Los proveedores (incluidos contratistas, consultores, socios y otros terceros) necesitan acceso remoto privilegiado a sus recursos corporativos por todo tipo de motivos: desarrollo continuo, aumento de TI o asistencia inmediata. Las empresas además necesitan agilidad y simplicidad por lo que es importante evitar políticas y requisitos técnicos complejos.
Sin embargo, no se puede mantener una postura de seguridad sólida si el acceso de los proveedores es demasiado amplio o la supervisión es laxa. ¿Cómo protege sus recursos críticos sin causar fricciones ni ralentizar el trabajo?
En este artículo, describiremos las claves para ofrecer un acceso remoto privilegiado que le permita brindar acceso justo a tiempo y suficiente a terceros que trabajan de forma remota y supervisan su comportamiento tal como lo haría con un empleado interno in situ.
¿Por qué el acceso de los proveedores suele ser tan problemático?
Tiene razón al preocuparse por la seguridad de los proveedores. La forma en que operan muchos proveedores crea desafíos importantes para asegurar el acceso privilegiado.
Los proveedores externos tienen más flexibilidad que muchos empleados en cuanto a cómo y dónde trabajan por lo que no siempre se tiene todo el control sobre la red a la que se conectan o sus dispositivos.
Algunas organizaciones de proveedores a menudo cambian de personal o realizan trabajos por turnos, lo que significa que normalmente no se sabe exactamente quién accederá a sus sistemas. Debido a este modelo, los proveedores pueden inclinarse por compartir credenciales y contraseñas privilegiadas entre un grupo de usuarios.
Los proveedores suelen utilizar sus propias direcciones de correo electrónico, que no están en el sistema de gestión de identidad corporativa, como Active Directory, por lo que no puede agregarse fácilmente a Grupos ni utilizar otros procesos dependientes de AD para la Gestión de acceso privilegiado (PAM).
En muchas ocasiones sólo se dispone de tecnologías tipo VPN para dar acceso acceso a la red complicando la gestión a los departamentos de IT y teniendo en cuenta que las VPN pueden exponer inadvertidamente los sistemas a malware, desafiando los principios de confianza cero y privilegios mínimos.
¿Qué políticas debería establecer para el acceso privilegiado del proveedor?
Es importante abordar los casos de uso para el acceso de proveedores en una política documentada de gestión de acceso privilegiado que se alinee con los requisitos de la política de seguridad definida en la organización y las obligaciones de cumplimiento normativo. Asegúrese de que cualquier empleado que contrate proveedores esté familiarizado con la política.
Además, ponga a disposición de los proveedores una versión de la política para que conozcan sus derechos y responsabilidades y las consecuencias si no la cumplen en cualquier momento.
A medida que desarrolle políticas para el acceso privilegiado de proveedores, tenga en cuenta los siguientes principios:
- Decisiones basadas en riesgos
No todas las relaciones con los proveedores ni todos los escenarios de acceso son iguales. Al igual que las políticas de gestión de acceso privilegiado (PAM) que usted define para sus empleados internos tienen en cuenta el contexto, desarrolle sus políticas de proveedor en función de su umbral de riesgo.
Considere diferentes factores que afectan el riesgo del proveedor:
- ¿Cuán críticos son los sistemas a los que el proveedor necesitará acceder?
- ¿El proveedor trabajará en un solo sistema o en varios sistemas?
- ¿Cuán confidenciales o protegidos son los datos a los que necesitarán acceder?
- ¿El proveedor trabajará in situ, dentro de su firewall, o de forma remota?
- ¿Trabajarán codo a codo con su equipo y tendrán supervisión continua, o ejecutarán el trabajo por su cuenta?
- ¿El compromiso con el proveedor es a corto o largo plazo?
- ¿Se trata de una relación con un nuevo proveedor o de un socio de confianza?
- ¿El proveedor asumirá responsabilidades para las que usted ya tiene definidos roles y permisos estándar, o su trabajo es personalizado o dinámico?
