PAM y el plan de ciberseguridad

En la primera parte de esta serie de dos artículos acerca de la planificación de la ciberseguridad hablamos sobre los elementos más importantes que toda empresa necesita incorporar a su plan de seguridad informática. En lo que respecta a esta segunda parte, analizaremos el papel de la Gestión del Acceso Privilegiado (PAM) en la planificación de la seguridad.

En la actualidad, las mayores ciberamenazas las representan aquellos que tienen acceso administrativo («privilegiado»), legítimo o ilícito, a los sistemas de una organización. Dichos usuarios privilegiados son capaces de acceder a los datos protegidos, instalar nuevos programas y actualizaciones de software e incluso realizar cambios en las configuraciones del sistema. En algunos casos, estos usuarios pueden invalidar la configuración de seguridad y luego ocultarlo. Por ello, es esencial estar al tanto de los accesos privilegiados para así lograr una planificación eficaz de la ciberseguridad.

Breve resumen acerca de PAM

Una solución PAM controla y monitorea las cuentas privilegiadas que pueden poner en riesgo sus datos, sistemas y empleados. 

PAM está formado por herramientas y políticas diseñadas para garantizar que el acceso privilegiado tan solo se concede a las personas adecuadas para los propósitos y periodos de tiempo autorizados. Una solución PAM es capaz de definir y aplicar políticas de acceso privilegiado, lo que implica que cada usuario puede tener diferentes privilegios. Por ejemplo, se puede conceder permiso a un usuario privilegiado A para que administre el servidor de correo electrónico, e incluso un libro mayor, mientras que un usuario privilegiado B puede tener derechos para añadir o modificar las cuentas de usuario del Sistema de Detección de Intrusos (IDS) pero no para resetear sus configuraciones actuales, y así sucesivamente.

Además, la solución PAM permite a sus administradores rastrear las acciones que un usuario privilegiado lleva a cabo y proporcionar una pista de auditoría inalterable de dichas actividades.

PAM permite la planificación eficaz de la ciberseguridad

PAM se ajusta a la planificación de la ciberseguridad al proporcionar los medios para asignar y revocar derechos de acceso privilegiado tanto a usuarios internos como externos.  Por lo general, un usuario privilegiado tiene la capacidad de configurar, modificar o eliminar los ajustes y cuentas en todos los sistemas sensibles de su organización, incluidos aquellos sistemas y dispositivos que constituyen sus defensas de seguridad: el firewall, el sistema IAM, el Sistema de Detección de Intrusiones, el SIEM, etc.

Con el fin de comprender mejor la importancia de PAM en una planificación de seguridad, analicemos la pregunta que planteaba el antiguo poeta romano Juvenal: ¿Quién vigilará a los vigilantes?» (realmente, su pregunta fue «Quis custodiet ipsos custodies?»).

¿Quién controla a los que gestionan la seguridad? O, mejor dicho, ¿qué sistemas se encargan de ellos?

Para que cada elemento que forma parte del plan de seguridad de una organización sea eficaz es necesaria la gestión adecuada y monitoreo de los usuarios privilegiados. Por ejemplo, normalmente un usuario privilegiado tiene la capacidad de configurar y modificar los sistemas que forman este plan, como el firewall y el SIEM, e incluso eliminar sus ajustes y cuentas. La siguiente tabla resume el papel de PAM en la planificación de la ciberseguridad:

Área de planificación Impacto en los usuarios privilegiados Papel de PAM
Elementos básicos de la seguridad (p. ej., firewalls, detección de intrusiones y SIEM) Los usuarios privilegiados pueden establecer y modificar las configuraciones de los sistemas clave.

Estos implementan políticas en sistemas determinados; como por ejemplo aquellos que necesitan cifrado, autenticación de dos factores, etc.

Establecer un control del acceso privilegiado a los sistemas de seguridad como SIEM.

Conceder y revocar el acceso a los usuarios privilegiados, incluidos los de terceros.

Colaboración con las partes interesadas internas

 

La colaboración dará lugar a decisiones sobre quién puede hacer qué en términos administrativos. Dicho proceso también resultará en la designación de roles de usuarios privilegiados. Implementar los roles de acceso privilegiado a través del proceso de colaboración.
Trabajo dentro de un marco El marco debe proporcionar especificaciones técnicas sobre quién tiene acceso privilegiado, qué es lo que puede hacer dicho usuario y por qué. Ejecutar las funciones del acceso privilegiado señaladas mediante el uso del marco.
Inteligencia de amenazas y evaluación del riesgo Tanto la inteligencia de amenazas como la evaluación del riesgo deben incluir aquellas amenazas que pueden atacar las vulnerabilidades en los backends, como por ejemplo cuando se roban datos y después se oculta dicho ataque al obtener acceso root. Implementar políticas de seguridad, determinadas mediante la evaluación de riesgos, que obliguen a controlar y monitorear a los usuarios privilegiados.
Comprensión de los factores de carácter normativo y la responsabilidad general

