más importante, es auditar e identificar todas las cuentas privilegiadas que existen en su entorno de TI.

La mayoría de las organizaciones tendrán una variedad de cuentas que no conocen, y no se puede implementar PAM de manera efectiva hasta que las haya identificado.

Entre ellas se encuentran:

  • Cuentas en la sombra/inactivas: cuentas de usuario privilegiadas asociadas a personas que ya no trabajan para la empresa o con ella. Pueden ser antiguos empleados o contratistas externos. A menudo, estas cuentas no se eliminan cuando finaliza el contrato, lo que crea un punto de entrada atractivo para los piratas informáticos.
  • Permisos adicionales: cuando a los empleados se les otorgan privilegios de acceso para una tarea o proyecto en particular y mantienen el acceso elevado una vez que se ha superado esa necesidad. De nuevo, esto crea puntos de entrada innecesarios.
  • Cuentas de servicio con privilegios: API, flujos de trabajo de RPA y otras identidades de máquina que requieren acceso con privilegios. Si, por ejemplo, ha programado una API para recuperar información confidencial de un cliente de una base de datos y mostrarla en una aplicación de cliente, esa API requerirá acceso privilegiado de la misma manera que lo haría cualquier empleado que acceda a la misma información. A menudo se descuidan y olvidan, ya que las organizaciones asumen que el acceso privilegiado solo se puede asociar con individuos.

Para identificar estas cuentas, necesitarás una herramienta PAM especializada.

Estos pueden analizar su entorno de TI para identificar todos los privilegios de las cuentas de usuario y de servicio, incluidas las que no conoce.

2. Identifique los activos y datos confidenciales

La siguiente etapa es identificar a qué datos y activos confidenciales podrían estar accediendo sus cuentas privilegiadas.

Esto puede ser particularmente difícil porque no es lo mismo para todas las empresas.

Si un hacker roba una versión confidencial de un producto, vas a tener problemas. Si roban el borrador de trabajo de un activo de marketing que publicaste la semana pasada, probablemente estarás bien.

El reto es que ninguna herramienta puede decirte cuál es cuál.

En última instancia, tiene que ser un juicio subjetivo basado en las consecuencias de tener un activo o archivo en particular infiltrado.

No obstante, la mayoría de los activos y datos confidenciales se clasificarán en una de las tres grandes categorías:

  • Activos críticos: Se refiere a los activos de TI o puntos finales. Ejemplos comunes aquí podrían incluir servidores críticos, aplicaciones orientadas al cliente o cualquier cosa que pueda provocar la pérdida de negocio, servicio o productividad de los empleados si se cayera. Por lo general, el acceso a estos activos se otorga a los administradores de TI, los equipos de seguridad o los especialistas en DevOps.
  • Datos confidenciales: esto incluye cualquier dato de empleado o cliente que esté cubierto por regulaciones de cumplimiento como el GDPR. Principalmente, eso involucrará detalles financieros y otra información de identificación personal (PII).
  • Propiedad intelectual: La última categoría está menos claramente definida, ya que involucra cualquier cosa que su organización quiera mantener bajo llave. Esto podría incluir próximos lanzamientos de productos, secretos comerciales o simplemente cualquier cosa que su equipo de relaciones públicas desapruebe que se filtre.

Una vez que haya identificado los activos confidenciales en estas tres categorías, puede comenzar a implementar privilegios mínimos.

“La gestión eficaz de la identidad consiste en tener una lista predefinida de roles y privilegios, de modo que sepa que cuando contrata a alguien o cambia de rol, está claro qué privilegios se le deben asignar. El objetivo del acceso basado en roles es eliminar al individuo y a la persona y asignar reglas basadas en su identidad”.

– Mikkel Pederson, Jefe de Habilitación de Ventas Globales, Heimdal®

Una vez que haya identificado las cuentas con privilegios y los activos confidenciales, la siguiente etapa es implementar el privilegio mínimo.

Esto implica eliminar el acceso innecesario siempre que sea posible. En particular, eso implica las cuentas ocultas, las cuentas de servicio adicionales y los privilegios extendidos que identificamos en la primera sección.

