CIS Control 6: Gestión de Control de Acceso

El Centro para la Seguridad en Internet (CIS) publica Critical Security Controls que ayudan a las organizaciones a mejorar la ciberseguridad. En la versión 8, el Control 6 aborda la gestión del control de acceso (en versiones anteriores, este tema estaba cubierto por una combinación del Control 4 y el Control 14).

El Control 6 ofrece las mejores prácticas sobre la gestión de accesos y describe las pautas de seguridad para la gestión de privilegios de usuario, especialmente el uso controlado de privilegios administrativos. Las mejores prácticas requieren asignar derechos a cada usuario de acuerdo con el principle of least privilege — cada usuario solo debe tener los derechos mínimos necesarios para realizar sus tareas asignadas. Esto limita el daño que el propietario de la cuenta puede hacer, ya sea intencional o accidentalmente, y también minimiza el alcance de un atacante que toma control de una cuenta.

Lamentablemente, las organizaciones tienden a otorgar a las cuentas más privilegios de los que necesitan porque es conveniente — es más fácil agregar una cuenta al grupo de Administradores locales en una computadora, por ejemplo, que determinar los privilegios precisos que la cuenta necesita y agregar al usuario a los grupos adecuados. Además, a menudo no revocan los privilegios que los usuarios ya no necesitan a medida que cambian de roles dentro de la organización, a menudo debido a la falta de comunicación y procedimientos estándar. Como resultado, las empresas corren un riesgo innecesario de pérdida de datos, tiempo de inactividad y fallos de cumplimiento.

Para mitigar estos riesgos, CIS Control 6 ofrece 8 pautas para establecer una gestión de control de acceso sólida.

6.1 Establezca un proceso de concesión de acceso.

Tener un proceso definido para otorgar derechos de acceso a los usuarios cuando se unen a la organización y cuando sus roles cambian ayuda a hacer cumplir y mantener el principio de mínimo privilegio. Idealmente, el proceso debería ser lo más automatizado posible, con conjuntos estándar de permisos para diferentes activos y dispositivos en la red asociados con diferentes roles e incluso diferentes niveles dentro de un rol.

6.2 Establezca un proceso de revocación de acceso.

Las organizaciones a menudo fallan en revocar los derechos de acceso que ya no son necesarios, exponiéndose a ataques y explotación. Por ejemplo, si la cuenta de un empleado despedido no se deshabilita o elimina de manera oportuna, esa persona o cualquiera que comprometa las credenciales de la cuenta podría explotar sus privilegios.

La revocación de acceso también suele ser necesaria cuando un usuario cambia de rol dentro de la organización. Esto se aplica no solo en casos de degradaciones, sino también para movimientos laterales y promociones. Por ejemplo, un usuario que pasa de ventas a marketing puede que ya no tenga una necesidad legítima de negocio para acceder a datos y aplicaciones utilizadas por el equipo de ventas; de manera similar, una persona con experiencia que se mueve a un rol de gestión probablemente necesitará que algunos de sus antiguos derechos sean revocados y se añadan algunos nuevos.

6.3. Requerir MFA para aplicaciones expuestas externamente.

La autenticación multifactor (MFA) es una mejor práctica porque hace que las credenciales robadas sean inútiles para los atacantes. Con MFA, los usuarios deben proporcionar dos o más factores de autenticación, como una combinación de ID de usuario/contraseña más un código de seguridad enviado a su correo electrónico. Sin el segundo factor, un posible adversario se le negará el acceso a los datos, sistemas o servicios solicitados.

El control 6.3 recomienda requerir MFA para todas las aplicaciones de software expuestas externamente (orientadas a internet), como las herramientas utilizadas por clientes, socios comerciales y otros contactos.

6.4 Requerir MFA para el acceso remoto a la red.

Esta salvaguarda se basa en la anterior, recomendando MFA siempre que los usuarios intenten conectarse de forma remota. Esta práctica es particularmente importante hoy en día, ya que muchas organizaciones cuentan con numerosos trabajadores remotos y híbridos.

6.5. Requerir MFA para el acceso administrativo.

Según el Control 6.5 de CIS, las cuentas de administrador que tiene una organización también requieren la seguridad adicional de MFA, porque estas cuentas otorgan acceso privilegiado a los activos de TI, a menudo incluyendo no solo datos sensibles sino también la configuración de sistemas centrales como servidores y bases de datos.

6.6. Establezca y mantenga un inventario de los sistemas de autenticación y autorización.

A un nivel superior, las organizaciones necesitan rastrear todos sus sistemas de autenticación y autorización. El inventario debe ser revisado y actualizado al menos anualmente. Además de ser valioso para la seguridad, este inventario también puede ayudar a la organización a lograr el cumplimiento regulatorio.

6.7. Centralice el control de acceso.

El control de acceso centralizado permite a los usuarios acceder a diferentes aplicaciones, sistemas, sitios web y herramientas utilizando las mismas credenciales. El inicio de sesión único (SSO) es un ejemplo de control de acceso centralizado.

Varios proveedores ofrecen productos de control de acceso centralizado e Identity Management diseñados para ayudar a las empresas a simplificar el acceso de los usuarios, mejorar la seguridad y optimizar las operaciones de TI corporativas.

6.8. Defina y mantenga el control de acceso basado en roles.

Intentar asignar a cada usuario el acceso adecuado individualmente a través de la asignación directa de permisos, y mantener esos derechos actualizados con el tiempo, simplemente no es un enfoque escalable para el control de acceso. En cambio, el Control 6.8 recomienda implementar el control de acceso basado en roles (RBAC) — asignar privilegios de acceso a roles definidos en la organización y luego hacer que cada usuario sea miembro de los roles apropiados. Los roles y sus derechos asociados deben ser revisados y actualizados al menos anualmente.

Resumen

Controlar los derechos de acceso es vital para asegurar datos sensibles, aplicaciones y otros activos de TI. Los procesos clave de control de acceso incluyen flujos de trabajo que permiten a los usuarios realizar solicitudes de acceso y a los propietarios de los datos aprobarlas o rechazarlas, y procesos que permiten a los propietarios de los datos revisar y modificar regularmente los derechos de acceso a sus datos.

Las cuentas privilegiadas requieren atención especial porque pueden causar daños graves si son mal utilizadas por sus propietarios o comprometidas por atacantes. Netwrix PAM solution simplifica el control de acceso privilegiado otorgando dinámicamente a los administradores exactamente los permisos que necesitan para completar una tarea en particular y eliminando automáticamente esos derechos inmediatamente después. Por lo tanto, las organizaciones pueden eliminar prácticamente todas sus cuentas privilegiadas permanentes, reduciendo drásticamente su superficie de ataque y evitando la sobrecarga y responsabilidad de las soluciones tradicionales centradas en bóvedas. Además, la Netwrix PAM solution es rentable, intuitiva y fácil de implementar.