Administración de identidades y tratamiento de cuentas de usuario
¿Cómo vemos esta gestión dependiendo de la complejidad de nuestro entorno productivo y de acuerdo a las necesidades del negocio de nuestra empresa?
Como primer paso debemos conocer que el alcance para una buena gestión de identidades debe incluir en su proceso la creación, solicitud, autorización e implementación de altas, bajas y modificaciones de perfiles de trabajo y cuentas de usuario, considerando que el objetivo de esta gestión es establecer el marco administrativo que garantice la seguridad en el acceso tanto sobre la infraestructura de red como a las aplicaciones informáticas críticas.
Por ello, debemos fijar la normativa para aquellos procedimientos que incluyan implementaciones de tecnología y/o involucren a la información y funciones críticas identificadas como tales por los propietarios de la información. De esta forma se aseguran los controles de seguridad adecuados para la identificación de usuarios, dispositivos y entidades que son dadas de alta, modificadas y/o removidas, el no-repudio y soportar esquemas robustos de autenticación en los sistemas de nuestra empresa.
Para la creación de identidades se deben tener en cuenta los siguientes pasos de definición fundamentales:
1. El nombre de los perfiles de trabajo y las descripciones de puesto, acordado entre las gerencias usuarias y recursos humanos
2. La matriz inicial de perfiles de trabajo asociando para cada perfil el menú de acceso a los sistemas y sus aprobadores, definido por Seguridad de la Información y aprobado por la Dirección.
3. Los perfiles de trabajo especiales, como los administradores, y el tratamiento de sus cuentas de usuario y permisos asociados.
4. Los perfiles de trabajo asociados a Terceras Partes, su inclusión en la matriz de accesos y la gestión de sus cuentas de usuario.
5. Gestión del proceso de actualización de la matriz de accesos, perfiles de trabajo o gestión de cuentas de usuario, acorde a cambios organizacionales u organizativos de las diferentes áreas de la Compañía.
La matriz de acceso también debe definir para cada tipo de cuenta de usuario las características de bloqueo, objetivo de uso de la cuenta y autorizante de desbloqueo en caso que la cuenta se inhabilite, ya sea automáticamente por intentos fallidos de acceso como por inactividad o como acción previa a una posible baja.
Los perfiles de trabajo están conformados por dos clases de cuentas, Nominales (asociadas a una persona de la nómina de la empresa, por ejemplo RLOPEZ) o Genéricas (asociadas a servicios o cuentas por default de los fabricantes, por ejemplo SCOTT, GUEST, ADMINISTRATOR; o bien las creadas para servicios de interfaz, monitoreo, etc.)
Otro uso que suele darse a las cuentas genéricas es utilizarlas bajo una nomenclatura de identificación y con correlatividad numérica para ser asignada a proveedores que realizan actividades consultivas o de servicio específico, tales como soporte técnico. Estas cuentas están asociadas a una persona física (el consultor) y son custodiadas por un responsable por la Compañía (el responsable de la contratación).
Dentro de estas clases de cuentas de usuario contamos con los siguientes tipos, que deben cumplir con la asignación de los niveles de acceso de lectura y/o grabación de archivos, menú de aplicaciones y recursos de la red otorgados:
a) Cuentas “Administrador”, o de altos privilegios, para la administración de la red y sus recursos
b) Cuentas “Mantenimiento”, provista por los fabricantes de software y hardware en caso de soporte
c) Cuentas “Servicio”, asociadas a la ejecución de interfaces y monitoreo
d) Cuentas “Por Defecto”, creadas por el fabricante para ejecutar procesos internos del sistema (por ejemplo QUSER) y que no pueden ser gestionadas o bien aquellas creadas automáticamente durante la instalación y que luego deben ser bloqueadas o eliminadas (por ejemplo, GUEST)
Cuando se defina el proceso de gestión de identidades, deben tener especial cuidado en dejar claro cuál va a ser el motivo y alcance de otorgar permisos excepcionales y/o identidades múltiples, teniendo en cuenta que ante una solicitud de este tipo se debe justificar por escrito los motivos y debe contar con la aprobación de quien hayan definido como máximo aprobador (que normalmente cae en el Gerente de Auditoría o Contrallor) y el aval de Seguridad de la Información.
Cuando se otorgan estos permisos especiales, debe hacerse por un período acotado de tiempo que debe estar especificado en la solicitud y configurado técnicamente al crear la cuenta u otorgar el permiso, para que en la gestión no solo se realice un control administrativo sino que se pueda establecer la caducidad del permiso o bloqueo de la cuenta en forma automática.
De igual forma, las cuentas de usuario temporarias (por ejemplo, de contratistas) deben ser creadas con un plazo de expiración analizado en conjunto entre la Gerencia Usuaria involucrada en la contratación para el cual se requiere la cuenta de usuario y Seguridad de la Información.
Otras consideraciones a tener en cuenta en la definición de identidades y relacionado con las cuentas de usuario son:
1. Establecer una política de contraseñas, primeramente de acuerdo a las mejores prácticas de seguridad y luego teniendo en cuenta el uso de la cuenta. Esto quiere decir que si bien las cuentas deben tener configurada la caducidad de contraseñas, esto no podría aplicarlo a cuentas de servicio por lo que para ellas deberé establecer medidas mitigantes, como por ejemplo que no tengan posibilidad de logonearse.
2. Acordar una definición de tratamiento para las cuentas que estén involucradas en acciones sospechosas o incidentes.
3. El proceso de actualización de identidades y el control para cada cuenta de usuario asociada, ya sea por cambios organizacionales, funcionales del puesto o cambio de funciones de la persona que ocupa el puesto.
Establecer estas pautas de gestión en la utilización de identidades nos aporta un orden que nos asegura un acceso a la información cuidando su Confidencialidad e Integridad, además de sentar las condiciones que los usuarios deben asumir como compromiso en el uso apropiado de la información, los sistemas y servicios tecnológicos acorde a las funciones que le han sido asignadas.
Fabián Descalzo
Certificado en Dirección de Seguridad de la Información (Universidad CAECE)
Analista de Seguridad Informática - Auditoria y Control de Información
ITIL V3 Certified - ISO 20000 Internal Audit Certified