Con mucho, la forma más fácil de hacer esto es agrupar archivos confidenciales en función de quién debe tener acceso a ellos.

De este modo, puede implementar controles de acceso basados en roles para cada uno de estos grupos.

Por ejemplo, los gerentes de recursos humanos tendrían acceso a la dirección de los empleados y a la información salarial, pero no a la información confidencial de los clientes en el CRM. Para los gerentes de ventas, sería todo lo contrario.

En el caso de los archivos básicos, esto debería ser bastante sencillo; Se trata de poner archivos en carpetas y controlar el acceso a esas carpetas.

Si esos datos se almacenan en la nube o en aplicaciones SaaS, va a ser más difícil.

Algunos de estos tendrán protecciones PAM integradas, otros no, por lo que tendrá que pensar detenidamente qué herramientas está utilizando y si pueden ofrecer la protección que necesita.

También puede ser útil en esta etapa considerar una plataforma CIEM para controlar el acceso a los datos almacenados en entornos de nube particularmente complejos.

Cualquiera que sea la táctica que esté utilizando, el objetivo debe ser reducir los privilegios a un mínimo absoluto.

De esa manera, hay menos puntos de entrada para que los piratas informáticos se dirijan.

4. Implemente protecciones PAM modernas

Eliminar privilegios innecesarios es un gran primer paso, pero no es la única herramienta en su arsenal.

Después de todo, siempre habrá cuentas que necesiten acceso a información confidencial, y estas identidades aún pueden ser infiltradas.

Pero hay una serie de otras medidas que puede implementar que pueden mejorar la defensa de esas cuentas privilegiadas que aún deben existir.

Estos son algunos de los más importantes:

  • Rotación de credenciales: una política para garantizar que las contraseñas se cambien con regularidad, a menudo combinada con restricciones sobre la seguridad de las contraseñas. Una vez que se les solicite, los usuarios finales deben cambiar su contraseña antes de iniciar sesión. Esto garantiza que las contraseñas filtradas o robadas se vuelvan redundantes después de un cierto período. Las políticas de rotación se pueden definir a través de soluciones PAM y están disponibles a través de una variedad de otras herramientas de seguridad.
  • Autenticación multifactor: Por lo general, implica que un usuario se autentique a través de su teléfono inteligente al iniciar sesión, lo que crea una capa adicional de defensa. Esto puede ocurrir a través de una aplicación de autenticación, un código de acceso de un solo uso o un escaneo de huellas dactilares. La funcionalidad MFA ahora es común en los principales productos SaaS. También se pueden implementar a nivel de toda la empresa utilizando productos PAM o a través de una variedad de herramientas de seguridad de Microsoft.
  • Bóveda de contraseñas: Una bóveda o administrador de contraseñas es otra herramienta cada vez más popular. Aquí, las contraseñas se cifran y se almacenan en una aplicación o complemento seguro, a menudo sin que los propios usuarios finales puedan verlas. Esto garantiza que las contraseñas puedan ser complejas, únicas y cambiarse regularmente sin afectar la experiencia del usuario. También evita que las contraseñas se guarden en forma de texto sin formato a través de aplicaciones de notas inseguras u otros medios.
  • Claves digitales y tokens: Al igual que la bóveda de contraseñas, su objetivo es eliminar por completo las contraseñas basadas en texto. En su lugar, el acceso se puede conceder a través de tokens digitales, claves o identificadores, que pueden aprovisionarse de forma segura a través de productos PAM y gestionarse de forma centralizada por el equipo de TI. Por lo general, estas claves son cadenas de caracteres cifradas y basadas en texto que son desconocidas para el usuario final y no se pueden reproducir de forma efectiva en forma de texto sin formato.
  • Llaves físicas: Elementos (por ejemplo, memoria USB, tarjeta de acceso, llaveros, microchips, etc.) que pueden autenticar a las personas. Al igual que con las llaves tradicionales, la autenticación se basa en la suposición de que solo la persona seleccionada tiene este elemento en su posesión. Puede decidir, por ejemplo, que cualquier persona con una cuenta de administrador root necesite autenticarse a través de una contraseña, un escaneo de huellas dactilares y una clave digital, esencialmente una capa extendida de autenticación multifactor.
  • Acceso justo a tiempo: Otra característica que puede ser habilitada por las plataformas PAM o PEDM más actualizadas. Se trata esencialmente de una serie de políticas dinámicas que conceden o revocan el acceso a activos confidenciales en función del contexto. Esto evita la necesidad de que cualquier persona tenga acceso “siempre activo”, también conocido como privilegios permanentes. En la práctica, esto significa que se puede denegar el acceso si se detectan ciertas “señales de riesgo” (por ejemplo, un nuevo dispositivo, una nueva ubicación, vulnerabilidades sin parches). Cuando se concede el acceso, generalmente se hace por razones específicas y por períodos de tiempo limitado.

