Todos tenemos cosas importantes que proteger, y que no queremos que alguien extraño o mal intencionado tenga acceso o control de estos elementos. En las empresas el escenario no es muy diferente y como está directamente relacionado a decisiones personales, debemos preguntarnos, quien tiene acceso a los activos, porque confiar en ellos, como mantener la confianza.
Las amenazas a la seguridad de la información, son inevitables y se involucra tanto a los empleados de confianza o socios que abusan o hacen mal uso de sus privilegios de acceso, como a los atacantes externos que usan la ingeniería social, o explotan vulnerabilidades para plagiar cuentas de acceso e ingresar a la red interna.
BeyondTrust, una compañía global de seguridad informática, afirma que la prevención a la fuga de información, requiere la “visibilidad” adecuada para permitir el “control” de los riesgos internos y externos. La plataforma de Administración de Accesos Privilegiados de BeyondTrust “PowerBraker” consta de tres soluciones principales: Enterprise password management, Endpoint least privileged, y Server privileged management.
Gestión de contraseñas empresariales
El uso de mejores prácticas para la administración de accesos privilegiados ha sido un esfuerzo constante de los expertos en seguridad, para reducir el abuso de credenciales privilegiadas (compuestas por nombre de usuario y contraseña), que proporcionan acceso y permisos a cuentas de dominio, aplicaciones específicas y sistemas, con derechos de acceso sin límites sobre los datos críticos en la empresa, dispuestas para el uso y desuso de empleados y muy apetecidas por los hackers.
Se recomienda el uso de contraseñas fuertes: cumpliendo reglas básicas, almacenarlas en un lugar seguro, rotarlas con regularidad y monitorear su uso. Sin embargo, llevar esto a la práctica no es sencillo, un empleado debe memorizar cada vez más contraseñas y esto conlleva a incurrir en riesgos, tales como: dejarlas guardadas en los sistemas, usar la misma en diferentes aplicaciones y almacenarlas en archivos electrónicos. La mayoría de soluciones para la administración de contraseñas tienen falencias para determinar si los sistemas que esas credenciales protegen son seguros, aumentando la brecha de seguridad. Sin una aplicación integral no se puede establecer una conexión entre la seguridad de credenciales y la seguridad del sistema.
Autor
Helman de Jesus Restrepo: Consultor de Seguridad de la Información en Multisoft.
Referencias:
Carlson Scott, Technology Fellow (2017, BeyondTrust, Inc.),
Https://www.beyondtrust.com/resources/education/whitepapers/Whatis Privilege Management and Where Do You Start?
https://www.beyondtrust.com/resources/education/white-papers/Privileged Password Management Explained (April 2017, BeyondTrust, Inc.)
https://www.beyondtrust.com/resources/education/white-papers/The-Five Deadly Sins of Privileged Access Management (BeyondTrust, Inc.)
Eric Cole, (2017, BeyondTrust, Inc.)
https://www.beyondtrust.com/resources/education/white-papers/It’s all About the Endpoint: Protecting and Enabling End Users with Least Privilege.