Balancear el riesgo "BYOD" con la gestión de accesos privilegiados (PAM)

Las infraestructuras de TI modernas son diversas y complejas. El número de endpoints ha aumentado enormemente, y la proliferación del trabajo a distancia implica que los perímetros de seguridad de las organizaciones se han dispersado por todas partes. El incremento de las políticas BYOD – “Bring Your Own Device” (trae tu propio dispositivo) –, utilizadas en remoto por empleados y contratistas externos ha desempeñado un papel importante en la amenaza de la seguridad corporativa. Más endpoints funcionando bajo la norma BYOD son más caminos digitales hacia sistemas críticos que necesitan ser protegidas.

Asimismo, las empresas necesitan encontrar el equilibrio adecuado entre proteger su red y mantener abierto el acceso externo. Permitir BYOD conlleva un riesgo, pero también aporta más productividad y ahorro de costes en comparación con lo que sería el suministro de tecnología a todos los trabajadores externos por parte de la empresa. Un sólido entorno de seguridad de accesos que comprenda la gestión de accesos privilegiados (PAM) y la gestión de privilegios de los endpoints (EPM) puede proporcionar este balance, permitiendo una relación transparente y segura entre las organizaciones y los terceros.

Balancear el riesgo BYOD

BYOD lleva nuevos y variados dispositivos a la red de una organización. Los días en que las estaciones de trabajo fijas estaban protegidas por la seguridad interna de la empresa, dentro del propio edificio ya han pasado. Las organizaciones no tienen la misma visibilidad o control sobre BYOD que sobre los activos de la compañía. En el peor de los casos, un usuario remoto podría accidentalmente descargar un malware que secuestrase su dispositivo – y robase sus credenciales privilegiadas – para obtener el acceso remoto a los sistemas confidenciales e internos.

Sin embargo, para muchos negocios modernos, BYOD está aquí para quedarse, a pesar de sus potenciales riesgos. A diario, los usuarios externos podrían necesitarlo para:

  • trabajar desde casa u otro sitio
  • realizar trabajos puntuales de corta duración
  • acceder a los recursos durante horas no laborables
  • realizar tareas de mantenimiento a distancia

Ya no es posible almacenar los activos críticos en silos por región o aislarlos del mundo exterior. Esto es especialmente evidente en organizaciones geográficamente fragmentadas con complicadas infraestructuras de TI. Los fabricantes necesitan monitorear y administrar los sistemas de IoT conectados a medida que el IT y el OT convergen. Las organizaciones sanitarias requieren un mantenimiento experto de su equipo médico altamente sensible. Las empresas de todo el mundo necesitan adaptarse al rápido avance de la transformación digital. Por lo tanto, los riesgos de BYOD necesitan ser mitigados de la manera más eficiente posible.

Cuando se trata de recursos y redes modernas, se debe aplicar el concepto de ‘defensa en profundidad’. Hace referencia a cuando una empresa tiene múltiples capas de seguridad capaces de igualar la complejidad de su red corporativa. Una sola línea de defensa no es suficiente para protegerse del riesgo BYOD. Los sólidos marcos de seguridad de acceso que conforman el Privileged Access Management (PAM) y el Endpoint Privilege Management (EPM) pueden funcionar al nivel granular necesario para mantener seguros los recursos críticos.

Manejar BYOD con PAM

Las soluciones PAM aplican el Principio del Menor Privilegio (PoLP) para mitigar los riesgos de accesos externos. Tener una solución PAM robusta ayuda a reducir el daño potencial si un usuario BYOD se viera comprometido, asegurando que los usuarios sólo tengan acceso al número mínimo de recursos que necesitan para hacer su trabajo. Esto a su vez hace que los usuarios BYOD corran menos riesgos si su dispositivo y sus credenciales se vieran comprometidas.

Las soluciones PAM eficaces compartimentan a los usuarios BYOD y sus autorizaciones, lo que significa que ningún usuario puede realizar acciones no autorizadas, independientemente del dispositivo o del lugar desde el que acceda a la red. También permiten a los administradores de TI:

  • revocar el acceso de los usuarios cuando su necesidad expire
  • vigilar el acceso privilegiado de los usuarios en tiempo real y señalar o poner fin a las actividades sospechosas
  • administrar centralmente todos los privilegios, cuentas y usuarios de los sistemas
  • generar trazabilidad para la auditoría de toda la actividad a través de sesiones privilegiadas

BYOD puede facilitar el mal uso de los sistemas y de los datos, pero el PAM puede evitar que los usuarios privilegiados causen daños en la red. Una solución como el WALLIX Bastion hace del PAM una fuerza duradera y penetrante en los esfuerzos de seguridad y cumplimiento de las organizaciones. La Gestión de Privilegios de los Endpoints (EPM) en conjunto con una solución PAM proporciona la ‘defensa en profundidad’ necesaria para mitigar los riesgos BYOD.