Los productos más actualizados le permitirán crear e implementar políticas PAM para decidir qué tipos de autenticación se deben usar en qué escenarios.

Un buen lugar para comenzar es implementar MFA en todas las cuentas privilegiadas y usar una bóveda de contraseñas como predeterminada para todas las credenciales digitales.

A continuación, puede considerar la implementación de claves digitales, tokens y políticas just-in-time para permitir el acceso a activos y datos más confidenciales.

Sea cual sea el enfoque que elijas, la mejor política de PAM es, con diferencia, crear una defensa en capas.

Ninguna política por sí sola detendrá el 100% de los ataques, por lo que es importante utilizar una combinación de diferentes técnicas.

5. Supervise, audite y repita

A estas alturas, hemos identificado los activos confidenciales, hemos eliminado los privilegios innecesarios y hemos implementado una serie de políticas para mantener la seguridad de su entorno de TI.

Es posible que asuma que el trabajo está completo en este punto, pero es importante no quedarse tranquilo.

Las políticas que cree deberán revisarse continuamente para asegurarse de que obtiene el equilibrio adecuado entre seguridad y facilidad de uso.

Todas las políticas de seguridad tienen algún impacto en la experiencia del usuario. Y cuando ese impacto se vuelve demasiado severo, los empleados generalmente comienzan a encontrar soluciones engorrosas para evitarlos, lo que no es bueno para la seguridad.

Por lo tanto, es importante determinar cuál es el impacto de sus políticas para que pueda decidir dónde son más necesarias.

Entonces, ¿cómo se hace esto? La primera etapa es la más obvia: habla con tu equipo.

Esto te dará una idea de cómo perciben las políticas y dónde están los mayores problemas.

Si las medidas de seguridad sobre activos de riesgo relativamente bajo están creando mucha fricción innecesaria, esto podría ser una señal de que no son necesarios.

También es importante supervisar qué comportamientos de riesgo se están detectando en su entorno de TI.

Esto podría ser algo simple como un inicio de sesión desde una nueva ubicación o algo más complejo como una vulnerabilidad sin parchear o un presunto malware.

Esto le dará una idea de los mayores riesgos y, por asociación, qué políticas puede implementar para mitigarlos.

Por lo general, esta información está disponible a través de la mayoría de los productos PASM estándar a través de la funcionalidad de “supervisión de sesiones”.

Conceptos básicos de PAM: cómo funciona el acceso privilegiado y por qué es importante

“Hoy en día, la revolución del trabajo híbrido está en marcha y muchos empleados están trabajando desde casa o trayendo sus propios dispositivos. Esto requiere un mayor enfoque en la gestión del acceso a dispositivos locales, en lugar de PAM relacionado con el dominio. Esta es una de las cosas más difíciles de Cloud PAM: si tienes 200 o 2000 dispositivos, cada uno de ellos debe administrarse individualmente”.

– Mikkel Pederson, Jefe de Habilitación de Ventas Globales, Heimdal®

El principio clave de PAM es gobernar el acceso a datos y activos confidenciales en función de quién los necesita realmente. Por lo general, los privilegios se otorgan a usuarios específicos en función de sus roles.

