Inicio / Protege tu empresa / Blog / «Como Pedro por su casa»: ¿a quién dejas acceder a tus sistemas? (2/2)

«Como Pedro por su casa»: ¿a quién dejas acceder a tus sistemas? (2/2)

Publicado el 05/08/2015, por INCIBE
«Como Pedro por su casa»: ¿a quién dejas acceder a tus sistemas? (2/2)

En el post anterior vimos la importancia y los conceptos básicos de la gestión de accesos para identificar quién puede acceder a dónde y para hacer qué. En esta entrada vamos a presentar algunos mecanismos que la tecnología pone a nuestra disposición y cómo nos protegen.

Como se puede intuir, en un entorno tecnológicamente tan diverso y disperso como el que presentábamos, mantener las identidades actualizadas y acordes con las necesidades de cada sistema de nuestra red, cada aplicación, cada forma de acceso y cada perfil de usuario no es un asunto trivial.

Los mecanismos de gestión de acceso incluyen la tecnología, procesos y personas que permiten realizar de forma automatizada y coordinada las siguientes tareas:

  • proveer y gestionar las cuentas de usuario, identidades y contraseñas
  • administrar los flujos de trabajo para la aprobación de la creación, modificación, suspensión y eliminación de cuentas de usuario
  • la provisión, revocación, auditoría, etc. de roles y permisos
  • realizar auditorías e informes

En un principio la gestión de identidades utilizaba sólo servicios de directorio donde se asignaban y gestionaban: permisos, listas de control de acceso o similares, y perfiles. A medida que la complejidad de los sistemas, entornos y aplicaciones ha ido aumentando, las soluciones se han ido adaptando para automatizar otras tareas (gestión de contraseñas, gestión de cuentas y provisión de usuarios) e integrarse en los distintos entornos.

Las políticas de acceso para usuarios desde fuera del recinto de la organización han ido cambiando y adaptándose a los cambios tecnológicos. La generalización del uso de portales corporativos y páginas comerciales ha hecho que el acceso web se haya convertido en el más utilizado. En ese momento el usuario externo dejó de ser sólo el empleado, para incluir a otros colaboradores y al propio cliente.

El acceso web suele consistir en un plug-in instalado en el servidor web que intercambia información con el directorio y con servidores de autenticación y políticas. También, en muchos casos, proporcionan la funcionalidad de single-sign-on  que permite al usuario una vez autenticado acceder a distintas aplicaciones y recursos del entorno, sin tener que volver a autenticarse cada vez, conservando su contexto de seguridad.

Por otra parte el e-commerce ha permitido que se generalicen mecanismos de federación de identidades que permiten a empresas colaboradoras disponer de un único punto de autenticación y autorización, en ocasiones provisto por terceros. Estos mecanismos permiten al usuario disponer de una identidad portable, con sus permisos, que puede ser utilizada en varios sistemas y empresas.

Las empresas en pos de sus clientes han llegado a las redes sociales. Muchas mantienen sus perfiles, en Facebook o Twitter por ejemplo, como una puerta de entrada a sus servicios y como herramienta de marketing. Ahora la mayoría de las redes sociales permiten utilizar el perfil personal para acceder a servicios de otras empresas -convirtiéndose así en verdaderos proveedores de identidades-, es lo que se conoce como social login.

En el caso del uso de dispositivos personales para uso profesional, BYOD, algunas aplicaciones permiten una autenticación condicionada al dispositivo. Para ello se ha de realizar un registro previo de los datos de los dispositivos autorizados.

tipos de autenticación

Todas estas formas de acceso coexisten en nuestros entornos como medidas de protección de la integridad, disponibilidad y confidencialidad de nuestros recursos. Por otra parte la gestión de accesos trata con datos de usuarios por lo que está en juego también su privacidad.

Los mecanismos de gestión de accesos protegen a la empresa ante la pérdida o el robo de las credenciales de sus usuarios internos y externos. Muchas de las amenazas (phishing, spoofing, ataques de diccionario y de fuerza bruta, suplantación de identidad,…) a las que se enfrenta la empresa están relacionadas con la pérdida o robo, a menudo con engaños, de estas credenciales.

Los errores en la gestión de usuarios (permisos por exceso o no dar de baja a usuarios cesados, por ejemplo) y el uso inadecuado de las credenciales por los usuarios acreditados pueden dar lugar a serios problemas.

Otra fuente de amenazas es el no implementar las actualizaciones que solventan vulnerabilidades de los sistemas y aplicaciones. La explotación de estas vulnerabilidades podría permitir el robo de datos, concretamente de ficheros de credenciales de usuario con el consiguiente riesgo para los sistemas y aplicaciones afectados y la pérdida de reputación asociada.

Finalmente no hay que olvidar que también es una amenaza el uso inadecuado de las credenciales por los usuarios acreditados, de forma intencionada o por descuido, que da lugar a fuga de datos, a destrucción de información, indisponibilidad de sistemas, etc.

Todo esto conlleva además de importantes riesgos para la seguridad de la información y la privacidad de los usuarios afectados, graves consecuencias de pérdida de imagen para la empresa.

Muchas de estas situaciones se pueden mitigar con formación de los usuarios junto con una definición de políticas ajustada a los procesos de negocio y la adecuada configuración y gestión de accesos.

Es paradójico: los sistemas depositan su confianza en que los usuarios sabremos guardar nuestras credenciales de acceso, y los usuarios depositamos nuestra confianza en los sistemas para que las conserven y preserven de posibles fugas.

Definitivamente: ¡un buen control de accesos es esencial!

Etiquetas: 
Área de informática
Empresa
Protección clientes
Web
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones