Gestión y protección de cuentas privilegiadas, el gran reto del CIO

Una de las muchas tareas críticas que tienen que llevar a cabo los responsables de seguridad y tecnología de las compañías es la protección y gestión de las cuentas privilegiadas, ya que son las que pueden dar acceso a los datos más sensibles de la organización.

Con la consolidación de los modelos de trabajo híbridos, esta tarea ha adquirido una nueva dimensión ante la difuminación del perímetro, o Edge, lo que en términos de seguridad conlleva nuevos desafíos a la hora de hacer frente a nuevas amenazas.

Los usuarios se conectan desde cualquier lugar y dispositivos accediendo a las cuentas e información corporativa que pueden quedar expuestas. Por eso, proteger los accesos es uno de los principales pilares y estrategias de las organizaciones para añadir una capa de seguridad vital a la hora de proteger esos datos.

En este sentido, la gestión de accesos privilegiados se convierte en una medida de seguridad crucial, no exenta de retos. ¿Cómo abordarlos?

Todos estos aspectos se han abordado en el encuentro digital que ha celebrado Silicon España de la mano Delinea y el integrador Sothis, y que ha contado con expertos de grandes compañías para poner en común los desafíos que deben afrontar los CIO y CISO en lo que a la gestión de los accesos con privilegios, o PAM (Privileged Access Management) se refiere, para conseguir la mejor seguridad sin añadir complejidad a la gestión o la propia infraestructura.

En opinión de Miguel Monedero, Director de Seguridad de la información de Sothis, “ante el aumento de los ciberataques, sobre todo desde inicios de la pandemia ante los nuevos modos de trabajo, es más importante que nunca que las empresas controlen sus privilegios, teniendo un control de sus contraseñas y, sobre todo, monitorizando los accesos dentro de una estrategia de ciberseguridad global”.

Y es que, el teletrabajo y los nuevos entornos híbridos han difuminado ese perímetro a proteger. La irrupción de la pandemia y la necesidad de adoptar el trabajo remoto con celeridad llevó a muchas organizaciones a tener que evolucionar y garantizar la seguridad en ese nuevo entorno que empezaba a dibujar con gran urgencia.

Sergio Puras Cybersecurity Manager en DKV, apunta que este es el caso que experimentó la compañía al tener que asumir “la compra en volumen de portátiles para todos los empleados y apostar por la securización de las VPN con doble factor, además de un plan estratégico de seguridad para aumentar el nivel de seguridad que teníamos hasta el momento no centrándonos en una sola herramienta de protección o gestión e identidades, sino yendo por capas a nivel de puesto de trabajo, de servidores, de riesgo en base al comportamiento anómalo de los usuarios…”. 

El objetivo no era otro que el de garantizar la seguridad en un escenario nuevo en el que, como destaca Jesús Alonso, CISO, Chief Information Security Officer, de Campofrío, “el perímetro no existe, algo que la pandemia ha venido a afianzar”. Por ello, el responsable aboga por “prestar más atención a la identidad digital, a herramientas de PAM (Privileged Access Management), PIM (Privileged identity management) e IAM (Identity and Access Management), y verificar más quién es el que me pregunta, no desde dónde me pregunta porque cada día es más complejo”.

Además, este responsable apunta que, más allá de las VPN, estamos asistiendo a un crecimiento importante de los entornos SASE (Secure Access Service Edge) y Zero Trust para garantizar esa protección.

No obstante, en esta evolución de la seguridad buscando la mejor gestión de los accesos e identidades, Jesús Doña, responsable de Infraestructura, Soporte y Ciberseguridad de EMASA (Empresa municipal de Aguas de Málaga), destaca la importancia que en todo este nuevo planteamiento adquiere la necesidad de encontrar un equilibrio entre la seguridad y la experiencia de usuario. “el perímetro existe, otra cosa es que a nuestro muro le han hecho muchos agujeros y hay que buscar cómo trabajar con ellos”. En este sentido, el responsable destaca cómo la pandemia ha obligado a actualizar el sistema de acceso remoto a la empresa y a implantar tecnologías como PAM e IAM pero que conllevan algunas ineficiencias como el hecho de tener que crear contraseñas robustas cada mes o 45 días, lo que “es un hándicap importante que nos está planteando ir a sistemas biométricos de autenticación”.