Puede ser tan simple como otorgar al equipo de TI acceso a los puntos finales críticos y a los trabajadores de recursos humanos acceso a la información confidencial de los empleados.

Este no es un concepto nuevo ni revolucionario.

Pero los entornos de TI actuales son cada vez más complejos y constan de servidores, instancias en la nube, flujos de trabajo de RPA, dispositivos IoT y toda una gama de otros activos y puntos finales.

Administrar y restringir activos como estos es mucho más complejo de lo que era antes.

Ahí es donde entra en juego el concepto de mínimo privilegio.

Principio mínimo: el principio clave de una PAM efectiva

“El mínimo privilegio es un viaje, no un destino. No hay una sola aplicación que pueda instalar, habilidad que pueda entrenar o proceso que pueda crear que obtenga el mínimo privilegio. Es todas estas cosas y más. Si se hace bien, es una mentalidad que se aplica a todo lo que haces. Primero, asumir el riesgo, luego trabajar hacia atrás a partir de ahí para reducir ese riesgo tanto como sea posible”.

– Bogdan Dolohan, Jefe de Soporte Técnico, Heimdal®

En los últimos diez o quince años, la forma en que interactuamos con la tecnología en el trabajo ha cambiado radicalmente.

Antes, era común viajar al trabajo, ingresar a la oficina usando una tarjeta de acceso física, sentarse en un escritorio con cable e ingresar una contraseña.

La mayoría de los endpoints de TI, si no todos, estaban conectados a una red física, generalmente conectada a un servidor.

En este contexto, la seguridad de los accesos privilegiados era mucho más sencilla. Si pudieras controlar el acceso a la máquina específica de un usuario, podrías asumir felizmente que estaban a salvo una vez que hubieran iniciado sesión.

Entonces, la nube lo cambió todo.

En un mundo en el que el trabajo a distancia es multidispositivo, las organizaciones tienen que ser mucho más específicas y tácticas sobre las medidas de seguridad que utilizan y dónde las aplican.

Aquí es donde entra en juego el mínimo privilegio.

Hoy en día, el privilegio mínimo es esencialmente la base del acceso privilegiado moderno. El principio dicta que el acceso solo debe darse a las cuentas que lo necesiten absolutamente.

Idealmente, también debería extenderse para garantizar que el acceso solo se brinde cuando sea necesario.

A primera vista, esto es bastante sencillo.

Pero como descubriremos, la implementación de ese principio puede ser un asunto más complejo.

¿Qué solución PAM necesito?

Leer más: Las 11 mejores soluciones de software de gestión de acceso privilegiado (PAM) en 2024

En estos entornos de TI cada vez más complejos, lograr una gestión eficaz del acceso privilegiado (PAM) requiere las herramientas adecuadas.

Durante la última década, una gama de productos ha evolucionado para ayudar a gestionar las complejidades del acceso a cuentas privilegiadas en un mundo remoto y centrado en la nube. Pero a medida que surgen nuevas amenazas y formas de trabajar, se requieren nuevas herramientas para ayudar a gestionarlas.

Esto significa que ahora hay varios tipos de soluciones PAM en el mercado, cada una con un conjunto diferente de objetivos, herramientas y políticas.

Para los equipos de TI, esto puede complicar las cosas de manera única, porque no es inmediatamente obvio qué productos de seguridad necesita.

Si tiene un entorno de TI relativamente simple con pocos servidores orientados al cliente e información confidencial limitada, sus políticas de PAM pueden ser bastante simples.

Pero cuanto más compleja sea la tecnología que agregues, más pólizas especializadas necesitarás para ayudar a protegerlos.

Para aumentar la confusión, también hay un cruce significativo entre los diferentes productos, lo que significa que hay una buena posibilidad de que una herramienta se vuelva redundante una vez que se actualiza a otra.

Estos son algunos de los tipos de productos PAM más comunes en el mercado:

Infographic Photo Template 1600 x 18002

1. Acceso privilegiado y gestión de sesiones (PASM)

El tipo más común de solución PAM. Ayudan a detectar, administrar y supervisar el uso de cuentas con privilegios, lo que brinda a los administradores de TI la capacidad de delegar y revisar permisos desde un panel central.

