No hay que preocuparse por los usuarios privilegiados (O: Controlando acciones, no personas)

Image by FLY:D <https://unsplash.com/@flyd2069> via <https://unsplash.com/photos/OQptsc4P3NM>

En todas las organizaciones, los usuarios necesitan acceso a diferentes recursos para poder realizar su trabajo. Dichos recursos pueden ser datos, aplicaciones, derechos de administración del sistema, capacidades de aprobación para diferentes procesos, etc.

La mayoría de los usuarios terminarán teniendo un conjunto de permisos que presentan un riesgo relativamente bajo para la empresa (así debiera ser, al menos). En otras palabras, si esos usuarios decidieran dañar a la organización, o si sus cuentas fueran comprometidas o robadas por atacantes externos, el nivel del daño que podrían infringir está suficientemente bajo control.

Sin embargo, es inevitable que otros usuarios acaben teniendo ciertos permisos que suponen un riesgo mucho mayor. Los administradores del sistema podrían deshabilitar todas las cuentas corporativas, evitando que todos los empleados lleven a cabo sus funciones. Los propietarios de los datos podrían revelar información confidencial al público en general, causando un daño enorme desde una perspectiva legal, financiera y reputacional. El director financiero podría aprobar pagos inapropiados que ocasionen grandes pérdidas a la compañía o incluso la hagan partícipe de fraude.

Este tipo de usuarios con altos privilegios existen en todas las organizaciones. Por lo tanto, es lógico que necesiten ser supervisados y controlados adecuadamente. Sin embargo, es importante comprender la forma correcta de hacerlo. A menudo he visto el siguiente enfoque:

"Primero debemos identificar quiénes son los usuarios privilegiados, para poder controlar mejor cualquier comportamiento preocupante"

Pero, ¿es cierto esto? Consideremos el siguiente video de una investigación de 1999 llevada a cabo por Daniel Simons y Christopher Chabris.

En el vídeo (y en una gran cantidad de otros similares que pueden encontrarse online) se expone el concepto de la “Atención Selectiva”. Al parecer, alrededor del 50% de los espectadores no pasa la prueba. La forma en que yo articularía esto es: si ya sabemos lo que estamos buscando, se nos escapará lo que no buscamos.

O, en otras palabras: si ya sabemos (o creemos saber) quiénes son los usuarios privilegiados, no estaremos velando para evitar que otros lleven a cabo acciones igualmente privilegiadas. Ni siquiera lo sabremos hasta que ya sea tarde.

El motivo es más simple de lo que parece. Estas acciones, y no los usuarios, son lo que debería preocuparnos.

Hoy en día, con organizaciones tan dinámicas, cambiantes y jerárquicamente planas, y con tecnología que permite a cualquiera realizar cualquier acción desde cualquier lugar, un usuario puede convertirse en privilegiado de la noche a la mañana con solo presionar un botón, simplemente porque "María está de vacaciones, así que alguien de su equipo debe aprobar estas solicitudes de gasto”. Por lo tanto, no tiene sentido supervisar a las personas que asumimos que serán privilegiadas, sino controlar quién tiene acceso a esas acciones que han sido identificadas como críticas o privilegiadas.

En resumen: la clave está en controlar las acciones, no a las personas.

Por supuesto, eso requiere que la organización sea capaz de hacer dos cosas:

  1. Saber siempre quién tiene acceso a qué. Evitar puertas traseras, y tener los procesos y controles adecuados para la Gestión de Acceso: solicitudes de acceso, delegaciones, etc.
  2. Identificar correctamente qué permisos son críticos o privilegiados, y cuánto.

Estos dos puntos requieren una discusión más profunda que cubriremos en artículos futuros, pero por ahora hemos sentado las bases adecuadas para una Gestión de Acceso eficaz: necesitamos entender primero qué se puede acceder, para luego gestionar quién puede acceder.

Comentarios

Entradas populares de este blog

Por qué es importante tener un sistema centralizado de Gestión de Acceso (O: “Autorización-como-Servicio”)

La importancia de la gramática en IAM (AKA: Un permiso es un verbo)