Integración PAM-ITSM: ¿cuáles son las buenas prácticas que deben aplicarse?

Según Forrester, el 80% de las brechas de seguridad implican credenciales comprometidas de cuentas privilegiadas, y estas pueden tener un gran impacto en el negocio de una empresa. No obstante, el riesgo que suponen estas cuentas se puede mitigar al integrar un sistema de gestión de accesos privilegiados (PAM) con una solución de gestión de servicios de tecnologías de la información (ITSM). Esta integración permite conservar la noción de aprobación para evitar que nadie (incluso las personas autorizadas) se conecte a las máquinas sin motivo y, además, también garantiza la trazabilidad de la gestión de las intervenciones de extremo a extremo. Estos principios de confianza cero (Zero Trust) y menor privilegio, unidos al sistema de gestión de incidentes ITSM, protegen firmemente los activos sensibles de la empresa, cerrando la puerta a los ataques y garantizando el cumplimiento de la normativa en materia de ciberseguridad.

Integración de PAM e ITSM: Gestión de incidencias justo a tiempo (JIT)

La gestión de los accesos privilegiados (PAM) es un subconjunto de la gestión de los accesos y las identidades (IAM) que se centra exclusivamente en la protección de cuentas y accesos privilegiados. Además, PAM forma parte de la estrategia global de ciberseguridad de las organizaciones al controlar, supervisar, proteger y auditar todas las cuentas privilegiadas en los entornos informáticos o industriales. También permite rastrear quién accede a los recursos y cuándo con el objetivo de controlar los niveles de privilegio de los usuarios. Todo esto se realiza a través de tres procesos clave: identificación, autenticación y autorización.

Las herramientas de gestión de servicios de IT (ITSM) son conjuntos de soluciones que integran sistemas de gestión de workflows para gestionar incidentes, solicitudes de servicio y/o cambios de configuración. Este conjunto de herramientas también incluye una base de datos que enumera y garantiza todas las configuraciones desplegadas en los activos de la empresa – CMDB (Configuration Management DataBase).

Por tanto, estas dos soluciones son muy útiles de forma independiente, pero es su estrecha integración lo que eleva el nivel de seguridad global. Por ejemplo, al integrar PAM e ITSM se puede rastrear las acciones en las máquinas concediendo acceso a un objetivo directamente a través de un ticket en modo Just-In-Time o justo a tiempo. Cada vez que un empleado quiera conectarse a un objetivo, este deberá justificar su solicitud de conexión antes de obtener una autorización por un periodo definido. De esta forma, se refuerza y traza de extremo a extremo la seguridad de los accesos.

Integración de PAM e ITSM: Mejor correlación de la información

Si las soluciones PAM acopladas a las soluciones IdaaS pueden gestionar las identidades, los accesos y las contraseñas de las cuentas privilegiadas, ¿cómo realizar el seguimiento de los accesos a los objetivos y los detalles de las intervenciones?

En muchas empresas se observa el aislamiento de las soluciones ITSM y PAM. Por un lado, la herramienta ITSM reconoce el incidente y enumera las solicitudes de intervención o de creación de nuevos servicios y, por otro, la solución PAM se centra en las personas identificadas y autorizadas para trabajar en estas solicitudes.

Su funcionamiento en silo, la falta de integración ITSM/PAM no permite validar y justificar las intervenciones y hace más complejo el análisis posterior al incidente, debido a la falta de trazas y pruebas.

Por lo tanto, todas las solicitudes realizadas en la solución PAM deben estar vinculadas a las que también se registran e integran en la solución ITSM. Gracias a la interacción de estas dos soluciones, todas las solicitudes de intervención son así declaradas y auditables desde el ITSM. Esta política permite utilizar las capacidades de la solución PAM, como WALLIX Bastion PAM4ALL, para rastrear los eventos y autorizar no solo a las personas que van a ejecutar la orden de intervención, sino también a aquellas que han autorizado esta operación, así como la motivación de la misma.

En caso de auditoría a raíz de un incidente, o de conformidad, es posible correlacionar la información relacionada con el evento y las acciones realizadas a través del número de ticket registrado en la herramienta ITSM. En este caso, los auditores podrán vincular una sesión ejecutada y comprender la validez (o no) de la solicitud original.