Por lo general, también cuentan con análisis para monitorear sesiones y actividades privilegiadas y, a menudo, también incluyen políticas que le permiten definir qué tan complejas deben ser las contraseñas y con qué frecuencia se cambian.

2. Gestión de delegación y elevación de privilegios (PEDM)

Una solución PAM más avanzada. Proporciona controles basados en identidad más específicos y granulares, y permite a los equipos de seguridad implementar controles más estrictos y dinámicos, con un énfasis particular en el acceso justo a tiempo (más sobre esto a continuación).

3. Gestión de derechos de infraestructura en la nube (CIEM)

Si bien las herramientas PASM tradicionales son útiles, generalmente se centran en las identidades a nivel de archivo y sistema operativo.

Esto deja un vacío importante para los servicios e infraestructuras basados en la nube, que los productos de CIEM pretenden llenar.

Por lo general, supervisan los permisos y el acceso a través de instancias en la nube, entornos de DevOps, bases de datos o cualquier otra aplicación o sitio web alojado en la nube.

4. Herramientas de gestión de contraseñas

Un término general para cualquier herramienta diseñada específicamente para monitorear, rotar y proteger contraseñas y otras credenciales digitales.

A menudo, estas características se incluyen dentro de herramientas PASM, PEDM o SIEM más amplias, por lo que existe cierto riesgo de superposición y redundancia aquí.

Heimdal®: Un enfoque único para el acceso privilegiado

Este es el secreto para una gestión eficaz del acceso con privilegios: no es todo o nada.

En este blog, hemos explicado una serie de técnicas, herramientas y funciones de PAM que pueden ayudarte a controlar el acceso a los activos y datos más sensibles.

Aquí no hay una bala de plata, y la solución correcta va a ser diferente para cada empresa.

Por eso es tan importante crear un enfoque en capas con múltiples defensas PAM en todas tus cuentas privilegiadas.

Pero como hemos explicado, hay varios tipos diferentes de soluciones PAM disponibles.

Para construir este enfoque en capas, las organizaciones a menudo terminan construyendo una red difícil de manejar que combina administradores de contraseñas con herramientas PASM, CIEM o PEDM.

Cuanto más agregue, más compleja e ineficaz se volverá la solución resultante.

XDR Dashboard 3D Front 2048x1063 2

En Heimdal®, adoptamos un enfoque diferente. En cambio, toda nuestra gama de herramientas de gestión de acceso privilegiado (PAM) está disponible a través de un simple módulo PAM. Esto incluye:

  • Bóveda de credenciales empresariales: una bóveda segura para garantizar que las contraseñas se supervisen, almacenen y administren de forma segura.
  • Supervisión de sesiones: análisis, grabación y reproducción de sesiones en tiempo real, que ofrecen información única sobre el comportamiento de los usuarios privilegiados y una auditoría y un cumplimiento simplificados.
  • Controles de acceso avanzados basados en roles: a través de un complejo sistema RBAC, puede optimizar la administración de permisos y minimizar el riesgo de cuentas con demasiados privilegios.
  • Acceso justo a tiempo: otorgue o revoque el acceso de forma dinámica en función de las señales contextuales, lo que garantiza que las cuentas privilegiadas puedan seguir bloqueándose si se detectan ciertos riesgos.

Todo esto está disponible a través del módulo PAM en nuestra plataforma XDR.

para recibir mas información sobre Heimdal y como obtener el producto, por favor ingrese a nuestra pagina dedicada

Te gustaria leer

Aufiero Informática - Logo Transparente
  • Argentina: +54-11-2150-5353
  • Brasil: +55-11 5242 0742
  • Chile: +56-2-2405-3246
  • Colombia: +57 333 033 4470
  • México: +52-55-8526-3019
  • Perú: +51-1-640-9337
  • United States: +1(305)404-5229
  • Uruguay: +598 0004054432
  • ventas@aufieroinformatica.com
  • vendas@aufieroinformatica.com

Aufiero Informática® - Saltos Bajos LLC - © 2024

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle