Una situación recurrente es que
algunas posiciones de TI por su propia naturaleza requieren de accesos privilegiados o elevados,
es decir, que pueden administrar, borrar, crear o modificar información o
datos, códigos fuente de los sistemas, bases de datos; insisto, como parte
natural de sus funciones. Sin embargo, y como dicen en Spider-man: “Un gran poder conlleva una gran
responsabilidad”.
Y es que de
acuerdo a un estudio que realizó la firma de seguridad Lieberman Software a más
de 450 profesionales TI, se
detectó que el 39% del personal TI accede sin autorización a la información más
sensible de su organización, incluyendo documentos privados, y que uno de cada cinco ya ha accedido a datos que
no debía. Y es que es una cuestión de ética personal y profesional, pero si
tienes la puerta abierta a algo que causa curiosidad, y cuentas, además, con
las herramientas para verlo sin que nadie lo note o incluso borrar tus huellas
de la cerradura de la puerta, ¿lo harías? Sé honesto(a)... Quizás sí, quizás
no; lo cierto es que muchos administradores sí lo realizan. La información es poder, y partiendo de
esa acepción, muchos al tener al alcance ese “poder”, simplemente lo toman.
¿Qué
información confidencial podrían ver? La que se te ocurra: nómina, salarios,
bonos, aumentos, próximos despidos, estrategias comerciales, datos personales
de empleados o clientes; fórmulas, estados de salud, archivos, emails o fotos personales
que los empleados tengan en sus equipos o directorios; y un sinfín de
documentos provocando brechas de
seguridad y fugas de información. Pero no sólo se podría limitar a ver, ya
que un administrador podría modificar la información, copiarla, enviarla por
email, llevársela en medios de almacenamiento, subirla a la nube, etc. y
además, borrar el rastro. ¿Cuántas personas se van de un trabajo a otro y se
llevan información que consideran de ellos, o que les podría servir en algún
punto? Ahora imagínense que mucha gente de TI tiene todas las herramientas y
conocimientos para “brincarse” las barreras y hacer lo mismo y más. Y esta situación me lleva a esta pregunta
reflexiva del poeta romano Juvenal: «Quiscustodiet ipsos custodes?», o lo que
es lo mismo: «¿Quién vigilará a los vigilantes?». Es analogía.
¿Se deberían
supervisar los accesos privilegiados de los superusuarios? Por supuesto que sí,
y para eso hay herramientas que permiten y facilitan dicha tarea; sin embargo
es una labor ardua y tiene varias aristas. Algunos sistemas generan logs o bitácoras, siempre y cuando estén
activados, o permiten esa funcionalidad. Pero no es sólo cuestión de que
existan los logs, sino qué
información queremos que arroje, quién los revisará, con qué periodicidad, qué
objetivo tiene revisarlos y muchas preguntas que hay que concretar primero para
que la estrategia de monitoreo de logs,
sea efectiva. Pero finalmente, revisar un log
es un control detectivo, cuando en
realidad queremos un control preventivo. Si nadie puede usar el
puerto USB, un administrador tendría la facultad de otorgar dicho permiso para
sí mismo. Si nadie puede navegar libremente en internet por filtros de
contenido, un administrador podría quitarse dicha restricción.
Para continuar
el texto, requiero hacer un cambio. Permítanme tantito.
$ su - root
Password: ************
$ Ahora siendo root
puedo continuar mi texto al fin puedo controlar todo. Inclínense ante mí, que
soy root.
(Ya sé que no es necesario haber escrito “root” en el su -. )
Entre otros
procedimientos o herramientas que ayudan a segregar y limitar el acceso
privilegiado, existe el “Break Glass”.
En éste, el password de la cuenta administradora es resguardado en un sobre físico o electrónico. En el caso
del físico, es custodiado por alguna persona ajena al área o función, de tal
manera que existe segregación de
funciones y se minimiza el conflicto
de intereses. El sobre sólo se puede solicitar una vez que se cumplan
ciertos patrones o que exista justificación para usar la cuenta privilegiada. En
el caso del electrónico, podría estar ligado al sistema de Control de Cambios, el cual revisaría que el número de cambio
existe y fue autorizado por las partes definidas en el proceso y sistema. Una
vez terminado el uso de la cuenta y contraseña privilegiada; se requiere que
sea cambiada para prevenir el uso a posteriori. En ambos casos (físico y electrónico) necesitamos que
haya un “tercero” que cambie la contraseña para que nuevamente se cumpla el
principio de segregación de funciones donde ninguna persona o
departamento realiza todas las etapas de una transacción, o en este caso, de un
cambio. El “tercero” puede ser otra persona o un sistema, job, robot o similar,
que cambie la contraseña y meta en el sobre la nueva. Quizás la parte más
complicada de implementar algo así, es romper el paradigma de las personas que
usan de manera indiscriminada regular, estas cuentas.
De acuerdo a
un estudio que realizó Forrester,
el 63 % de los problemas de seguridad en las empresas es por un fallo interno
por el propio personal. Los datos de empleados y clientes son los que más se
ven afectados se en los fallos de seguridad, y exiten en un 22% de los casos,
seguido de la propiedad intelectual de
la compañía la cual es la información más vulnerada, con un 19 %. Y es que con
privilegios de administrador y ningún control para el (ab)uso indebido de estas cuentas, podría resultar arriesgado
confiar en la ética de los administradores. Aquí dejo una lista de buenas
prácticas que he observado en diferentes compañías. Cabe señalar que no son la
panacea, pero tal vez les den una idea de lo que les es posible implementar:
- Desarrollar política de accesos y uso de cuentas privilegiadas
- Identificar todas las cuentas privilegiadas, genéricas, y que sirvan para procesos automáticos
- Tener cuentas personalizadas, únicas e identificables en lugar de genéricas, default y built-in como: root, SA, SYS, Sysadmin, admin, administrator, dbo, dba, etc., y no compartirlas
- NO usar las cuentas arriba mencionadas a menos que sea estrictamente necesario y por medio de un control definido; quizás como el break glass que contemple proceso de autorización
- Documentar el propósito y duración de cada solicitud de acceso privilegiado
- Tener cuentas para los administradores que sean identificables y diferentes a su cuenta de usuario regular (es decir, mi cuenta de usuario sería: ARAMIREZ, y la administradora: ARAMIREZ_ADMIN)
- Hay más, pero cada escenario es distinto por lo que habría que evaluar lo que se debe y puede hacer
¿Y
quién vigilia a su vigilante?
kill -s 1337
$ shutdown -r
Mind the Information Security Gap…
Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP