Temas técnicos

¿Qué es la gestión de accesos privilegiados?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Privileged Access Management (PAM) facilita el acceso administrativo a través de su compleja infraestructura híbrida. PAM le permite identificar y gestionar identidades privilegiadas mediante controles de seguridad basados en identidades que aplican políticas dinámicas para reflejar los requisitos de acceso en tiempo real. La supervisión de la actividad de los privilegiados reduce el riesgo de infracciones y respalda las iniciativas de gobernanza y cumplimiento de normativas.

OpenText™ NetIQ™ Access Manager ayuda a su organización a implantar una estrategia de confianza cero de forma más eficaz y eficiente.

Con NetIQ Access Manager, puede:

  • Gestión de cuentas privilegiadas 
  • Aplicar controles de seguridad
  • Supervisar la actividad de los usuarios con privilegios
  • Informes y auditorías exhaustivos

Combata las brechas de seguridad con un mejor control de sus cuentas privilegiadas

En el equipo de NetIQ Identity & Access Management, creemos que "la identidad potencia la seguridad". Debe ocupar un lugar central en su toma de decisiones. Cubrimos todos los aspectos, desde el descubrimiento de privilegios hasta la supervisión de cambios y el seguimiento de actividades, pasando por la delegación de mínimos privilegios y el almacenamiento de credenciales. La clave es la identidad, que es vital para todo lo que hacemos.

Póngase en contacto con nosotros

Gestión de acceso privilegiado

¿Qué es una identidad privilegiada?

Los usuarios con una identidad privilegiada suelen tener algún tipo de acceso administrativo a datos críticos, sistemas o información sensible. Las identidades de este tipo incluyen empleados, consultores, socios, clientes, pero también pueden ser aplicaciones, servicios, cosas y dispositivos.


¿Qué es el Principio del Mínimo Privilegio (POLP)?

El principio de mínimo privilegio se refiere a conceder a una identidad sólo los derechos y privilegios que necesita para funcionar. Se necesita una forma sencilla y centralizada de gestionar y proteger las credenciales privilegiadas, así como controles flexibles para equilibrar los requisitos de ciberseguridad y cumplimiento normativo con las necesidades operativas y de los usuarios finales.


¿Quién es el usuario privilegiado?

Un usuario o cuenta privilegiada concede acceso y privilegios que superan los concedidos por las cuentas no privilegiadas. Entre los usuarios con privilegios se incluyen los gerentes/directores de TI, administradores de sistemas/base de datos o aplicaciones, desarrollo/ingeniería, auditores o consultores, ejecutivos de nivel C u otros ejecutivos. Estos usuarios tienen mayor acceso debido a su legado, habilidad o función.


¿Cuáles son las amenazas y los riesgos de incumplimiento en la gestión de los accesos privilegiados?

Los expertos calculan que hasta la mitad de las violaciones de la seguridad se producen como resultado de actividades internas. Las amenazas internas son especialmente graves cuando se asocian a empleados con privilegios de acceso superiores a los necesarios.

Tanto si el uso indebido de privilegios se debe a un error de un empleado como si es obra de un ciberdelincuente que ha aprovechado las credenciales de un usuario interno para acceder a su red de TI, la mejor forma de gestionar este riesgo es controlar y supervisar de cerca lo que hacen con su acceso los usuarios con privilegios, como los superusuarios y los administradores de bases de datos.

Tendencias como la nube híbrida, la movilidad, el big data, CIAM, IoT y la transformación digital introducen complejidad, nuevas amenazas y niveles de riesgo en torno a los privilegios. Las identidades son ahora mucho más que personas -también pueden ser dispositivos o cosas- y todas las identidades tienen algún tipo de privilegio.

Cada día, TI concede privilegios elevados a las identidades en nombre de la productividad, lo que conduce a tres tipos de riesgo en torno al acceso privilegiado: Amenazas externas, Amenazas internas e Incumplimiento. Todos estos tipos de cuentas son vulnerables, ya que tienen acceso a sistemas e información críticos, lo que, a su vez, expone a la empresa a riesgos.

Amenazas exteriores

Los hackers sofisticados dirigen los ataques de phishing a quienes tendrían un acceso elevado: ejecutivos, administradores de sistemas, gestores de redes, ingenieros y trabajadores de seguridad que tienen acceso a finanzas, propiedad intelectual, datos de clientes, fórmulas, procesos de fabricación, etc. Los piratas informáticos o los cazadores de amenazas pueden no ser conscientes de qué identidades tienen acceso a qué, pero buscarán activamente los riesgos de seguridad ocultos en cualquier red.Los atacantes que consiguen acceder a las credenciales de usuarios privilegiados pueden pasar desapercibidos durante meses mientras aprenden los sistemas de una empresa y deciden qué robar. Los hackers experimentados también tienen el potencial de piratear dispositivos/cosas huérfanos o privilegiados para obtener acceso administrativo. Pueden robar el contenido de bases de datos enteras y borrar fácilmente los registros para ocultar su actividad.

