Recomendaciones para una gestión de identidades eficiente
Si analizamos cómo ha evolucionado el desarrollo de la actividad laboral de las empresas, nos damos cuenta de que ha ido variando mucho con los años. El puesto de trabajo ya no es un lugar fijo donde un empleado desarrolla sus quehaceres diarios. Comerciales en busca de clientes, personal de salud que se desplaza hasta el paciente o el teletrabajo son actividades que requieren acceder en mayor o menor medida a recursos de la organización, como correo electrónico, software para la gestión de relaciones con los clientes o CRM, sistemas de planificación de recursos empresariales o ERP o cualquier otra herramienta interna, sin tener que estar presentes en el puesto físico ubicado en su oficina.
Por este motivo, en cualquier organización se plantea el dilema de permitir el acceso remoto y a la vez mantener un nivel óptimo de ciberseguridad. Para conseguirlo es recomendable contar con políticas de seguridad, cuyo cometido, entre otros muchos, será el de permitir, restringir, monitorizar y proteger los accesos, locales y remotos, es decir, establecer quién tiene permiso para entrar, identificar a estos usuarios de forma que se pueda verificar su identidad, y definir qué pueden y qué no pueden hacer.
Microsoft tuvo que hacer frente al mismo problema pues está formado por un gran número de trabajadores distribuidos alrededor del mundo. Aunque la mayoría de empresas no son del tamaño de los de Redmon, las recomendaciones que han seguido pueden ser de ayuda para cualquier organización, adaptándose siempre a las necesidades y capacidades de cada empresa. A continuación, os mostramos algunos aspectos en los que se han centrado para mejorar la gestión de identidades.
Protección de las cuentas de administrador
En cualquier tipo de empresa, los empleados con privilegios de administrador tienen los perfiles de usuario con permisos más elevados. Realizan tareas críticas imprescindibles para un óptimo funcionamiento de la organización, como aplicar parches de seguridad o gestionar los permisos de los demás usuarios. Proteger adecuadamente estos perfiles de usuarios con permisos de administrador es esencial para salvaguardar la seguridad de los sistemas de la empresa y la información que contienen o gestionan.
El primer paso será limitar el número de usuarios con este tipo de privilegios. Cuanto más reducido sea, menos posibilidades habrá de que alguno pudiera verse implicado en un incidente de seguridad. También definiremos las tareas en las que está permitido su uso, como por ejemplo actualizar un determinado software o llevar a cabo tareas de mantenimiento en la red interna. Limitaremos el uso de este tipo de usuarios a tareas puntuales, incluso aunque haya que habilitarlo y deshabilitarlo temporalmente, es decir, no debe ser utilizado de forma continua ya que, ante un incidente de seguridad, las consecuencias para la organización podrían ser muy graves.
Otro aspecto a tener bajo control es definir desde qué equipos es posible utilizar permisos de administrador. Lo ideal es utilizar un dispositivo específico para esa tarea concreta, que contará siempre con las últimas actualizaciones y parches de seguridad.
Doble factor en los sistemas críticos y usabilidad
No es seguro utilizar contraseñas como única medida para evitar accesos no autorizados, en particular a los sistemas críticos de la empresa, por varios motivos:
- Los ciberdelincuentes podrían descubrirlas, mediante campañas de phishing, por fuerza bruta utilizando listados con millones de contraseñas, créalos a medida, etc.
- Los usuarios podrían caer en la tentación de utilizar la misma contraseña para todos sus servicios, alguno de los cuales podría haberse visto comprometido.
- Es muy posible que la contraseña no cumpla los requisitos mínimos para ser considerada robusta y sea asequible para el delincuente con sus medios probar combinaciones hasta encontrarla.
Por ello, siempre que sea posible se debe utilizar un sistema de doble factor de autenticación incorporando, por ejemplo, un segundo factor biométrico, aunque sin perder de vista la usabilidad. Además, siempre que sea posible se deben reducir los flujos de trabajo que requieran la autenticación por medio de contraseña. Para ello se migrarán a un portal separado que requiera un doble factor de autenticación para acceder.
Gestión de identidades
Para Microsoft, el punto más importante: simplificar la gestión de privilegios. Los usuarios, deben tener únicamente acceso a la información y herramientas que les permitan desarrollar su actividad laboral. Hay que encontrar el equilibrio en la gestión de los privilegios de los usuarios, ya que una concesión de demasiados permisos pondría en riesgo la seguridad de la empresa. Por otra parte, otorgar pocos permisos a los usuarios también supone un peligro ya podrían solicitar más permisos de los necesarios con la excusa de agilizar el trabajo.
Otro aspecto a tener en cuenta es cómo se gestionan estos permisos. Pueden realizarse de forma individualizada, siempre y cuando el número de usuarios sea reducido, o si este número es amplio, gestionarlos en base a grupos. Por ejemplo, se pueden crear grupos por área de la empresa, como contabilidad, almacén, dirección, informática, etc. Cada uno de estos grupos tendrá los privilegios necesarios para desarrollar su trabajo. En caso de necesitar acceder a un nuevo recurso, se otorgará el acceso al usuario específico o se podría crear un nuevo grupo de usuarios.
También se establecen en las políticas de control de acceso apartados que contemplen la gestión de cuentas cuando hay cambios que afecten a las personas y las auditorías que verifiquen la vigencia de los permisos:
- que cuando un empleado cambia de grupo de usuarios no mantiene los privilegios que tenía con el grupo anterior;
- que se revisan cada cierto tiempo que los permisos concedidos son los necesarios;
- que se dan de baja a los usuarios cuando un empleado abandona la compañía.
De esta forma evitaremos que por descuido o intencionadamente se realicen accesos no permitidos a la información y las herramientas de la empresa.
Un sistema seguro que no permite realizar las tareas de trabajo diarias con fluidez no será aceptado por los trabajadores y terminará volviéndose inseguro. Microsoft concluye que combinando la seguridad con la experiencia de usuario se obtienen mejores resultados. Estas son las principales recomendaciones en cuanto a gestión de identidades. Aplícalas pero siempre en la medida idónea para tu empresa.