A medida que las iniciativas de transformación digital avanzan en las organizaciones a nivel mundial, impulsadas en gran medida por el cambio sin precedentes que hemos experimentado hacia el trabajo remoto en los últimos meses, muchas empresas confían en las aplicaciones en la nube para llevar a cabo actividades comerciales esenciales. Sin embargo, debido a este uso extendido de este tipo de aplicaciones, los empleados ahora tienen un mayor acceso a datos e información altamente confidencial que, a veces, sólo están protegidos con una contraseña.
Concretamente, algunos estudios señalan que ocho de cada diez empresas han sufrido fallos de seguridad cloud, en el último año y medio. Por ello, para trabajar de forma segura en la actualidad es imprescindible que casi todos los empleados sean considerados como "usuarios privilegiados", diferenciándose entre sí únicamente en función de la cantidad de datos o sistemas confidenciales a los que tienen acceso. Tradicionalmente, el término “usuario privilegiado” estaba reservado solo para los ejecutivos de las empresas o para los miembros del equipo de TI. Sin embargo, esto ya no es así y supone un nuevo desafío de seguridad para las organizaciones.
¿Qué es un “usuario privilegiado”? Se trata de un usuario (puede ser una persona, una aplicación o un dispositivo) a la que se le concede acceso a los sistemas críticos o datos sensibles de una empresa. Se les otorga "privilegios" dentro de una organización para hacer cambios en los sistemas de TI o para manipular datos confidenciales de la compañía. Extender este tipo de acceso a más usuarios para ganar en agilidad conlleva un gran riesgo y, por lo tanto, debe protegerse adecuadamente.
Existen una serie de mejores prácticas y políticas que las organizaciones pueden implementar para ayudar a garantizar que el acceso a los datos y los sistemas de una empresa sea solo para aquellos a quienes está destinado. Los pasos a seguir en esta estrategia serían los siguientes:
- Desarrollar un modelo de seguridad de acceso con mínimos privilegios. Se trata de una práctica que limita el acceso de un usuario solo a lo que se considera necesario para realizar una tarea o función específica. El modelo de seguridad del Mínimo Privilegio es un sistema "restrictivo" y puede llevar a un aumento de solicitudes de soporte de TI, pero es más seguro y puede prevenir brechas de seguridad.
- Automatización de la verificación de un usuario privilegiado. Las herramientas automatizadas son fundamentales para gestionar un acceso privilegiado seguro en la nube, ya que son escalables, eficientes y eliminan los riesgos de error humano que pueden ocurrir al realizar tareas tediosas y repetitivas de bajo nivel. Las organizaciones deben utilizar soluciones con capacidades de interfaz de programación de aplicaciones (API) que se puedan integrar junto con los flujos de trabajo y sistemas existentes para agilizar las aprobaciones de acceso y proporcionar acceso inmediatamente una vez que se haya verificado el usuario privilegiado.
- Implementar soluciones de seguridad intuitivas. Contar con herramientas de seguridad que sean demasiado complejas y difíciles de usar puede ser tan peligroso y arriesgado como no tener ninguna solución de seguridad. Es la productividad y la facilidad de uso lo que impulsa a los usuarios a migrar a la nube. Una solución de seguridad en la nube de acceso privilegiado también debe ser fácil de usar e integrarse sin problemas con los sistemas existentes de una organización.
- Soluciones de seguridad flexibles. Las soluciones deben ser flexibles y adaptables para cumplir con el ritmo rápido y cambiante de la nube. Cualquier solución integrada debe soportar y funcionar perfectamente junto con las herramientas y componentes existentes para reducir los riesgos de seguridad cibernética y crear un "ecosistema de seguridad”.
- Modelo de confianza basado en riesgos. Un modelo de seguridad con privilegios mínimos es una de las formas más efectivas de restringir el acceso no autorizado a los sistemas comerciales. Sin embargo, tiene sus limitaciones, una de las más importantes es su impacto en la productividad. Como alternativa, las organizaciones pueden considerar la adopción de un modelo de confianza basado en riesgos, para asegurar su acceso privilegiado. Este sistema utiliza privilegios mínimos y confianza cero para determinar el nivel de seguridad que se requiere para obtener acceso a la nube y a aplicaciones y sistemas específicos.
Carlos Ferro es vicepresidente de Thycotic para el Sudeste de Europa, Medio Oriente y África (SEEMEA).