ciberseguridad, Endpoint Management, Just-In-Time, Risk Management

Just-In-Time ciberseguridad : el mito de la seguridad frente a la comodidad

Noviembre 2022

Con el aumento del trabajo a distancia, tener acceso a los recursos adecuados de una organización de manera oportuna y eficiente se está convirtiendo en una importante ventaja competitiva. Los empleados quieren sentirse capacitados y apoyados para trabajar de la mejor manera posible, y esto incluye tener un acceso fácil y rápido a los datos de sus empresas desde múltiples dispositivos y diferentes lugares. La mano de obra actual es ágil y flexible, lo que conlleva toda una serie de beneficios en materia de productividad y talento. Pero también significa que las empresas deben establecer los derechos administrativos correctos y garantizar que el personal tenga permiso para acceder a los datos que necesitan, cuando los necesitan.

El principio de la seguridad de acceso «Just-In-Time» (o «justo a tiempo») ha ganado popularidad recientemente entre los líderes empresariales, y es exactamente lo que su nombre indica: proporcionar acceso a los recursos de IT tan solo cuando se necesitan. En pocas palabras, este principio quiere decir que los usuarios tan solo deben tener privilegios para acceder a un sistema o recurso con el fin de realizar una tarea específica en el momento en el que lo necesiten.

¿Por qué «Just-In-Time»?

La forma en que debemos considerar la seguridad Just-In-Time (JIT) es como una práctica fundamental diseñada para ayudar a reforzar la seguridad, cumplir con la normativa y proporcionar a los usuarios el tan necesario acceso a los datos de su empresa.

Los empleados quieren poder trabajar desde múltiples dispositivos, acceder a los datos desde cualquier parte y, además, hacerlo de forma sencilla y eficiente. Aunque esto no sea ninguna sorpresa, en los últimos 18 meses hemos visto un importante cambio hacia el trabajo híbrido, y ahora una gran cantidad de organizaciones de casi todos los sectores lo están adoptando de una manera o de otra.

Sin embargo, uno de los mayores retos que vemos en materia de seguridad es que, cuando este acceso no está disponible o resulta complejo e incómodo, los empleados simplemente operan fuera de los parámetros informáticos. En ocasiones, los trabajadores sacrifican la seguridad por la facilidad de uso, lo que puede convertirse en un gran problema para las organizaciones. Por ello, las empresas deben abordar esta cuestión y garantizar que sus empleados tienen el acceso que necesitan, así como asegurarse de que entienden los riesgos cibernéticos.

Por otro lado, sigue siendo necesario que las organizaciones restrinjan el acceso a sus datos sensibles, por lo que encontrar el equilibrio puede llegar a ser una situación complicada. Ya sea a distancia o en las propias oficinas, ninguna empresa debería permitir un acceso total a la información sensible. Además, conceder demasiados privilegios a demasiados usuarios en todo momento expone a la organización a un riesgo mucho mayor de que las credenciales privilegiadas se roben, exploten y escalen para robar secretos, cifrar datos o paralizar sistemas. Conceder privilegios elevados solo cuando es necesario —ni más ni menos— reduce la exposición al mínimo, al mismo tiempo que permite a los usuarios llevar a cabo su trabajo de forma eficiente.

Un estudio reciente realizado por Oracle y KPMG señaló que el 59% de las empresas encuestadas sufrieron un ciberataque debido a que se compartieron o robaron credenciales privilegiadas. Como política general, la mayor parte de las empresas suele conceder a los usuarios demasiados privilegios, o demasiados accesos a recursos. Aunque desde un punto de vista operativo pueda tener sentido, desde el punto de vista de la seguridad no es una idea tan brillante. No obstante, si las empresas no restringen los privilegios con cuidado, el trabajo diario puede llegar a entorpecerse y a afectar a la productividad de los empleados.

Por este motivo, la seguridad de acceso Just-In-Time es una práctica fundamental para ayudar a reducir los privilegios de acceso superfluos, además de una herramienta clave en la aplicación del Principio del Menor Privilegio y los modelos de seguridad Zero Trust o «confianza cero». Como política, la seguridad Just-In-Time tiene como objetivo minimizar el riesgo de los privilegios permanentes para limitar el riesgo y la exposición a posibles ciberataques.

Este enfoque, en su esencia, aborda tres factores principales del acceso: la ubicación, el momento y las acciones. ¿Desde dónde está intentando acceder el usuario? ¿Está autorizado a trabajar durante ese periodo de tiempo? ¿Durante cuánto tiempo va a necesitar dicho acceso? ¿Qué está intentando hacer exactamente?

