Gestión de accesos privilegiados: Qué necesitas saber
Autor: Eduard BardajíLos accesos privilegiados dentro de una empresa son una fiesta, la fiesta del intercambio de correos y datos. Y no lo decimos porque sí, sino por conversaciones como esta:
Día 1:
-
Oye, la agencia de comunicación me pide acceso a estos datos pero yo no los tengo. ¿Puedes dárselos tú?
-
Sí, claro, ningún problema.
-
Gracias. De paso, ¿me puedes dar a mí y así dejo de molestarte?
-
Voy.
Día 2:
-
Perdona, ¿verdad que ayer pediste acceso a estos datos?
-
Sí, ¿por qué?
-
Porque también los necesito pero quien tiene que dármelos todavía no me los ha pasado. ¿Puedes hacerlo tú?
-
Ningún problema.
Día 3:
-
¡Nos han robado X datos!
-
¿Cómo es posible? Pero si sólo tenía acceso este empleado (miras quién tiene acceso) Ostras… no, también tiene acceso A, y B, y C, y D…
Una mala gestión de los accesos privilegiados es una de las principales causas de robo y pérdida de información dentro de tu empresa.
Qué son los accesos privilegiados
Para ponernos un poco en situación a pesar de que todos seguramente sabemos qué son los accesos privilegiados. Estos son los permisos que se da a una persona a información confidencial o datos sensibles de la empresa. Estos pueden ser: sólo lectura, de administrador (que puede modificar, dar acceso, es decir compartir, y editar la información) o de editor (que sólo puede editar y ver la información pero no la puede compartir).
Para una buena gestión de los accesos privilegiados es importante que asignes a un responsable, para evitar situaciones como las anteriores y que éste decida el tipo de permisos que se le da a un empleado para gestionar los archivos, datos, documentación e información sensible de la empresa.
Riesgos de los accesos privilegiados
Uno de los principales riesgos de los accesos privilegiados son el robo de información. Los ciberdelincuentes, mediante ataques de phishing, intentan averiguar las credenciales de acceso para obtener una determinada información.
Y dirás, pero si mis empleados no tienen acceso a la información, no ocurrirá nada porque no podrán obtener las credenciales. Por desgracia no es tan fácil como eso, sino que el siguiente paso de los ciberdelincuentes, si el plan A, por así decirlo, les falla, es pasar al Plan B conocido como la escalada de privilegios.
¿En qué consiste la escalada de privilegios?
Como su nombre indica podemos deducir que la escalada de privilegios es que los permisos de un empleado van aumentando dependiendo el tiempo que lleva en la empresa, las funciones que desempeña o si ha sido ascendido. Normalmente, en todas las empresas, se parte desde un punto. Es decir, todos los empleados tienen los mismos permisos de base, pero estos irán variando según lo que acabamos de comentar.
Teniendo en cuenta esto, el objetivo de los ciberdelincuentes será ir escalando para conseguir atacar a una persona que tenga el nivel de privilegios más alto dentro de la empresa. Para ello, encontramos dos tipos de escalada.
Escalada vertical
La escalada vertical consiste en acceder a un determinado sistema con una cuenta básica y, aprovechando por ejemplo, los exploits de seguridad, ir obteniendo nuevos privilegios dentro de ese mismo sistema hasta hacerse con un acceso completo, o como mínimo, conseguir el acceso necesario que le ayudará a poder llevar a cabo la siguiente fase.
Escalada horizontal
A veces ocurre que el atacante no puede escalar verticalmente el sistema. Si eso ocurre, lo que hace el ciberdelincuente es escalar horizontalmente. Para ello, lo que hace es intentar acceder a otro sistema de la infraestructura o a muchos otros. Piensa que obtener un acceso básico a un sistema ya puede permitir obtener información comprometida, al mismo nivel, a otros sistemas.
Uno de los principales objetivos de la escalada horizontal es encontrar una cuenta de usuario con privilegio que no se gestionen de manera específica, sino como el resto de cuentas de usuario. ¿Por qué? Porque de esta manera, el ciberdelincuente está desafiando la seguridad de las cuentas menos seguras y aprovechando la gestión inadecuada de los privilegios que están realizando las empresas.
¿Cómo llevar una gestión correcta de los privilegios dentro de una empresa?
Existen diversas medidas de seguridad que deberás llevar a cabo y tener en cuenta para una gestión correcta de los permisos de tus empleados, para garantizar la seguridad de tus datos sensibles.
Di no a la gestión manual de accesos y privilegios
Normalmente cuando hablamos de la gestión manual de privilegios, esto termina traduciéndose a un excel con cientos de claves y correos que: o bien pueden perderse o estar desactualizados o se pueden robar fácilmente, puesto que cualquiera puede tener acceso.
Asigna un responsable
Asignar un responsable que se encargue de la gestión de privilegios te ayudará a dormir tranquilo. Es importante que establezcas con él el tipo de privilegios que puede dar (dependiendo el tipo de empleado, su puesto de trabajo y sus funciones dentro de la empresa), para que así pueda gestionar los accesos de manera eficiente y dar privilegios a aquellos usuarios que de verdad los necesiten.
Política de contraseñas o credenciales
Asegúrate que todas las credenciales cumplen con un mínimo de seguridad, es decir, que tengan un alto nivel de seguridad. Para ello, no vale sólo pensar en la complejidad de la contraseña, sino que también se deberá tener en cuenta la implementación de accesos MFA, limitación de la vida útil de cada clave o la prohibición de reutilizar claves.
Descubre cómo de segura es tu contraseña
Ni se te ocurra tener un acceso privilegiado para todo
Sí, seguramente has escuchado que es positivo reducir el número de accesos privilegiados, siempre y cuando se mantengan y actualicen constantemente aquellos que son necesarios. Sin embargo, concentrar todos los privilegios en muy pocas cuentas hace que la exposición de esta sea mucho más peligrosa.
No te olvides de formar a tus empleados en ciberseguridad
Una de las principales asignaturas pendientes de las empresas es la formación de sus empleados sobre ciberseguridad. La concienciación de los peligros de la red y los ciberdelincuentes, así como, cómo detectar amenazas antes de que te afecten, es imprescindible para garantizar la seguridad de tu sistema e infraestructura.
Es por esto, que dese ESED hemos desarrollado una estrategia de ciberseguridad, ESED Defense, basada en tres pilares: ESED Attack, ESED Training y ESED control, para garantizar la seguridad de tu sistema.
Para más información, te dejamos el enlace a nuestro contacto directo.