Los administradores de sus recursos de red son activos valiosos, activos que mantienen el flujo de servicios a los usuarios de su empresa. Pero una supervisión adecuada de estos empleados críticos, así como de sus derechos y permisos de red, es una parte importante de la gestión de la seguridad.
El infame robo de acceso a la red del gobierno en California este verano naturalmente resultó en una plétora de»Te lo dije», y»nuestra solución ayudará» y varias versiones de»el cielo se está cayendo». Al igual que muchos otros profesionales de la seguridad, me preocupaba la posibilidad de que esto ocurriera en la mayoría de las organizaciones públicas y privadas, lo que podría resultar en la pérdida de mi cheque de pago.
Cuando estos eventos ocurren, es importante ponerlos en perspectiva. Por ejemplo, ¿cuál es el riesgo de que el personal de TI haga algo «incorrecto» al ser despedido, enojado o simplemente aburrido? Me sorprendió una posible respuesta a esta pregunta, proporcionada en forma de resultados de una encuesta de Cyber-Ark.
Incluso si estos números no reflejan con precisión las actitudes de los profesionales de TI de todo el mundo, los gerentes de seguridad y de negocios necesitan examinar más de cerca los procesos de gestión de los administradores de red sólo porque es lo correcto.
Las siguientes son algunas de las ideas que tengo sobre las prácticas que limitan el acceso del personal de TI a los recursos de la red:
- En el espíritu del menor privilegio, restrinja a los administradores de red sólo a los recursos que realmente gestionan. Por ejemplo, muchas organizaciones dividen las tareas de administración de red entre dos o más equipos. Un servicio de asistencia puede gestionar la creación de cuentas y la pertenencia a grupos. Un equipo LAN/WAN puede implementar y controlar switches, routers, etc. Los ingenieros de servidores sólo pueden ser responsables de mantener los servidores en funcionamiento y optimizados. Nadie en ninguno de estos grupos necesita acceso completo a todos los recursos de la red. Diseñar controles de acceso para limitar el uso de recursos a lo que es absolutamente necesario para realizar las tareas del trabajo. Al igual que con otros recursos sensibles de la empresa, se aplica la segregación de funciones.
- Es una falacia que todos en IS -o al menos todos los técnicos- necesiten conocer las contraseñas de los administradores de dominios o ser miembros de todos los grupos de administración de dominios. Cada solicitud de acceso de administrador debe ser examinada para asegurar que el acceso es necesario para realizar una o más tareas diarias. Además, el acceso a la cuenta de administrador de dominio de la empresa (por ejemplo, la cuenta de administrador en la raíz de una implementación de Active Directory) debe estar estrictamente controlado. Incluso los administradores a los que se les ha concedido acceso a estas cuentas todopoderosas deberían tener que «comprobarlas» cuando sea necesario, con las salidas registradas. El uso de un repositorio de contraseñas, como el Repositorio automático de contraseñas de eDMZ, puede ayudar. Además, el personal clave (leer más de uno) debe tener acceso para configurar y administrar el repositorio. El registro/alerta debería hacer difícil, si no imposible, hacer cambios en el repositorio PAR sin que al menos dos personas los conozcan. Finalmente, puede configurar algunas soluciones de repositorio para que cambien automáticamente las contraseñas críticas cada vez que se utilicen.
- Los controles diarios de las adiciones a los grupos de nivel administrativo deben ser facilitados por los analistas de seguridad u otros analistas responsables de la supervisión del control de acceso. Por ejemplo, tenemos un script que se ejecuta cada noche, que compara una lista autorizada de cuentas de administrador con los miembros de los grupos de administración de AD. Si una cuenta de usuario se encuentra en un grupo de nivel de administrador y no está en la lista autorizada, se elimina del grupo y se envía un correo electrónico a seguridad. Ocasionalmente nos encontramos con que uno de nuestros usuarios con acceso de administrador «olvidó» seguir el proceso para añadir una cuenta.
- Toda actividad administrativa en la red – y me refiero a cada actividad – debe ser registrada. El registro no es sólo una buena idea cuando se buscan formas de identificar a los intrusos. También es una buena manera de validar que el personal de TI esté siguiendo procesos guiados por políticas. La gestión de registros no tiene por qué ser una piedra encadenada al personal interno. Los proveedores de servicios de seguridad administrados, como CentraComm Communications, proporcionan excelentes servicios de agregación de registros, correlación y alertas. Independientemente de quién revise los registros, asegúrese de que los resultados de seguridad y control esperados de las revisiones estén claramente definidos. La persona que revise los registros debe entender claramente lo que constituye un comportamiento anómalo y cómo se ve en los datos de registro individuales o agregados. El OWASP proporciona una excelente lista de directrices de revisión de registros.
- Cuando un miembro de un equipo de TI es despedido, o renuncia voluntariamente con actitud, debe ser acompañado inmediatamente a su escritorio para recoger artículos personales, tarjetas de seguridad y llaves. Al mismo tiempo, un administrador de cuenta debería estar desactivando las cuentas de recursos apropiadas. Bajo ninguna circunstancia se le debe permitir al ahora ex-empleado el acceso a ningún recurso de información desde el momento en que es despedido hasta el momento en que es escoltado a la puerta.
Estoy seguro de que puede pensar en formas adicionales de proteger los recursos de red de los administradores de SI descontentos. Sin embargo, estas son prácticas que creo que toda organización debería practicar a algún nivel: sí, incluso las PYMES.