Adaptar la seguridad al nuevo escenario

Si bien existe un consenso en la necesidad de adoptar herramientas tecnológicas que contribuyan a garantizar la seguridad de estos entornos optimizando la gestión y protección de las cuentas privilegiadas, los expertos reunidos en este encuentro digital también han destacado la necesidad de contar con el usuario como aliado para conseguirlo. En opinión de Jesús Pastor, Infrastructure and Communication Specialist de KYB Europe GmbH, “la formación es importante en estos tiempos porque podemos poner todas las herramientas y tecnología posible que, al final, el eslabón más débil es el usuario. Hay que formarlo y hacer ver que es muy importante que siempre tenga el foco puesto en la seguridad para evitar esa posible brecha de seguridad en el usuario”.

En la misma línea se pronuncia Miguel Monedero, para quien los cambios en el teletrabajo y las transformaciones basadas en plataformas cloud han cambiado el perímetro de protección que hay que defender. “Es tan importante proteger el perímetro y saber exactamente quién accede, cómo y desde dónde a nuestros sistemas de información, como monitorizar qué está pasando en todo momento para poder detectar una amenaza de seguridad avanzada en cualquier momento”, apostilla.

En este sentido, el responsable de Sothis destaca la importancia de controlar la identidad digital para saber quién accede a los servicios críticos, sabiendo de antemano cuáles son esos servicios y con qué identidades digitales están accediendo a ellos. Y aquí PAM e identidad digital son clave para la filosofía Zero Trust, “no confío en nadie por defecto y voy a solicitar todo lo necesario para confiar en una identidad para que acceda a mis sistemas de información y luego, monitorizar qué está pasando.”, añade Monedero.

Al hilo de estas premisas, Enrique Serrano, Sales Engineer de Delinea destaca que hay que partir de dos hechos a la hora de plantear una estrategia de Zero Trust: “hay que asumir que vamos a tener una brecha y eliminar la confianza para verificar siempre quién es el usuario y qué es lo que va a hacer para implementar una seguridad homogénea en toda la empresa, tanto si se accede desde casa como desde la oficina”.

Retos a la hora de proteger y perímetro y los accesos privilegiados

Ante este panorama, hay una serie de desafíos a la hora de proteger ese perímetro y los accesos privilegiados que son comunes a todas las organizaciones, si bien en otras, debido a su actividad y los datos que manejan, requieren otras medidas. Es el caso del sector seguros de salud en el que una compañía como DKV necesita una protección de la información sensible que no puede llevarse a cabo con una única herramienta. Como explica Sergio Puras, “tenemos que proteger toda la información sensible y no trabajamos con una sola herramienta, sino que lo distribuimos entre distintas capas basándonos en una serie de políticas y con un control sobre los usuarios privilegiados”.

Aquí, la importancia del control de acceso de terceros a los sistemas es clave contando con la tecnología y los sistemas que permiten tener claro los accesos a los sistemas críticos y, en el caso de DKV, con una gestión centralizada.

No obstante, Jesús Alonso, CISO de Campofrío, puntualiza que, ante la proliferación de dispositivos de TI que hay que proteger y que acceden a los sistemas desde distintas ubicaciones, es clave la protección de los endpoints y, en su caso, contar con dispositivos con EDR (Endpoint Detection and Response). “Lo importante es dónde tenemos la información importante de nuestro negocio y proteger y aislar todo lo que se pueda teniendo identificados los accesos, con qué usuarios y privilegios y, a partir de ahí, ir hacia niveles de clasificación”, añade.

Y es que, controlar todas las aplicaciones disponibles, los permisos de los usuarios que acceden a ellas o los procesos es algo que debe ser más ágil de gestionar. Para Pedro Navas, Director de Informática en PONS, “es importante la concienciación continua porque, al final, los grandes problemas nos vienen por los usuarios pero también apoyándonos en herramientas potentes poniendo capas de seguridad para ir contrarrestando esos ataques y problemas que pueden parar los negocios”.

Nuevas estrategias para la gestión de accesos privilegiados

A la hora de abordar todos estos retos, las organizaciones están haciendo una aproximación de la gestión de accesos privilegiados identificando dónde está el dato y su importancia para administrar su acceso de la mejor manera posible. Así lo destaca Jesús Pastor, quien resalta la importancia de poder tener recursos suficientes para poder hacerlo si bien “casi siempre los recursos son limitados y nos tenemos que apoyar en partners y colaboradores que nos puedan ayudar”.

