Blog B-SECURE

Riesgos de no gestionar las identidades privilegiadas - PIM

Usuario

Las organizaciones se enfrentan hoy en día a enormes desafios de seguridad y crecientes presiones regulatorias que hacen mandatorio controlar y supervisar a sus usuarios privilegiados. Las cuentas de superusuario, como las de los administradores de bases de datos (DBAs), administradores de sistemas operativos (root), aplicaciones e infraestructura, han sido por lo general muy libremente gestionados, lo que implica un alto riesgo de destrucción, pérdida o robo de información confidencial de la empresa, daños malintencionados, multas o compromisos de la red.

Entender los riesgos a los que se enfrentan las empresas cuando no se realiza una efectiva gestión de identidades privilegiadas permite balancear los controles necesarios para mantener una operación segura sin afectar las funcionalidades y accesos rápidos y flexibles que requieren los administradores de plataformas.

Amenazas Avanzadas Persistentes (APT)

Como es bien sabido, (ver infografía paso a paso de un ciberataque) los ciberdelincuentes en este tipo de ataques establecen objetivos específicos y realizan un exhaustivo análisis de las personas que pueden actuar como su puerta de entrada a la red y lanzan ataques como spear phishing o utilizan ingeniería social para obtener las credenciales. Una vez adentro realizan movimientos laterales para intentar obtener más privilegios y control sobre sistemas importantes.

La protección frente a las amenazas actuales requiere de diferentes capas de protección para reducir el riesgo y acortar los tiempos de mitigación en caso de que ocurra una brecha. La gestión de identidades privilegiadas (PIM) en conjunto con otros controles permite realizar una protección exhaustiva contra las APTs pues reduce el potencial para aumentar privilegios en el caso de que una cuenta esté comprometida  y controlar sistemas o aplicaciones completas.

Usuarios malintencionados 

Desafortunadamente, las cifras de multiples estudios muestran que uno de los mayores riesgos para la seguridad de la información de las empresas recae en los “insiders”, constituidos principalmente por empleados actuales, exempleados, contratistas y proveedores actuales y del pasado. Le sorprendería la cantidad de casos en los que las cuentas no son deshabilitadas una vez las personas dejan de trabajar con la empresa y que son utilizadas para robar información o interrumpir las operaciones.

A esta problemática se debe adicionar que los accesos privilegiados usualmente se comparten y se manejan unicamente con contraseñas y esto presenta riesgos y dificultades adicionales. Por ejemplo, dificulta responzabilizar a alguien en particular de la realización de una actividad con privilegios. Si los administradores no cuentan con credenciales únicas, los usuarios malintencionados pueden ocultarse detrás del anonimato proporcionado por una cuenta compartida.

Auditoría y regulaciones

auditoria

Cada día vemos que más empresas en Colombia y toda Latinoamérica se ven expuestas a regulaciones como ley Sarbanes-Oxley (SOX) y el estándar de la industria de tarjetas de pago (PCI DSS). No son pocas tampoco las revisiones tanto de las áreas de auditoría y cumplimiento internas como de socios de negocios y en todas estas el control de las cuentas con privilegios está en la parte alta de la lista de aspectos que revisa el auditor.

Gran parte de la importancia que le dan estas regulaciones a este tipo de cuentas se debe a que pueden comprometer la integridad de los registros, pues tendrían la capacidad de eliminar los registros para borrar evidencia de sus acciones, ya sean estas malintencionadas o no, asi como extraer datos de los clientes o usuarios sin generar rastros de auditoria.

Topics: Identidad y acceso