Qué es PAM o gestión de cuentas privilegiadas

La gestión de cuentas privilegiadas (PAM, del inglés Privileged Access Management) es un aspecto crucial de la ciberseguridad que se enfoca en la protección y gestión de identidades y accesos de una organización.  Las cuentas privilegiadas cuentan con altos niveles de derechos de acceso y permisos, lo que permite a sus usuarios realizar tareas críticas y acceder a información delicada.

PAM es una solución de seguridad enfocada en la autorización, monitoreo y gestión de identidades y accesos privilegiados con altos niveles de autorización de acceso a sistemas, datos y recursos clave. Al utilizar PAM, las organizaciones pueden garantizar que solamente los individuos autorizados puedan acceder a cuentas privilegiadas y hacer valer eficazmente los controles y políticas.

Implementar y gestionar el acceso privilegiado dentro de una organización requiere de una planificación meticulosa, la observancia de prácticas recomendadas y atención constante. Si bien el concepto puede parecer sencillo, las dinámicas de la gestión de cuentas privilegiadas requieren de una comprensión profunda de cómo funciona, por qué es importante y cómo las organizaciones pueden usar eficazmente la seguridad de PAM.

Privileged Access Management es una estrategia de ciberseguridad para controlar, monitorizar, proteger y auditar todas las identidades privilegiadas, tanto humanas como no humanas, en la totalidad del entorno de TI de una empresa. Es una combinación de personas, procesos y tecnología que ayuda a las organizaciones a protegerse contra las amenazas del robo de credenciales y abuso de privilegios.

La gestión de cuentas privilegiadas identifica qué cuentas tienen acceso privilegiado y después aplica políticas a estas cuentas. Las soluciones de PAM brindan visibilidad, control y auditoría detallados sobre las identidades privilegiadas y sus sesiones. De hecho, el software de PAM recopila las credenciales de las cuentas privilegiadas en un repositorio seguro para el aislamiento de su utilización y llevar registros de su actividad. Esto permite a las organizaciones controlar y monitorizar la actividad de usuarios privilegiados.

Las cuentas privilegiadas se basan en información confidencial (contraseñas, claves y certificados) para controlar el acceso. Al crear, almacenar y gestionar esta información en un depósito seguro, las soluciones de PAM ayudan a las organizaciones a reducir el riesgo de sufrir ciberataques. Sin embargo, cabe observar que la PAM es tan solo uno de los componentes de las soluciones más amplias de gestión de identidades y acceso (IAM, del inglés “Identity and Access Management”). Las soluciones de IAM abarcan temas de ciberseguridad, como la gestión de contraseñas, la autenticación de múltiples factores (MFA), la gestión del ciclo de vida del usuario y el inicio de sesión único (SSO) para todas las cuentas, no solo las que cuentan con acceso privilegiado.

Las cuentas privilegiadas constituyen la columna vertebral de la administración de TI e infraestructura de seguridad de una organización. Pero, como implican una serie de riesgos inherentes y son objetivos apetecibles para ciberamenazas, los fundamentos de la PAM se emplean para hacer valer controles estrictos, monitorizar actividades y autenticar usuarios y equipos que acceden a cuentas privilegiadas.

Las cuentas privilegiadas, con frecuencia llamadas cuentas administrativas, tienen múltiples variantes y brindan diferentes niveles de poder otorgado. Algunos de los tipos más comunes de cuentas privilegiadas son:

• Cuentas de administrador de dominio: Estas cuentas poseen privilegios administrativos sobre una red o dominio enteros, lo que otorga un amplio control sobre múltiples sistemas y recursos dentro de la organización.
• Cuentas de usuario privilegiado: Credenciales denominadas con privilegios administrativos en uno o más sistemas específicos. Estas cuentas suelen tener contraseñas únicas y complejas para mejorar la seguridad y evitar accesos no autorizados.
• Cuentas de administrador local: Las cuentas con privilegios administrativos en un dispositivo o sistema específicos. Estas cuentas permiten a los usuarios gestionar y configurar el equipo local sin precisar de acceso en todo el dominio.
• Cuentas no humanas: Cuentas asociadas con equipos, aplicaciones o servicios que requieren de acceso privilegiado para ejecutar procesos automáticos. Estas cuentas típicamente se usan para ejecutar tareas específicas sin necesidad de intervención humana.
• Cuentas de servicios: Las aplicaciones o servicios usan estas cuentas privilegiadas para interactuar con el sistema operativo u otras aplicaciones. Dependiendo de los requisitos de la aplicación, estas cuentas pueden tener privilegios administrativos de dominio para una integración fluida con diversos sistemas.
• Cuentas root: Cuentas con el mayor nivel de privilegios en sistemas Unix y Linux, que brindan un control completo sobre el sistema. Las cuentas root son fundamentales para las tareas de administración y configuración del sistema, pero precisan de una gestión cuidadosa debido a su amplia autoridad.
• Cuentas de equipos de redes: Cuentas que se usan para acceder y gestionar equipos de redes, como routers y switches. Estas cuentas permiten a los administradores de redes configurar, monitorizar y resolver problemas en dispositivos de redes.
• Cuentas de firewall: Cuentas utilizadas para gestionar y configurar cortafuegos, que son componentes clave para la seguridad de redes. Las cuentas de cortafuegos permiten al personal autorizado controlar el flujo de tráfico y hacer cumplir las políticas de seguridad.
• Cuentas de administrador de base de datos (DBA): Cuentas privilegiadas asignadas a los administradores de bases de datos responsables por la gestión y mantenimiento de las bases de datos. Las cuentas de DBA permiten el acceso a datos y configuraciones clave de bases de datos.
• Cuentas de proveedores de servicios en la nube (CSP): Las cuentas asociadas con proveedores de servicios en la nube permiten a las organizaciones gestionar sus recursos y configuraciones en la nube. Estas cuentas tienen un alto nivel de control sobre la infraestructura basada en la nube.
• Cuentas de administrador de aplicaciones: Cuentas con privilegios administrativos específicos para la gestión y configuración de aplicaciones de software. Estas cuentas facilitan la configuración a nivel de aplicaciones y controles de acceso.