 

Muchos de los programas de conformidad, si no la mayoría, dependen de que la entidad controle el acceso privilegiado a los sistemas críticos. Un ejemplo sería la capacidad de configurar usuarios en los sistemas financieros y asignar derechos de uso, como la aprobación de pagos. Definir y aplicar las políticas de acceso privilegiado exigidas por los programas de conformidad, así como monitorear y proporcionar registros de auditoría de las sesiones de accesos privilegiados exigidas por los programas de conformidad.
Inicio de la planificación de respuesta a incidentes

 

Uno de los factores clave para lograr el éxito en el plan de respuesta a incidentes es saber quién hizo qué y cuándo. Si los responsables de seguridad no consiguen determinar qué es lo que ha ocurrido (y quién lo ha ocasionado), tardarán en solventar el problema. Proporcionar registros de auditoría actualizados de las sesiones de acceso privilegiado, permitiendo que los responsables de seguridad sepan qué es lo que ocurrió exactamente durante el incidente de seguridad.

Cómo contribuye PAM a la planificación de la ciberseguridad

Una solución PAM correctamente configurada y utilizada puede ayudar a los responsables de seguridad a implementar prácticamente todos los elementos de un plan de ciberseguridad, incluidos aquellos que no están directamente relacionados con el acceso privilegiado. Siguiendo con el tema de «¿quién vigila a los vigilantes?», PAM contribuye a la planificación de la ciberseguridad de la siguiente manera:

  • Permite que tan solo los usuarios autorizados puedan acceder a los servidores, dispositivos y aplicaciones. Además, rastrea cualquier software de terceros usado para gestionar el proceso de la planificación de la ciberseguridad y avisa a los administradores en caso de que se produzca un problema.
  • Monitorea la actividad de los usuarios individuales activos en la planificación de la ciberseguridad y rastrea sus sesiones. Todas las alertas de actividades sospechosas se proporcionan en tiempo real y se pueden configurar intervenciones automáticas para que surtan efecto en caso de que se infrinjan las políticas de acceso de los usuarios. Esto puede implicar la grabación de sesiones privilegiadas, accesibles en cualquier momento.
  • Define el acceso privilegiado, para que cualquier persona que forme parte de la planificación de la ciberseguridad pueda registrar y acceder a los recursos que necesite, en cualquier página web o red. Los administradores pueden conceder y revocar permisos de inicio de sesión según sea necesario. Las definiciones de usuarios optimizan el acceso cuando PAM supervisa múltiples sistemas.
  • Gestiona las contraseñas que son seguras. Estas pueden generarse, ocultarse o cambiarse cuando uno lo desee. Gracias a PAM, las contraseñas se gestionan automáticamente para que los administradores puedan centrarse en otras tareas y ser más productivos. Se protegen las credenciales administrativas sensibles y, en algunos casos, ni si quiera el usuario privilegiado las conoce.
  • Crea registros de sesiones privilegiadas auditables para que los administradores puedan observar la actividad pasada de determinados usuarios, asegurándose de que estos se responsabilizan de sus acciones, ya sean accidentales o deliberadas. Esta función de PAM permite buscar las grabaciones de las sesiones en caso de que se produzca un incidente.
  • Proporciona herramientas que analizan actividades y comportamientos relacionados con el plan de ciberseguridad. Si se produce un ataque, los administradores pueden observar las estadísticas y, a continuación, tomar decisiones con rapidez. Las sesiones remotas pueden terminarse instantáneamente como respuesta a determinadas secuencias de procesos, entradas de teclado, cadenas de caracteres o informes de eventos.

WALLIX para una planificación y respuesta sólidas en materia de ciberseguridad

La solución PAM de WALLIX ofrece simplicidad, eficiencia y facilidad de despliegue para poder llevar a cabo una planificación y respuestas sólidas en materia de ciberseguridad. El sistema es útil tanto para los administradores que proporcionan herramientas de gestión de usuarios y flujos de trabajo como lo es para los empleados que obtienen acceso privilegiado a todos los sistemas autorizados en un solo clic.

WALLIX es fácil de desplegar y elimina la necesidad de tener un agente de software específico para cada dispositivo o puesto de trabajo. En comparación con las soluciones de PAM tradicionales basadas en agentes, WALLIX Bastion requiere menos tiempo y dinero en lo que respecta a su despliegue, gestión y uso.

Tanto la gestión del acceso privilegiado como un plan de ciberseguridad viable optimizan sus defensas frente a un ataque. Prácticamente cada aspecto que forma parte de un plan de seguridad depende de PAM, ya sea directa o indirectamente.

 

¿Quiere ver la facilidad con la que se despliega una solución PAM para afianzar su plan de ciberseguridad?  ¡Póngase en contacto con nosotros y organizaremos una demostración en directo o una prueba gratuita de WALLIX Bastion!