Para que esta política sea eficaz, se recomienda que tanto PAM como ITSM dispongan de una lista de activos sincronizada.

Coherencia entre ITSM, CMDB y PAM: Una protección adicional

Esta perfecta sincronización entre la base de datos de gestión de la configuración (CMDB) del sistema ITSM y la solución PAM desplegada resulta muy útil durante el análisis posterior al incidente para contar con rastros y pruebas.

También facilita la identificación de accesos fraudulentos a un objetivo, especialmente cuando los actores son subcontratados. Por otro lado, la asignación de la CMDB a los objetivos declarados en la solución PAM añade más protección ya que las sesiones remotas deben incorporar el mismo nivel de control, aprobación, seguimiento y supervisión que las sesiones internas.

Gracias al aprovisionamiento implementado en la solución PAM y vinculado a la CMDB, es posible verificar que un usuario identificado y autorizado está intentando conectarse al objetivo especificado en el ticket que se abrió previamente en el ITSM.

Esta coherencia entre CMDB, ITSM y PAM puede lograrse en diferentes etapas en función del nivel de integración que la empresa desee implementar:

El primer nivel de integración puede ser entre el sistema de tickets ITSM y el workflow de aprobación PAM4ALL Bastion. En este caso, el objetivo es establecer el vínculo gracias a un script dedicado que puede adaptarse automáticamente a los diferentes tipos de workflows en el lado ITSM. En efecto, como estos pueden ser diferentes si se trata de la resolución de un incidente o de la creación de un servicio, los workflows de aprobación del lado PAM deben tener en cuenta esta diferenciación. Dependiendo de su configuración, las aprobaciones también pueden ser automáticas o manuales, con soporte de autorización dinámica.
También es posible establecer un segundo nivel de integración estrecha entre la CMDB y PAM a nivel de recursos con llamadas API desde la solución PAM. En este caso, el aprovisionamiento de Bastion puede realizarse conjuntamente con la CMDB. Este nivel de integración añade un nivel de protección adicional, por ejemplo, comprobando que la persona que solicita la aprobación está rellenando un ticket en el lado ITSM que concierne al mismo objetivo al que desea acceder a través del Bastion.

Como acabamos de ver, las soluciones ITSM y PAM son altamente configurables por las empresas, es necesario construir un proyecto de integración en función de los objetivos estratégicos de cada organización: una integración ITSM/PAM estandarizada no existe como tal.

Cada empresa debe enumerar sus necesidades en términos de prioridad, determinar lo que es posible en el marco de su política de ciberseguridad, personalizar su configuración de autorización o prohibición, definir la automatización deseada, adaptar sus workflows de aprobación o delegación de IT y de negocio y, sobre todo, no descuidar la experiencia del usuario.

Por lo tanto, cada integración debe implicar, en sentido ascendente, a los equipos que gestionan el ITSM, a los que gestionan la solución PAM y, a menudo, al equipo devops que trabaja en los scripts.

Integrar tus soluciones PAM e ITSM, una buena práctica

El despliegue de una solución de gestión de accesos privilegiados (PAM) permite una supervisión sólida de los accesos privilegiados a las infraestructuras informáticas críticas. Para reducir el tiempo de análisis e investigación de los equipos de IT y de seguridad, una integración pertinente con una solución ITSM puede facilitar la tarea vinculándola a la gestión de incidentes o a la solicitud de creación de servicios. Se hace posible correlacionar la necesidad de intervención con las propias intervenciones.

De este modo, la visión de una acción es completa, desde la solicitud inicial cuando se crea el ticket en el sistema ITSM, pasando por el flujo de trabajo de aprobación, hasta el informe de tratamiento del incidente y la traza de vídeo proporcionada por la solución PAM: un elemento clave en caso de auditoría y en el contexto del cumplimiento de la normativa.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Integración PAM-ITSM: ¿cuáles son las buenas prácticas que deben aplicarse?

Integración de PAM e ITSM: Gestión de incidencias justo a tiempo (JIT)

Integración de PAM e ITSM: Mejor correlación de la información

Coherencia entre ITSM, CMDB y PAM: Una protección adicional

Integrar tus soluciones PAM e ITSM, una buena práctica

Contenidos relacionados

Guía para principiantes sobre seguridad de acceso