No hay que preocuparse por los usuarios privilegiados (O: Controlando acciones, no personas)
En todas las organizaciones, los usuarios necesitan acceso a diferentes recursos para poder realizar su trabajo. Dichos recursos pueden ser datos, aplicaciones, derechos de administración del sistema, capacidades de aprobación para diferentes procesos, etc.
La mayoría de los usuarios terminarán teniendo un conjunto de permisos que
presentan un riesgo relativamente bajo para la empresa (así debiera ser, al menos). En otras
palabras, si esos usuarios decidieran dañar a la organización, o si sus cuentas
fueran comprometidas o robadas por atacantes externos, el nivel del daño que
podrían infringir está suficientemente bajo control.
Sin embargo, es inevitable que otros usuarios acaben teniendo ciertos
permisos que suponen un riesgo mucho mayor. Los administradores del sistema
podrían deshabilitar todas las cuentas corporativas, evitando que todos los
empleados lleven a cabo sus funciones. Los propietarios de los datos podrían
revelar información confidencial al público en general, causando un daño enorme
desde una perspectiva legal, financiera y reputacional. El director financiero
podría aprobar pagos inapropiados que ocasionen grandes pérdidas a la compañía o incluso la hagan partícipe de fraude.
Este tipo de usuarios con altos privilegios existen en todas las
organizaciones. Por lo tanto, es lógico que necesiten ser supervisados y
controlados adecuadamente. Sin embargo, es importante comprender la forma
correcta de hacerlo. A menudo he visto el siguiente enfoque:
"Primero debemos identificar quiénes son los usuarios privilegiados, para poder controlar mejor cualquier comportamiento preocupante"
Pero, ¿es cierto esto? Consideremos el siguiente video de una investigación
de 1999 llevada a cabo por Daniel Simons y Christopher Chabris.
En el vídeo (y en una gran cantidad de otros similares que pueden encontrarse online) se expone el concepto de la “Atención Selectiva”. Al parecer, alrededor del 50% de los espectadores no pasa la prueba. La forma en que yo articularía esto es: si ya sabemos lo que estamos buscando, se nos escapará lo que no buscamos.
O, en otras palabras: si ya sabemos (o creemos saber) quiénes son los usuarios privilegiados,
no estaremos velando para evitar que otros lleven a cabo acciones igualmente
privilegiadas. Ni siquiera lo sabremos hasta que ya sea tarde.
El motivo es más simple de lo que parece. Estas acciones, y no los usuarios, son lo que
debería preocuparnos.
Hoy en día, con organizaciones tan dinámicas, cambiantes y jerárquicamente
planas, y con tecnología que permite a cualquiera realizar cualquier acción
desde cualquier lugar, un usuario puede convertirse en privilegiado de la noche
a la mañana con solo presionar un botón, simplemente porque "María está de
vacaciones, así que alguien de su equipo debe aprobar estas solicitudes de
gasto”. Por lo tanto, no tiene sentido supervisar a las personas que asumimos que
serán privilegiadas, sino controlar quién tiene acceso a esas acciones que han
sido identificadas como críticas o privilegiadas.
En resumen: la clave está en controlar las acciones, no a las personas.
Por supuesto, eso requiere que la organización sea capaz de hacer dos cosas:
- Saber siempre quién tiene acceso a qué. Evitar puertas traseras, y tener los procesos y controles adecuados para la Gestión de Acceso: solicitudes de acceso, delegaciones, etc.
- Identificar correctamente qué permisos son críticos o privilegiados, y cuánto.
Estos dos puntos requieren una discusión más profunda que cubriremos en artículos futuros, pero por ahora hemos sentado las bases adecuadas para una Gestión de Acceso eficaz: necesitamos entender primero qué se puede acceder, para luego gestionar quién puede acceder.
If you ever forget your excellent strategy whereas enjoying in}, just use primary strategy. When the supplier reveals an ace, the participant can place a side guess of a lot as} half of his unique guess. If the supplier has blackjack, the insurance guess thecasinosource.com pays 2 to 1.
ResponderEliminar