La administración efectiva de privilegios es fundamental para mantener un entorno seguro y productivo en cualquier organización. La concesión de permisos excesivos o el intercambio indebido de credenciales puede ser una «bomba de tiempo» en términos de seguridad, poniendo a las empresas en riesgo de amenazas externas e internas. Christian David López Chavero, líder de Identidad Digital en Minsait, sugiere un conjunto de seis preguntas clave que ayudan a evaluar el riesgo y asegurar un sistema de control de acceso robusto.
Para que los empleados puedan desempeñar sus roles de manera efectiva, es imprescindible que tengan acceso directo, rápido y seguro a diversas aplicaciones y sistemas. Por ejemplo, un CFO necesita acceder a datos financieros altamente sensibles que deben estar fuertemente resguardados. Un representante de ventas, por otro lado, necesita usar un sistema de gestión de relaciones con clientes (CRM) y otras herramientas específicas para gestionar pedidos. Asimismo, otros empleados pueden necesitar interactuar solo con ciertas plataformas administrativas y aplicaciones basadas en la nube.
La tarea de definir quién tiene acceso a qué recursos y qué acciones están autorizadas para realizar es una responsabilidad compartida que abarca a varios departamentos, incluidos recursos humanos, seguridad de la información, operaciones y tecnologías de la información (TI). Estas áreas deben colaborar estrechamente en la administración de privilegios, lo cual significa establecer controles de acceso específicos por usuario, aplicación o conjunto de reglas. Esto permite que los empleados tengan los privilegios adecuados para llevar a cabo su trabajo de manera efectiva, al mismo tiempo que se mantiene un alto nivel de seguridad y se maximiza la productividad organizacional.
No obstante, no son pocas las organizaciones que operan con una pobre o, incluso, nula administración de privilegios. En la práctica, es común asignar privilegios innecesarios en lugar de detenerse a realizar un análisis de roles y privilegios basado en el principio de la «necesidad de saber» (need to know), lo que ayudaría a disminuir el riesgo de acceso no autorizado.
En consecuencia, se descuida la ciberseguridad y, por comodidad, se asignan permisos más allá de los requeridos para usuarios técnicos y de negocio, dejando a la organización vulnerable a diversos tipos de amenazas. En un entorno empresarial, el director general y el director de recursos humanos deberían de tener derechos y atribuciones distintas y perfectamente delimitadas.
Se suma, además, una pobre cultura de ciberseguridad en la que los colaboradores comparten sus credenciales de acceso a diferentes sistemas, lo que puede potencialmente poner en riesgo procesos críticos o información sensible.
El escenario anterior representa, en muchos casos, una «enfermedad silenciosa» para las organizaciones. Mientras detener un proceso operativo crítico es algo notorio, ya que sus efectos se hacen evidentes en la continuidad del negocio, una administración deficiente o nula de privilegios puede estar teniendo impactos no tan visibles. Es sólo cuando se produce un ataque, un fraude o un error cuando se ven las consecuencias devastadoras de haber sido negligentes al no contar con una adecuada administración de privilegios.
Seis preguntas que hacerse para medir el riesgo
Contar con una gestión y gobierno de privilegios adecuados puede ser una tarea compleja y demandante. También es importante señalar que tener una herramienta especializada de gestión de identidades y accesos no garantiza que los controles establecidos sean efectivos. Un diseño deficiente, errores en la configuración o no aprovechar adecuadamente sus capacidades pueden conducir a los mismos problemas que cuando se carece de dichos controles.
Cada organización, de acuerdo con la industria en la que opera, su tamaño y sus propias necesidades, requiere una estrategia a medida que le permita minimizar efectivamente los riesgos asociados. Para ello, es fundamental que se planteen preguntas básicas que les pueden ayudar a conocer su posición en lograr afrontar dichos riesgos.
- ¿La organización cuenta con procedimientos establecidos y aprobados por el área de seguridad y/o cumplimiento para asignar privilegios?
- ¿Existe trazabilidad de qué privilegios se asignaron a qué recurso y quién autorizó dichas asignaciones?
- ¿Se definen y ejecutan procesos periódicos de certificación de accesos, así como la correspondiente remediación de las desviaciones encontradas?
- ¿Se han definido roles en función de las necesidades del negocio de la organización?
- ¿Existen matrices de segregación de funciones para minimizar el riesgo de fraude?
- ¿La administración de privilegios se está llevando a cabo de manera efectiva?
Si las preguntas anteriores se responden negativamente, es un indicio de que es necesario prestar atención a la administración de privilegios, a la vez que se alerta a no caer en una falsa sensación de seguridad basada en el hecho de que «nunca ha pasado nada».
En resumen, la organización debería ser capaz de responder, en cualquier momento, quién o qué tiene acceso a qué recurso, cuándo y desde dónde, así como la razón por la que se les ha asignado determinado acceso.