Amenazas internas

Las organizaciones también deben protegerse contra las amenazas internas, tanto maliciosas como accidentales. Tanto si es su intención como si no, los usuarios que han recibido o robado credenciales con acceso elevado podrían fácilmente hacer caer una red, exponer información confidencial y mucho más, lo que podría costar a la organización millones de dólares en pérdida de productividad, pérdida de ingresos y multas por incumplimiento. Hay casos conocidos de empleados o contratistas que realizan actos malintencionados, pero la mayoría de las circunstancias son el resultado de un error humano o de un descuido. Si la empresa no proporciona una buena experiencia de usuario y el acceso adecuado en el momento adecuado, incluso los usuarios privilegiados altamente técnicos y de confianza encontrarán la manera de hacer su trabajo, a veces a expensas de la seguridad. Las organizaciones deben saber quién o qué tiene privilegios y controlar lo que pueden hacer para minimizar el impacto.

Riesgos de incumplimiento

Existen muchas normas de cumplimiento en torno al acceso a los datos, como GDPR, HIPPA y PCI, y se espera que se introduzcan más en los próximos años. La mayoría de estas normas son descriptivas, no prescriptivas, lo que hace que la aplicación de las políticas esté abierta a la interpretación. Cuando una política está abierta a la interpretación, se expone intrínsecamente al riesgo. La normalización de las políticas garantiza que se cumplan las partes de seguridad y gestión de identidades de una estrategia de cumplimiento. A medida que los requisitos de cumplimiento y gobernanza interna se hacen más estrictos y las auditorías más duras, las organizaciones también se ven presionadas para encontrar un equilibrio entre mantener la productividad de las personas y aplicar controles de seguridad basados en la identidad. Muchas buscan soluciones rápidas para mitigar la cantidad de riesgos a los que se enfrenta su organización, con la capacidad de demostrar a los auditores que han implantado las normas necesarias.

Los activos más importantes de una organización deben estar protegidos por identidades privilegiadas y políticas de acceso que den acceso a las personas adecuadas en el momento adecuado. La mayoría de las organizaciones ignoran los problemas de privilegios, no saben por dónde empezar o solo utilizan procesos manuales.


¿Por qué es importante la gestión de accesos privilegiados?

Los responsables de TI son conscientes de que una de las formas más rápidas e impactantes de reducir el riesgo es gestionar mejor sus identidades privilegiadas (también conocidas como superusuarios). La mayoría de las infracciones implican el acceso a credenciales privilegiadas, ya que proporcionan acceso ilimitado a sistemas y datos, lo que crea un importante problema de seguridad y cumplimiento. Gestionar eficazmente el acceso de aquellos usuarios que tienen la capacidad de hacer el mayor daño -maliciosa o accidentalmente- es un paso lógico para asegurar su organización.


¿Cómo puede proporcionar visibilidad y control de las actividades de los usuarios con privilegios?

La mayoría de las infracciones implican el acceso a credenciales privilegiadas, ya que proporcionan acceso ilimitado a sistemas y datos, lo que crea un importante problema de seguridad y cumplimiento.

Aunque las cuentas privilegiadas son imprescindibles, son difíciles de gestionar porque las herramientas nativas rara vez son capaces de hacerlo correctamente. Las identidades privilegiadas se encuentran en todas partes dentro de una organización y las normas de seguridad son diferentes en casi todas las circunstancias. Encontrarás privilegios en aplicaciones, servicios, servidores, bases de datos, dispositivos, cosas, etc. 

También se carece de información sobre los usuarios, las dependencias y la actividad de las cuentas con privilegios. A menudo, los privilegios se comparten entre varias personas, por lo que es casi imposible para TI responsabilizar a nadie de las acciones realizadas. Además, la mayoría de las organizaciones son incapaces de extender sus actuales políticas de autenticación o autorización a plataformas como Linux o UNIX o a servicios en la nube. 

Para minimizar los riesgos asociados a los privilegios, las organizaciones deben superar varios retos, como gestionar, proteger y mitigar todos los accesos privilegiados.

