Sin duda el punto de inicio debe ser entender los intereses de cada área, determinar cuáles son sus mayores preocupaciones e identificar puntos de afinidad. Desde el área de seguridad se debe hacer un mejor esfuerzo por comunicar las ventajas que trae a los otros equipos la implementación de controles sobre los usuarios privilegiados. A continuación algunos puntos que considero clave no dejar pasar.
¿Quién hace qué?
En un sinnúmero de organizaciones los accesos privilegiados se comparten y se utilizan contraseñas débiles para que varios usuarios la recuerden. Esto dificulta responsabilizar a alguien en particular de la realización de una actividad en los sistemas. Si los administradores no cuentan con credenciales únicas, los usuarios malintencionados y delincuentes pueden ocultarse detrás del anonimato proporcionado por una cuenta compartida. Adicionalmente, será mucho más difícil hacer análisis forense en caso de que una brecha sea detectada y se requiera conocer que usuarios pudieran estar siendo el origen de la amenaza.
Trabajo con terceros
Las herramientas que protegen las credenciales de los usuarios con privilegios (SA, Administrator, Root, etc) y gestionan sus perfiles, pueden delimitar las acciones que cada uno puede realizar; esto ayuda a los encargados de los sistemas en caso de requerir trabajar con un tercero y concederle acceso. Entregando credenciales con permisos específicos y un tiempo de vida limitado se asegura que el tercero realice acciones únicamente sobre los sistemas requeridos sin afectar otros aplicativos. Adicionalmente, grabando las sesiones se puede hacer una auditoría efectiva de las acciones que los terceros realizaron.
Tareas automatizadas y ágiles
Los controles de seguridad son comúnmente señalados como entorpecedores de las operaciones de los usuarios. Sin embargo, las soluciones de PIM ayudan a los equipos de tecnología a aumentar su productividad. No poder delegar las funciones y hacer manualmente procesos administrativos, que se puede automatizar, incluyendo solicitar permisos, renovar y mantener contraseñas o monitorear y grabar sesiones quita mucho tiempo que podría dedicarle a temas que generen mayor valor a su empresa. Es muy probable que la competencia esté pensando cómo mejorar sus procesos y volverse más productiva, mientras usted aún esta pensando en qué hacer con el proveedor que solicito una ventana de mantenimiento para tener acceso a la base de datos con el usuario SA.