- Mejores prácticas con privilegios mínimos
Evite siempre otorgar privilegios excesivos a sus proveedores. En su lugar, proporcione a los proveedores el nivel más bajo de acceso posible que les permita seguir haciendo su trabajo.
Considere especificar:
- Los sistemas concretos (servidores, bases de datos, aplicaciones, etc.) a los que pueden acceder los proveedores.
- Los archivos y datos específicos a los que pueden acceder dentro de esos sistemas.
- Momentos en los que se les permite acceder a recursos privilegiados.
- Procesos para otorgar elevación temporal de privilegios cuando sea necesario.
- Fechas de vencimiento de cualquier cuenta o sistema privilegiado al que tengan acceso. Idealmente, puede configurar una fecha de vencimiento con anticipación para que el acceso del proveedor caduque automáticamente sin intervención humana.
- Supervisión granular de sus proveedores
Debería asegurarse de que todos los controles de seguridad de acceso que defina funcionen como se espera para limitar el comportamiento privilegiado de los proveedores, cada vez que verifican un secreto de su sistema de gestión de privilegios (PAM), inician una sesión remota, elevan sus privilegios, etc.
Como parte de su estrategia de acceso remoto privilegiado, debe establecer:
- Autenticación multifactor en el acceso inicial y elevación de privilegios para capas de garantía de identidad. Es posible que solicite a sus proveedores que utilicen aplicaciones de autenticación aprobadas por la empresa, Yubikeys, etc.
- Flujos de trabajo de aprobación: es posible que desee solicitar que un empleado de nivel superior apruebe la concesión de acceso inicial a los proveedores o la elevación de sus privilegios, así como actividades como renovar o deshabilitar el acceso. Idealmente, querrá automatizar estos flujos de trabajo de aprobación y estandarizar la información compartida y recopilada, para que funcionen sin problemas.
- Monitorización y grabación de sesiones: de todo el comportamiento de los proveedores dentro de sus sistemas.
- Alertas: si un proveedor se comporta de una manera inesperada, es posible que desee que su SOC o equipo de respuesta a incidentes reciba alertas para que pueda investigar.
- Auditoría e informes: querrá realizar un seguimiento automático del comportamiento privilegiado del proveedor de una manera que pueda recuperarse fácilmente, sin la necesidad de revisar los registros. Una vez que finaliza la interacción con el proveedor, es posible que incluso desee realizar una verificación posterior, solo para asegurarse de que no se haya producido ningún acceso inesperado y que todas las cuentas privilegiadas hayan sido retiradas y el acceso deshabilitado.
- Descubrimiento: para garantizar que no tenga ningún privilegio de proveedor no autorizado u olvidado, es una buena práctica comprobar periódicamente (incluso continuamente) si hay cuentas privilegiadas desconocidas o no utilizadas. Si los encuentra, verifique que todavía sean necesarios y, de ser así, asegúrese de que su equipo de seguridad los administre de manera centralizada.
Beneficios de un acceso remoto privilegiado (PRA) centralizado para proveedores y terceros
Disponer de una solución de acceso remoto privilegiado centralizada facilita la gestión y el control de los accesos de terceros de manera segura, sencilla y ágil. Manteniendo un control total en todo momento y monitorizando y limitando la actividad con las políticas adecuadas de mínimo privilegio.
Algunas de las características que debe tener una solución de este estilo son:
- Aplicación de MFA en distintas capas (acceso al sistema central, acceso a un servidor, elevación de privilegios…)
- Que permita gestionar los accesos durante todo el ciclo de vida del proveedor, proporcionando, accesos permanentes o temporales en función de las necesidades, permitiendo flujos de aprobación para solicitud o revocación de privilegios, controles de acceso basado en roles (RBAC)…
- Limitar los privilegios otorgados con políticas de mínimo privilegio
- Proporcionar acceso seguro sin VPN y únicamente a los recursos gestionados
- Monitorización completa tanto a nivel de registros de auditoría integrados con los sistemas corporativos como grabación de sesiones
Alex FitzGerald, Product Marketing Manager at Delinea
