Administración de identidades y tratamiento de cuentas de usuario

Conexiones¿Cómo vemos esta gestión dependiendo de la complejidad de nuestro entorno productivo y de acuerdo a las necesidades del negocio de nuestra empresa?

Como primer paso es necesario conocer que el alcance para una buena gestión de identidades debe incluir en su proceso la creación, solicitud, autorización e implementación de altas, bajas y modificaciones de perfiles de trabajo y cuentas de usuario, considerando que el objetivo de esta gestión es establecer el marco administrativo que garantice la seguridad en el acceso tanto sobre la infraestructura de red como sobre las aplicaciones informáticas críticas.

Por ello, debemos fijar la normativa para aquellos procedimientos que incluyan implementaciones de tecnología o involucren la información y funciones críticas identificadas como tales por los propietarios de la información. De esta forma se aseguran los controles de seguridad adecuados para la identificación de usuarios, dispositivos y entidades que son dadas de alta, modificadas o removidas, el no-repudio, y soportar esquemas robustos de autenticación en los sistemas de nuestra empresa.

Para la creación de identidades es recomendable tener en cuenta los siguientes pasos de definición:

  • El nombre de los perfiles de trabajo y las descripciones de puesto, acordados entre las gerencias usuarias y recursos humanos.
  • La matriz inicial de perfiles de trabajo asociando para cada perfil, el menú de acceso a los sistemas y sus aprobadores, definido por el área de seguridad de la información y aprobado por la dirección.
  • Los perfiles de trabajo especiales, como los administradores, y el tratamiento de sus cuentas de usuario y permisos asociados.
  • Los perfiles de trabajo asociados a terceras partes, su inclusión en la matriz de accesos y la gestión de sus cuentas de usuario.
  • Gestión del proceso de actualización de la matriz de accesos, perfiles de trabajo o gestión de cuentas de usuario, acorde a cambios organizacionales u organizativos de las diferentes áreas de la compañía.

La matriz de acceso también debe definir para cada tipo de cuenta de usuario las características de bloqueo, objetivo de uso de la cuenta y autorizante de desbloqueo en caso de que la cuenta se inhabilite, ya sea automáticamente por intentos fallidos de acceso, como por inactividad o como acción previa a una posible baja.

Los perfiles de trabajo están conformados por dos clases de cuentas: nominales (asociadas a una persona de la nómina de la empresa, por ejemplo, RLOPEZ), o genéricas (asociadas a servicios o cuentas por omisión de los fabricantes, por ejemplo, GUEST o ADMINISTRATOR; o bien las creadas para servicios de interfaz, monitoreo, etc.).

Otro uso que suele darse a las cuentas genéricas es utilizarlas con una nomenclatura de identificación y con correlatividad numérica para asignarse a proveedores que realizan actividades consultivas o de servicio específico, tales como soporte técnico. Estas cuentas están asociadas a una persona física (el consultor) y son custodiadas por un responsable en la compañía (el responsable de la contratación).

Dentro de estas clases de cuentas de usuario contamos con los siguientes tipos, que deben cumplir con la asignación de los niveles de acceso de lectura o grabación de archivos, menú de aplicaciones y recursos de la red otorgados:

  • Cuentas “Administrador”, o de altos privilegios, para la administración de la red y sus recursos
  • Cuentas “Mantenimiento”, provista por los fabricantes de software y hardware en caso de soporte
  • Cuentas “Servicio”, asociadas a la ejecución de interfaces y monitoreo
  • Cuentas “Por defecto”, creadas por el fabricante para ejecutar procesos internos del sistema (por ejemplo, QUSER) y que no pueden ser gestionadas, o bien aquellas creadas automáticamente durante la instalación y que luego deben ser bloqueadas o eliminadas (por ejemplo, GUEST)

Cuando se defina el proceso de gestión de identidades, se debe tener especial cuidado en dejar claro cuál va a ser el motivo y alcance de otorgar permisos excepcionales o identidades múltiples, teniendo en cuenta que ante una solicitud de este tipo habrá que justificar por escrito los motivos y será necesario contar con la aprobación de quien se haya definido como máximo aprobador (que normalmente recae en el gerente de Auditoría o contralor) y el aval del área de seguridad de la información.

Cuando se otorgan estos permisos especiales, debe hacerse por un periodo acotado de tiempo especificado en la solicitud y configurado técnicamente al crear la cuenta u otorgar el permiso, para que en la gestión no solo se realice un control administrativo, sino que se pueda establecer la caducidad del permiso o bloqueo de la cuenta en forma automática.

De igual forma, las cuentas de usuario temporarias (por ejemplo, de contratistas) se recomienda que sean creadas con un plazo de expiración analizado en conjunto entre la gerencia usuaria involucrada en la contratación para el cual se requiere la cuenta de usuario y seguridad de la información.

Otras consideraciones a tener en cuenta en la definición de identidades y relacionado con las cuentas de usuario son:

  • Establecer una política de contraseñas de acuerdo a las mejores prácticas de seguridad y luego teniendo en cuenta el uso de la cuenta. Por ejemplo, si bien las cuentas deben tener configurada la caducidad de contraseñas, esto no podría aplicarse a cuentas de servicio, por lo que para ellas se deberán establecer medidas mitigantes, como por ejemplo que no tengan posibilidad de firmarse más de una vez o desde equipos no autorizados.
  • Acordar una definición de tratamiento para las cuentas que estén involucradas en acciones sospechosas o incidentes.
  • El proceso de actualización de identidades y el control para cada cuenta de usuario asociada, ya sea por cambios organizacionales, funcionales del puesto o cambio de funciones de la persona que ocupa el puesto.

Establecer estas pautas de gestión en la utilización de identidades nos aporta un orden que asegura un acceso a la información cuidando su confidencialidad e integridad, además de sentar las condiciones que los usuarios deben asumir como compromiso para el uso apropiado de la información, así como de los sistemas y servicios tecnológicos acordes a las funciones que le han sido asignadas.

[email protected]

 

Fabián Descalzo, COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead Auditor ISO/IEC 27001

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Deloitte & Co., con 28 años de experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información. Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN), auditor ISO 20000 (LSQA-Latu), IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 y Lead Auditor ISO/IEC 20000 TÜV Rheinland. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.