Proteger BYOD en el nivel del Endpoint

Las soluciones Endpoint Privilege Management (EPM) como WALLIX BestSafe permiten cumplir el principio del menor privilegio en los endpoints de una organización. Los endpoints son los objetivos ideales para acceder a una red corporativa, especialmente los endpoints BYOD que se encuentran fuera del alcance de las medidas del perímetro de seguridad corporativo. En el pasado, las soluciones de ciberseguridad se basaban en la protección de las vulnerabilidades conocidas, algo que ofrece poca ayuda contra amenazas nuevas o ataques de ‘día cero’ (zero-day attack). Los vectores de ataque evolucionan y cambian tanto que las defensas deben ser proactivas en lugar de reactivas.

El Endpoint Privilege Management tiene como objetivo proporcionar una defensa de tipo “sistema inmunitario” para los Endpoints de una organización. El EPM sigue el modelo de ciberseguridadconfianza cero, deteniendo y evaluando cualquier dispositivo que no sea parte del “organismo anfitrión”. Cuando se trata de BYOD, no se le ofrece confianza automática a ningún dispositivo o usuario.

Las soluciones de EPM más potentes abordan los privilegios a nivel de proceso y aplicación, no sólo a nivel del usuario. Esto significa esencialmente que los procesos y aplicaciones sólo pueden ejecutarse con un conjunto preciso de privilegios en un contexto específico. Cuando los usuarios no pueden elevar sus privilegios por sí mismos, los procesos no pueden ser manipulados para realizar operaciones maliciosas. Por ello, los sistemas PAM y EPM ofrecen una mayor tranquilidad a las organizaciones, y a las terceras partes con las que trabajan.

Realizar los beneficios del PAM para los usuarios BYOD

Un entorno de trabajo transparente ofrece ventajas para todas las partes. El acceso a una red mediante una solución PAM permite a los usuarios BYOD contar con la confianza de que sus dispositivos cumplen los procedimientos y reglamentos de seguridad de su organización. Esto aporta la confianza mutua de saber que todos trabajan en sintonía, sin ralentizar la productividad ni alentar a los usuarios a utilizar alternativas o lagunas en el procedimiento de seguridad.

Por otro lado, los partners y trabajadores de terceras partes, su  elen necesitar herramientas colaborativas en su trabajo diario. Sin embargo, las empresas pueden ser reticentes a desplegar programas informáticos que abran un túnel de comunicación directo al centro de sus sistemas críticos. Las soluciones PAM, como el WALLIX Bastion, pueden conceder a dos usuarios el acceso a la misma sesión, garantizando al mismo tiempo la seguridad, la grabación y la confidencialidad de las contraseñas, incluso si un usuario utiliza un dispositivo personal.

Las soluciones PAM permiten a los usuarios BYOD el uso de un único login que les permita acceder a todos los recursos autorizados. Pueden conectarse a distancia sin problemas sin modificar su rutina y sin verse obligados a cambiar a nuevas herramientas de conexión, y ofreciendo una completa supervisión y trazabilidad de todas las acciones a la organización. Ambas partes también pueden trabajar a través de una conexión externa segura, como un portal HTTPS. Trabajar a través de una solución PAM ofrece tranquilidad a la organización anfitriona, al tiempo que demuestra responsabilidad y confianza por parte del usuario BYOD.

 

Hay que encontrar un equilibrio entre los beneficios de ahorro y productividad que ofrece el trabajo BYOD y la seguridad de accesos de una organización. Por eso es más vital que nunca que las empresas se protejan con fuertes soluciones de PAM y EPM. Estas soluciones permiten a los administradores de TI abrir de forma flexible la infraestructura a las conexiones externas, con total seguridad.

Aprenda más acerca de la teoría detrás de la seguridad de acceso y cómo se implementa descargando el libro blanco de WALLIX ‘Guía de Seguridad de Accesos para principiantes’.