A este respecto, desde EMASA, Jesús Doña coincide en la importancia del dato, si bien, “muchas veces la fuga de información no es lo grave, sino el problema de la integridad del dato”. De ahí que desde esta firma estén apostando por reforzar la concienciación en la parte directiva de la compañía para que haya “esa visión vertical y tomen conciencia para ayudarnos porque, si no, por muchas herramientas que pongamos, no podremos hacer mucho”.

Aquí comienza a vislumbrarse un aspecto que actúa como hilo conductor recurrente: la fatiga tecnológica. Desde Delinea, Enrique Serrano señala que el reto aquí para los fabricantes es aportar valor. “Es cierto que, a veces, es difícil justificar ese valor si no para nada desde la parte de la seguridad, pero tiene que estar ahí”, explica.

Además, este responsable también pone el foco en el Shadow IT y en la necesidad de evitar esa fatiga tecnológica para los usuarios que buscarán la forma de saltarse las posibles limitaciones que se les pongan en pos de la seguridad.

Según Gartner, el 80% de los ataques que se producen llegan a través del usuario y de cuentas privilegiadas. Sin embargo, se tarda una media de 90 días en detectar que estamos siendo objeto de un ataque, por lo tanto, “tenemos que liberar a los administradores de esa complejidad y fatiga tecnológica para que la solución asuma toda esa parte de securicación, rotación de contraseñas, etc.”, destaca Serrano.

En esta coyuntura, monitorizar y proteger el vector de entrada, pero también hacerlo en el endpoint será clave. Para ello, desde Sothis, Miguel Monedero destaca que una de las claves para que un proyecto de PAM funcione y sea exitoso es “utilizar una solución de acceso de cuentas privilegiadas sencilla, flexible, con capacidad para adaptarse a las necesidades de los clientes, que sea SaaS, on-premise, que no requiera de un despliegue exagerado. La ciberseguridad tiene que ser lo más fácil y sencillo posible, tanto para el que la usa como para el que la administra. 

Asimismo, Monedero destaca que la plataforma PAM debe ser efectiva y cumplir con las funcionalidades de cubrir la seguridad de la identidad y el acceso digital de las cuentas privilegiadas. Pero también de ser sencilla, con un despliegue ágil y un mantenimiento liviano, con una operación sencilla y, sin ser ambiciosos a la hora de arrancar un proyecto PAM sino que sea un alcance realista. Aquí, el responsable de Sothis también destaca “la necesidad de que la colaboración entre el integrador y el equipo de operaciones del cliente sea muy estrecha y directa. Hay que conocer dónde hay cuentas privilegiadas y, para ello, es muy importante trabajar de la mano del cliente y que el integrador, o partner que vaya a realizar el despliegue, tenga toda la información y una colaboración estrecha con ellos”.

Aproximación a Zero Trust

Todas estas necesidades están llevando a los CIO y CISO a apostar por Zero Trust algo que, para Pedro Navas, de PONS, “son aproximaciones muy válidas, pero hay que hacer un trabajo de fondo de gestionar tu propia infraestructura y activos para tener un conocimiento claro de dónde vienen las amenazas, o qué riesgos estás corriendo”.

Se trata de algo en lo que coincide Jesús Pastor, quien incide en que lo clave que es “conocer dónde tenemos todo el core de negocio y el dato y desconfiar de todo, poniendo la tecnología necesaria para otorgar permisos y accesos y apoyarnos en proveedores, fabricantes y agregadores contando con un equipo humano detrás que sepa gestionarlo para dar una respuesta rápida y eficiente”.

En esto se muestra de acuerdo Enrique Serrano, de Delinea para quien, si bien “el usuario es el eslabón más débil, no debemos poner toda la carga sobre él y aquí, nuestra labor es aportar soluciones sencillas y eficaces que se alineen con el core del negocio y no sean una carga adicional”.

Pero para conseguirlo, el reto principal de las compañías hoy en día es conocer su nivel de riesgo y establecer un plan de seguridad a futuro revisándolo de manera continua porque “eso nos va a marcar qué cosas debemos hacer”, concluye Miguel Monedero de Sothis.