¿Qué es el principio de privilegio mínimo?
El Principio de privilegio mínimo (PMP o POLP) establece que una cuenta de usuario determinada debe tener los exactos derechos de acceso necesarios para llevar a cabo las responsabilidades de su papel, nada más, nada menos. El Principio de Mínimo Privilegio es un concepto fundamental en la gestión de identidades y accesos.
El privilegio mínimo se basa en la idea de que los derechos de acceso otorgados son un equilibrio entre muy poco y demasiado. Un empleado no puede completar su trabajo sin los requisitos mínimos de acceso a aplicaciones y directorios para realizar su tarea, pero darles acceso innecesario crea riesgos de cumplimiento y seguridad.
La noción de privilegio mínimo es esencial para evitar la recopilación continua de derechos de acceso no verificados durante el ciclo de vida de una cuenta de usuario. (El «Ciclo de vida de la cuenta de usuario» define las etapas de la gestión colectiva de cada cuenta de usuario a lo largo del tiempo: creación, revisión/actualización y desactivación).
Esta acumulación gradual se conoce comúnmente como «aumento de privilegios» o «escalada de privilegios». Estas vulnerabilidades de seguridad de la información suelen coincidir con ascensos, cambios de funciones, reasignaciones o reorganizaciones completas. Sin embargo, los riesgos del acaparamiento de acceso se extienden más allá de los empleados con cuentas de servicio. (Las cuentas de servicio son cuentas de usuario especiales asignadas a aplicaciones o servicios que se ejecutan en segundo plano en su entorno informático).
Los derechos de acceso se acumulan con el tiempo
Las cuentas de usuario requieren derechos y permisos de acceso, en función de las pertenencias a grupos asignadas, cuando se crean. Algunas cuentas de usuario conservan el mismo acceso a lo largo de su ciclo de vida, aunque el usuario ve cambios en su función, deberes o responsabilidades. Sin una revisión periódica, casi todas las cuentas de usuario corren el riesgo de acumular privilegios excesivos.
Los escenarios que requieren cambios de acceso para una cuenta de usuario incluyen:
Proyectos o asignaciones ad hoc
Cuando un empleado recibe un proyecto o asignación ad-hoc, es posible que necesite derechos de acceso adicionales. Los archivos y datos de proyectos relevantes se pueden almacenar en un recurso compartido o carpeta específicos. Ciertas aplicaciones o licencias (por ejemplo, Adobe) pueden ser necesarias para el proyecto.
Promociones, cambios de roles o reorganizacioness.
Estos cambios de estado más permanentes casi siempre resultan en la necesidad de un nuevo acceso. Incluso los empleados que solo se mudan geográficamente probablemente necesiten un acceso revisado a los edificios físicos y la infraestructura. Si los usuarios que se mueven jerárquicamente (o lateralmente) continúan trabajando con los mismos recursos que antes, es posible que necesiten derechos elevados. Por ejemplo, el acceso de «lectura» de un usuario estándar puede requerir una actualización del acceso de «lectura/escritura» de un administrador.
Eliminar el acceso: el segundo paso y el que se pasa por alto con mayor frecuencia
La asignación de permisos sigue siendo un proceso de dos partes: aprovisionamiento y eliminación. Cuando un empleado se muda a una organización y ve que sus derechos de acceso se actualizan, los que ya no son necesarios deben eliminarse. El acceso otorgado a un proyecto debe revisarse y eliminarse después de su finalización si el usuario ya no lo necesita. Sin embargo, con demasiada frecuencia la segunda parte queda sin respuesta.
Muchas organizaciones omiten estos pasos de revisión y reconciliación debido al esfuerzo laborioso y lento que requieren las auditorías y los ajustes manuales. Además, otorgar permisos excesivos simplemente por conveniencia a corto plazo sigue siendo una práctica común pero extremadamente riesgosa con el aprovisionamiento manual. Por ejemplo, una persona puede aprovisionar en exceso los derechos de administrador de un usuario normal para evitar el aprovisionamiento insuficiente, lo que posteriormente requeriría varias intervenciones manuales para darle acceso durante necesidades específicas.
