A medida que las empresas crecen, sus áreas de tecnología se enfrentan a la necesidad de robustecer los equipos que las conforman y segregar diferentes funciones para afrontar los retos -que no son pocos- de forma ágil y efectiva. Por esta razón hoy vemos áreas de seguridad, infraestructura, cumplimiento, aplicaciones o redes que tienen prioridades y presupuestos independientes. El problema es que en muchos casos estas áreas no están completamente alineadas y proyectos de seguridad que afectan a las organizaciones de forma transversal, como la gestión de identidades privilegiadas (PIM, por sus siglas en inglés), se ven truncados o retrasados por la lucha de poderes. ¿Qué hacer entonces para vender al interior de la organización un proyecto de estos?.
Sin duda el punto de inicio debe ser entender los intereses de cada área, determinar cuáles son sus mayores preocupaciones e identificar puntos de afinidad. Desde el área de seguridad se debe hacer un mejor esfuerzo por comunicar las ventajas que trae a los otros equipos la implementación de controles sobre los usuarios privilegiados. A continuación algunos puntos que considero clave no dejar pasar.
¿Quién hace qué?
En un sinnúmero de organizaciones los accesos privilegiados se comparten y se utilizan contraseñas débiles para que varios usuarios la recuerden. Esto dificulta responsabilizar a alguien en particular de la realización de una actividad en los sistemas. Si los administradores no cuentan con credenciales únicas, los usuarios malintencionados y delincuentes pueden ocultarse detrás del anonimato proporcionado por una cuenta compartida. Adicionalmente, será mucho más difícil hacer análisis forense en caso de que una brecha sea detectada y se requiera conocer que usuarios pudieran estar siendo el origen de la amenaza.
Trabajo con terceros
Las herramientas que protegen las credenciales de los usuarios con privilegios (SA, Administrator, Root, etc) y gestionan sus perfiles, pueden delimitar las acciones que cada uno puede realizar; esto ayuda a los encargados de los sistemas en caso de requerir trabajar con un tercero y concederle acceso. Entregando credenciales con permisos específicos y un tiempo de vida limitado se asegura que el tercero realice acciones únicamente sobre los sistemas requeridos sin afectar otros aplicativos. Adicionalmente, grabando las sesiones se puede hacer una auditoría efectiva de las acciones que los terceros realizaron.
Tareas automatizadas y ágiles
Los controles de seguridad son comúnmente señalados como entorpecedores de las operaciones de los usuarios. Sin embargo, las soluciones de PIM ayudan a los equipos de tecnología a aumentar su productividad. No poder delegar las funciones y hacer manualmente procesos administrativos, que se puede automatizar, incluyendo solicitar permisos, renovar y mantener contraseñas o monitorear y grabar sesiones quita mucho tiempo que podría dedicarle a temas que generen mayor valor a su empresa. Es muy probable que la competencia esté pensando cómo mejorar sus procesos y volverse más productiva, mientras usted aún esta pensando en qué hacer con el proveedor que solicito una ventana de mantenimiento para tener acceso a la base de datos con el usuario SA.