Gestión de credenciales privilegiadas

Muchas organizaciones de TI confían en procesos administrativos manuales, intensivos y propensos a errores para gestionar el acceso de credenciales privilegiadas. Se trata de un enfoque ineficaz, arriesgado y costoso. En un entorno híbrido complejo, descubrir todas las identidades con derechos elevados puede ser difícil, y a veces casi imposible. Por ejemplo, Microsoft Windows, el sistema operativo más utilizado, permite tener cuentas de servicio, que son ejecutadas por sistemas y aplicaciones, no por personas. 

Las cuentas no son sólo para las personas. Las pueden tener los sistemas, los dispositivos o los sensores IoT de las máquinas. Cualquier cosa que tenga acceso a sistemas críticos es una cuenta privilegiada y, a veces, las cuentas privilegiadas se duplican dentro de cada sistema (Windows, Linux, UNIX, etc.) al que deben acceder. Aunque es normal tener un gran número de cuentas privilegiadas, la mayoría de las organizaciones tienen muchas más de las que necesitan. Además, a medida que cambian las identidades, no siempre se siguen los procesos para reaprovisionar los derechos de acceso.

Muchas organizaciones ni siquiera se dan cuenta de cuántas cuentas privilegiadas tienen o de que tienen cuentas vacías o huérfanas que están esperando a ser explotadas. OpenText™ La solución segura y flexible de NetIQ™ Privileged Account Manager permite la gestión centralizada de cuentas de administrador en cualquier entorno de TI híbrido con facilidad. .

Funciones y responsabilidades seguras

La aplicación real de una estrategia de gestión de privilegios es un gran reto en un entorno híbrido complejo. A medida que las organizaciones crecen, descubren que sus sistemas no proporcionan los controles de acceso necesarios que las organizaciones necesitan en torno a los usuarios con privilegios a medida que escalan. Incluso los mejores procesos y políticas no importan si no se puede automatizar su aplicación de forma coherente y eficaz. 

Para ayudar a satisfacer los requisitos de cumplimiento y gobernanza, la mayoría de las organizaciones deben contar con controles de acceso adaptables porque se enfrentan a algo llamado "privilege creep". Esto ocurre cuando las personas cambian de funciones dentro de la organización, pero los nuevos privilegios simplemente se amplían para reflejar las necesidades actuales, en lugar de eliminar los que ya no son necesarios. 

Las organizaciones suelen tener dificultades para controlar eficazmente el acceso de los usuarios con privilegios a las plataformas en la nube, las aplicaciones SaaS, las redes sociales, etc., lo que genera riesgos de cumplimiento y complejidad operativa. Es importante aplicar el principio del mínimo privilegio a cualquier usuario con privilegios. 

Compartir contraseñas o proporcionar demasiado acceso de nivel raíz a sistemas críticos amplía la superficie de ataque y aumenta la complejidad del sistema, lo que dificulta la detección de intrusos. La mayoría de los usuarios sólo necesitan un subconjunto de derechos administrativos para hacer su trabajo, pero como las herramientas nativas pueden no permitir un control granular, los usuarios obtienen privilegios administrativos completos por defecto. Esto significa que ahora tienen más privilegios de los que necesitan, creando un riesgo innecesario y potencialmente una pesadilla de cumplimiento. 

Mitigar y rastrear la actividad privilegiada

Una vez establecidos los controles, las organizaciones deben realizar un seguimiento de la actividad privilegiada y supervisarla a lo largo de todo el ciclo de vida de la identidad para identificar posibles amenazas, remediarlas en tiempo real y garantizar auditorías sin fisuras. Intentar hacer esto manualmente puede dar lugar a errores, consumir mucho tiempo y ser casi imposible de gestionar, ya que los requisitos de acceso cambian con el tiempo y constantemente se aprovisionan nuevas identidades. Esta no es una forma eficiente ni sostenible de gestionar identidades privilegiadas, especialmente para grandes organizaciones de TI con entornos híbridos complejos. 

Muchas organizaciones recurren a certificaciones de acceso o atestaciones periódicas como parte de su estrategia interna de gobierno de identidades, pero normalmente también son procesos manuales para TI. Y es probable que no estén rastreando y registrando toda la actividad privilegiada. 

Las organizaciones necesitan una forma de detectar el uso indebido de privilegios y detenerlo inmediatamente, sin esperar a que se produzca una auditoría o un incidente para iniciar la investigación. Cada organización debe tener una estrategia para mantenerse al día con el acceso privilegiado para minimizar el riesgo de incidentes de red, auditorías internas y externas fallidas, multas por incumplimiento y el riesgo añadido de una brecha.