Regalar las «llaves del reino» nunca es una solución inteligente. Sin revisión, su organización puede tener innumerables usuarios navegando por su entorno con privilegios avanzados. Las cuentas de servicio hacen que esta práctica de sobreasignar privilegios elevados sea particularmente problemática. Combinar demasiado acceso con la naturaleza histórica de las cuentas de servicio crea una situación peligrosa en caso de incumplimiento. Desafortunadamente, no hay un «establecer y olvidar» para facilitar las cosas cuando se trata de la gestión de identidades.
Consecuencias del aumento de privilegios sin control
El cumplimiento normativo, las infracciones de seguridad y la contaminación de la red son las tres consecuencias principales del aumento de privilegios y requieren esfuerzos de revisión y reconciliación.
Cumplimiento normativo / segregación de funciones (Segregación de funciones – SoDD)
Cuando se acumulan los permisos de acceso, los empleados corren un mayor riesgo de infracciones de cumplimiento relacionadas con el proceso de segregación de funciones. Este último aplica los frenos y contrapesos operativos que previenen el incumplimiento, el fraude y los errores al interrumpir un proceso entre empleados o entre unidades de negocio. La mayoría de las veces, esto conduce a la ejecución y verificación de múltiples procesos, lo que a menudo implica múltiples pasos de autorización.
Cuanto más tiempo permanece un empleado en una organización, más promociones y responsabilidades aumentan. Si su función se amplía con el tiempo, la proliferación de procesos y su verificación puede conducir a una violación de la segregación de funciones por defecto. Con los privilegios de cuenta acumulados, muchas violaciones de segregación de funciones se vuelven no intencionales, pero igualmente riesgosas para la organización.
Riesgos de seguridad
La acumulación de acceso sin control exacerba muchas brechas de seguridad. Una infracción compromete todo a lo que un usuario tiene acceso autorizado. El alcance de un intruso puede ser mayor de lo previsto o imposible de rastrear durante algún tiempo si los derechos de acceso anteriores no están actualizados.
Contaminación de la red / costes innecesarios
Cuando los usuarios acumulan acceso, transforman gradualmente el entorno informático en una enorme telaraña enredada. Si alguna vez ha pasado tiempo desenredando cables, sabe lo difícil que se vuelve desenredar rápidamente. Si su organización está sujeta a auditorías de terceros y revisiones de cumplimiento, el esfuerzo por desenredar manualmente su entorno requiere sentarse con las partes interesadas y los administradores para revisar a fondo todo su entorno.
Implementación de privilegios mínimos
La implementación de privilegios mínimos requiere auditar su entorno para actualizar los derechos de acceso y el uso restringido de cuentas privilegiadas. Las auditorías internas son cruciales para un control de acceso adecuado. Las soluciones automatizadas hacen cumplir los derechos de acceso configurados y brindan informes de inteligencia comercial para reducir drásticamente el esfuerzo de las revisiones manuales. Con estos informes, los gerentes y TI pueden mantener el acceso seguro y en cumplimiento de manera colectiva.
La implementación de privilegios mínimos requiere auditar su entorno para actualizar los derechos de acceso y el uso restringido de cuentas privilegiadas. Las auditorías internas son cruciales para un control de acceso adecuado. Las soluciones automatizadas hacen cumplir los derechos de acceso configurados y proporcionan informes de inteligencia comercial para reducir significativamente el esfuerzo de las revisiones manuales. Con estos informes, los gerentes y TI pueden mantener el acceso seguro y en cumplimiento de manera colectiva.
La limitación del acceso también debe imponerse con la actividad diaria. Siempre que los administradores necesiten usar sus permisos elevados, deben iniciar sesión en cuentas privilegiadas para hacerlo. Cuando la tarea esté completa, deben cerrar la sesión. En todos los demás casos, cualquier usuario debe utilizar sus cuentas más restringidas. La gestión de acceso privilegiado reduce el riesgo de negligencia humana, especialmente cuando se trata de datos confidenciales.