¿Qué es la Gestión de Cuentas Privilegiadas (PAM)?

La Gestión de Cuentas Privilegiadas se puede definir como la administración y auditoría de las cuentas y datos a los que acceden los usuarios privilegiados.

Un usuario privilegiado es aquel que tiene acceso administrativo a los sistemas críticos. Por ejemplo, cualquiera que pueda crear o eliminar cuentas de usuarios y roles en su base de datos Oracle es un usuario privilegiado.

Normalmente los privilegios se suelen otorgar a personas en las que confiamos. Con las cuentas con privilegios de root (como la capacidad de cambiar las configuraciones del sistema, instalar software, modificar cuentas o acceder a datos securizados) ocurre lo mismo: estas se atribuyen a los usuarios de confianza. No obstante, como dice el refrán: «hombre precavido vale por dos».

La Gestión de Cuentas Privilegiadas trata justamente de eso: incluso los accesos en los que confiamos deben ser controlados y monitoreados. Esta tecnología parte de que las empresas necesitan ser capaces de revocar privilegios en cualquier momento. Lo ideal sería que la mayoría de privilegios caducasen de forma automática, se revisasen periódicamente o se limitasen a aquellos que usuarios que los necesitan habitualmente.

Hacer todo esto de forma manual, dependiendo del tamaño y complejidad de su organización, o bien lleva mucho tiempo o bien es imposible.

Pero la temible realidad es que el robo y explotación de las cuentas privilegiadas es un factor de éxito crítico para los hackers en prácticamente todos los ataques avanzados, independientemente del origen del mismo. En pocas palabras, las cuentas privilegiadas constituyen la puerta de entrada a su fortaleza de TI. Olvídese de la típica frase de que «las personas son nuestro activo más valioso», ya que todos sabemos que son los datos los activos más importantes para prácticamente cualquier organización.

Cuanto más amplios y complejos sean los sistemas de TI de su organización, más usuarios privilegiados tendrá. Estos pueden ser tanto empleados como contratistas, remotos o in situ, humanos o automatizados.

¡Muchas organizaciones tienen más usuarios privilegiados que empleados!

El resultado es una explosión en el crecimiento del sector del software de la «Gestión de Cuentas Privilegiadas». De acuerdo con Gartner, este sector tiene una tasa de crecimiento anual del 33%.

¿Cómo funciona PAM?

PAM, o la Gestión de Cuentas Privilegiadas, protege a sus sistemas del uso incorrecto, ya sea accidental o deliberado, de sus cuentas privilegiadas.

PAM ofrece una forma segura y escalable para autorizar y monitorear las cuentas privilegiadas de todos sus sistemas. Este software le permite:

  • Otorgar privilegios a los usuarios únicamente en aquellos sistemas en los que estén autorizados.
  • Otorgar acceso tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
  • Eliminar las contraseñas locales/directas del sistema para los usuarios privilegiados.
  • Gestionar de forma centralizada el acceso a un conjunto de sistemas heterogéneos.
  • Crear una pista de auditoría inalterable para cualquier operación privilegiada.

Componentes de una solución PAM

Las soluciones de la Gestión de Cuentas Privilegiadas varían, pero la mayoría consta de los siguientes componentes:

  • Access Managergobiernan el acceso a las cuentas privilegiadas al proporcionar un único punto de definición y aplicación de políticas para la Gestión de Cuentas Privilegiadas. A través del Access Manager, los usuarios privilegiados pueden solicitar el acceso a un sistema. Este componente sabe a qué sistemas puede acceder un usuario y a qué nivel de privilegio. Un superadministrador puede añadir, modificar y eliminar cuentas de usuarios privilegiados en el Access Manager de un sistema centralizado, mejorando en gran medida la eficiencia y los niveles de conformidad.
  • Vaults de contraseñas: los sistemas PAM guardan las contraseñas en vaults seguros. Todo acceso al sistema se realiza a través de un vault de contraseñas. Por lo tanto, los usuarios finales nunca tienen un acceso directo a las contraseñas de root.
  • Session Managerlos Session Managers rastrean todas las acciones llevadas a cabo durante la sesión de la cuenta privilegiada para su futura revisión y auditoría. Es más, algunos sistemas pueden evitar acciones maliciosas o no autorizadas y, en caso de detectar actividades sospechosas, alertar a los superadministradores.

De acuerdo, me queda claro que PAM es importante. Pero ¿cómo debería llamarlo…

…Gestión de Cuentas Privilegiadas?

     …Gestión de Acceso Privilegiado?

          …Gestión de Usuarios Privilegiados?

Da lo mismo. Esta tecnología se suele denominar de todas las formas anteriores: desde «Gestión de Acceso Privilegiado» hasta incluso «Gestión de Sesiones Privilegiadas». Prácticamente todo quiere decir lo mismo.

Algunas personas lo llaman PSM o PxM… pero en WALLIX preferimos llamarlo simplemente PAM.

 

¿Le gustaría saber más sobre la Gestión de Cuentas Privilegiadas?

Descargue nuestro libro blanco de manera gratuita y podrá conocer los aspectos básicos de PAM y de otras herramientas de gestión de acceso: la Guía para principiantes sobre la seguridad de los accesos.