La diversidad e importancia de las cuentas privilegiadas resalta lo fundamental del papel que representan para el mantenimiento del entorno de TI de una organización. Las organizaciones deben priorizar las estrategias de gestión de cuentas privilegiadas que abarcan robustas medidas de seguridad, mecanismos de monitorización y protocolos de autenticación para proteger a estas valiosas cuentas contra su abuso.

Es importante hacer notar que ninguna solución de talla única puede mitigar totalmente los riesgos de acceso privilegiado. Las organizaciones deben combinar múltiples tecnologías y prácticas de PAM estratégica en una solución holística que proteja contra numerosos puntos de entrada para el atacante.

En general, las PAM protegen la información y recursos críticos de una organización contra accesos no autorizados y filtraciones de datos.

La gestión de acceso privilegiado (PAM) y la gestión de identidad privilegiada (PIM, del inglés “Privileged Identity Management”) son componentes esenciales de la estrategia de seguridad de una organización, pero difieren en sus respectivos enfoques y funcionalidades.

La PAM es un kit de herramientas que permite a las organizaciones salvaguardar, limitar y hacer seguimiento al acceso a datos y recursos delicados. Las soluciones de PAM gestionan credenciales, autentican identidades de usuario y brindan acceso “justo a tiempo” a identidades que típicamente no pueden acceder a recursos específicos. Las soluciones de PAM también ofrecen monitorización de sesiones y registros de acceso para brindar a las organizaciones información y perspectivas acerca de los patrones de uso y a la vez cumplir con los estándares de conformidad.

La PIM aborda todo lo que el usuario está autorizado para hacer y se enfoca en gestionar y proteger las identidades privilegiadas. Las soluciones de PIM gestionan y protegen las cuentas privilegiadas, hacen cumplir la autenticación multifactor, controlan la autenticación a las cuentas privilegiadas y programa y activa cambios de contraseña. Las soluciones de PIM también capturan registros de sesiones y eventos, y graban accesos a cuentas privilegiadas.

En resumen, la PAM se enfoca en la gestión y control del acceso a datos y recursos delicados, mientras que la PIM se enfoca en la gestión y protección de identidades privilegiadas. PAM y PIM son componentes esenciales de la estrategia de seguridad de una organización, y la combinación de ambas brinda una protección integral contra los riesgos inherentes al acceso privilegiado.

Implementar correctamente una solución de gestión de acceso privilegiado (PAM) implica seguir ciertos pasos:

1. Comprender el entorno de PAM: Antes de implementar una solución de PAM, hay que tener una buena comprensión de las cuentas privilegiadas de la organización y los requisitos de acceso para cada cuenta.
2. Definir políticas de control de acceso: Esbozar las políticas de control de acceso para emplear el principio del mínimo privilegio y limitar el acceso a datos y recursos delicados.
3. Configuración de derechos de acceso para usuarios: Configurar los derechos de acceso de usuarios y hacer cumplir las políticas de control de acceso para asegurarse de que los usuarios estén restringidos al nivel mínimo de acceso requerido para ejecutar sus funciones profesionales.
4. Implementación del acceso justo a tiempo: Algunas situaciones exigen una escalada en los privilegios para que un usuario pueda completar una tarea o proyecto. En este caso, otorgar acceso al usuario durante un período restringido y después eliminarlo y asegurarse de que el usuario ya no tenga acceso.
5. Establecer procesos eficaces de ciclo de vida: Establecer procesos eficaces de ciclo de vida para garantizar que todas las cuentas con acceso privilegiado sean conocidas y hacer un seguimiento adecuado a todas las cuentas privilegiadas y a qué cosas pueden acceder.
6. Auditoría del sistema de PAM: Auditar constantemente el sistema de PAM para garantizar que este funcione correctamente y hacer cumplir las políticas de control de acceso.
7. Comunicación y control de calidad: La comunicación es fundamental para el éxito de una solución PAM. Las organizaciones deben comunicarse con las partes interesadas acerca de la importancia y beneficios de la PAM. Adicionalmente, las organizaciones deben controlar la calidad de los sistemas de PAM y asegurarse de que los controles generales de TI se ejecuten con precisión.
8. Evaluar el cumplimiento: Las organizaciones deben evaluar el nivel de cumplimiento dentro las políticas de seguridad de la empresa y asegurarse de que la solución de PAM cumpla con los requisitos regulatorios.

Tenga presente que implementar una solución de PAM no es un evento puntual, sino un proceso continuo que requiere de una monitorización y mantenimiento constantes.

Aprovechando la unión de las fortalezas de Proofpoint y CyberArk, las organizaciones pueden beneficiarse de una solución de PAM integral y robusta, que ayudará a proteger las cuentas privilegiadas, evitar ataques y garantizar la seguridad de activos clave. Para más información, contacte a Proofpoint.