Todos estos retos podrían dar lugar a una auditoría dolorosa o proporcionar una apertura ideal para que la exploten los intrusos. Las organizaciones deben tener la capacidad de automatizar la identificación de los privilegios excesivos y revocarlos o ajustarlos cuando ya no sean necesarios.


¿Cuáles son algunas de las mejores prácticas de gestión de accesos privilegiados?

Gestionar el acceso de aquellos usuarios con potencial para dañar a su organización, ya sea de forma maliciosa o accidental, es clave para garantizar la seguridad de su organización. Puede reducir el riesgo y la complejidad siguiendo estos pasos: Descubrir, Controlar y Supervisar.

Descubrir identidades privilegiadas

Obtenga una base completa de las identidades privilegiadas y sus dependencias

El primer paso en la gestión de privilegios es saber qué identidades (usuarios, servicios, dispositivos, cosas, etc.) tienen acceso elevado y qué dependencias existen, de modo que tenga la información que necesita para simplificar e implementar políticas. Descubra las identidades privilegiadas y sus dependencias para establecer una línea base de identidades privilegiadas.

Descubrir cuentas y servicios privilegiados

¿Quién y qué tiene privilegios elevados en las aplicaciones y servicios de su entorno? ¿Corre el riesgo de no superar una auditoría por tener demasiados administradores?

Identifique todas y cada una de las dependencias

¿Cómo dependen todas mis identidades privilegiadas entre sí o de los servicios? ¿Cómo asegurarse de no eliminar servicios durante un proceso de limpieza o simplificación?

Detectar políticas de grupo no esenciales o huérfanas

¿Tiene cuentas o políticas de grupo huérfanas?

Privilegios de control

Implantar una gestión de privilegios basada en identidades para reducir riesgos

Al implantar la gestión de privilegios basada en identidades, el control reduce el riesgo, aplicando políticas para ajustar los privilegios en función de los atributos en tiempo real. El principio del "menor privilegio" garantiza que todo el mundo tenga el acceso justo para hacer su trabajo (ni más, ni menos).

  • ¿Puede aplicar la delegación de privilegios mínimos?
  • ¿Dispone de capacidades de puente AD para ampliar la autenticación a recursos en Windows y en la nube?
  • ¿Desea eliminar los nombres de usuario y contraseñas codificados mediante el almacenamiento de credenciales?
  • ¿Puede disponer de autenticación multifactor para los accesos privilegiados?
  • ¿Utiliza el aprovisionamiento adaptativo de atributos?
  • ¿Cómo se gestionan las sesiones privilegiadas?
  • ¿Qué ocurre con la gestión de directivas de grupo? ¿Cómo se gestiona el aprovisionamiento de licencias de Office 365?
  • ¿Necesita una delegación raíz UNIX?
  • ¿Cómo se gestiona el acceso privilegiado con la automatización del trabajo inmediato?

Supervisar la actividad privilegiada

Detectar cambios y realizar un seguimiento de la actividad privilegiada para apoyar la gobernanza y el cumplimiento de la normativa.

Se identifican los cambios y se realiza un seguimiento de la actividad de los privilegios para apoyar la gobernanza y el cumplimiento. Una vez establecidos los controles, supervise los cambios y la actividad de los privilegios a lo largo de todo el ciclo de vida de la identidad para identificar posibles amenazas y garantizar la gobernanza y el cumplimiento.

Control de cambios no autorizados

¿Cómo se descubren los cambios realizados al margen de la política? ¿Recibe alertas cuando se ha realizado un cambio no autorizado?

Identificar las amenazas y cerrar el acceso

¿Puede identificar el abuso de privilegios en tiempo real? Una vez detectado el abuso de privilegios, ¿cómo se ataja?

Generar informes para los auditores

¿Puede acceder a los registros de toda la actividad de sus usuarios con privilegios? ¿Le resulta fácil cumplimentar los informes de certificación?


¿Por qué NetIQ para la gestión de accesos privilegiados?

  • Metodología probada de descubrimiento, control y seguimiento
  • Visibilidad de todo el ciclo de vida de la identidad privilegiada
  • Granularidad de privilegios inigualable con nuestro modelo ActiveView
  • Amplia gama de sistemas y aplicaciones compatibles
  • Mejor experiencia con la supervisión no intrusiva de sesiones privilegiadas
  • Automatización del flujo de trabajo integrada, segura, eficaz y coherente
  • Cobertura de un único proveedor en todo su entorno híbrido
  • Reducir el tiempo necesario para las auditorías y los informes de certificación

Empiece hoy mismo

Combata las brechas de seguridad con un mejor control de sus cuentas privilegiadas.

Póngase en contacto con nosotros

Notas a pie de página