Los usuarios no informáticos también pueden estar protegidos por las soluciones de seguridad Just-In-Time. Los puestos de trabajo son una fuente constante de vulnerabilidades debido a las estafas de phishing y a la «fatiga de contraseñas» de los usuarios con demasiadas credenciales de acceso para demasiados sistemas. Sin embargo, la eliminación de las cuentas de administrador local puede causar dolores de cabeza a los usuarios con problemas y a los servicios de asistencia técnica ya de por sí sobrecargados. La gestión de privilegios en los endpoints permite a los usuarios elevar los privilegios para una aplicación o proceso específico sin necesidad de elevar los privilegios de sesión o de usuario. De esta forma los derechos de administración de los endpoints vulnerables se eliminan eficazmente.

En última instancia, el objetivo de la seguridad «justo a tiempo» es reducir a un mínimo absoluto el número de usuarios con privilegios elevados, la cantidad de privilegios que cada uno de ellos posee y el tiempo de duración de los mismos. Esto permite a las organizaciones mejorar su postura de ciberseguridad, facilitada por soluciones tecnológicas estratégicas, para minimizar las vulnerabilidades e impedir que los actores maliciosos avancen y se autoeleven los privilegios en la red.

La puesta en práctica de la seguridad Just-In-Time

El primer paso es auditar todos los privilegios de acceso de los usuarios de toda la empresa para determinar el alcance y la escala del problema. ¿Cuántos usuarios hay? ¿Cuáles son sus perfiles y a qué aplicaciones y sistemas suelen acceder? ¿Cuántas cuentas de usuario están inactivas? ¿Cuántos privilegios elevados se utilizan nunca o raramente?

A partir de las respuestas obtenidas, el siguiente paso sería establecer una política interna que defina los requisitos para que los usuarios puedan acceder a los sistemas de destino: ¿Qué funciones y equipos, en qué condiciones y durante cuánto tiempo se debe permitir el acceso? También habrá que recuperar el control de todas las contraseñas y credenciales a los sistemas de destino. La centralización de la gestión y la rotación de las contraseñas a las aplicaciones y los activos de IT es fundamental para garantizar una gestión integral de los riesgos y vulnerabilidades.

Una solución de gestión de accesos privilegiados es un primer paso sólido para proteger las «joyas de la corona» de la infraestructura de IT de toda organización. Este tipo de solución centraliza y agiliza el acceso seguro a los activos informáticos críticos, como los servidores de producción, lo que elimina el uso compartido de contraseñas de root y bloquea el acceso sensible. La elevación temporal de privilegios puede solicitarse según sea necesario para permitir a los usuarios humanos y máquinas realizar tareas ocasionales o ejecutar comandos privilegiados. El usuario tan solo tiene que enviar un ticket y solicitar que le eleven los privilegios para realizar una determinada acción durante un periodo de tiempo específico. Esto se lleva a cabo de forma segura gracias a la gestión de la elevación de privilegios y la delegación. Al conectarse a través de una solución de gestión del acceso privilegiado, la experiencia del usuario es perfecta y se facilita la productividad y la eficiencia a la vez que se verifica completamente la autorización para conectarse al servidor basándose en los principios Just-In-Time definidos en la solución.

¿Cómo aprovechar las ventajas?

Una vez que la gestión del acceso Just-In-Time se implementa en su totalidad, esta limita estrictamente la cantidad de tiempo durante la cual una cuenta posee privilegios y derechos de acceso elevados para así reducir el riesgo y la superficie de ataque. Las cuentas con privilegios solo se utilizan durante el tiempo necesario para completar una determinada tarea o actividad. Además, una vez que la tarea se ha completado, los usuarios, las cuentas y las sesiones no conservan los «privilegios permanentes». Con las soluciones de seguridad de acceso adecuadas se simplifica la elevación dinámica de privilegios y se garantiza que únicamente los usuarios correctos tienen los privilegios adecuados cuando es necesario y durante el menor tiempo posible.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Just-In-Time ciberseguridad : el mito de la seguridad frente a la comodidad

¿Por qué «Just-In-Time»?

La puesta en práctica de la seguridad Just-In-Time

¿Cómo aprovechar las ventajas?

El estado de la ciberseguridad en el comercio minorista: la mejor manera de defenderse

La protección de todos los accesos: un deber incuestionable de toda empresa

Artículos Asociados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca