La ubicación física de los usuarios importa cada vez menos en el modo en el que gestionamos el negocio. Un estudio de 2019 demostró que el 62 % de las personas encuestadas trabajaban desde casa al menos una parte del tiempo. En el mismo estudio, el 82 % de los que trabajaban de forma remota al menos una parte del tiempo informaron de que planearon mantener o aumentar su nivel de trabajo remoto. Además, más de la mitad (51 %) de los que no realizaban ningún trabajo remoto querían empezar.
Una cosa a tener en cuenta es que estas cifras no tienen en cuenta el número de proveedores remotos que funcionan como empleados al realizar tareas esenciales para la empresa. Estos usuarios a menudo necesitan acceder a sistemas críticos del mismo modo que lo hace un empleado. Una mayor flexibilidad para los trabajadores implica, por supuesto, mayores riesgos de seguridad. Para proporcionar acceso, las organizaciones a menudo confían en métodos inseguros e ineficaces, que normalmente dependen de redes VPN para proporcionar un acceso seguro.
Sin embargo, no todos los privilegios de los trabajadores remotos son iguales. Algunos pueden necesitar acceder solo al correo electrónico y a unas cuantas aplicaciones empresariales; mientras que otros pueden necesitar acceder a aplicaciones empresariales críticas como nóminas, RR. HH. y datos de ventas y marketing. Los proveedores de servicios de TI externos que prestan asistencia externa necesitan el mismo amplio acceso que los proveedores de TI internos.
Hoy, identificaremos los cinco tipos principales de trabajadores remotos que a menudo requieren privilegios elevados en los sistemas y hablaremos de cómo la gestión del acceso con privilegios (PAM) con CyberArk Alero puede ayudar a las organizaciones a proporcionar un acceso seguro y sencillo a los sistemas críticos gestionados por CyberArk.
1. Empleados remotos de la empresa de seguridad o TI
Entre estos usuarios se incluyen personas como administradores de dominio, administradores de red y otras personas que normalmente acceden a sistemas internos críticos desde la oficina, pero que ahora pueden tener que hacerlo de forma remota. El hecho de que el departamento informático o de seguridad trabaje desde el exterior de la oficina tiene un gran impacto en el día a día de los administradores de seguridad.
Es fundamental identificar los niveles precisos de acceso necesarios para los empleados remotos de TI y seguridad e implementar los derechos de privilegios mínimos para garantizar que solo acceden a lo que necesitan. Las soluciones tradicionales como las VPN no pueden proporcionar el nivel necesario de acceso granular a nivel de aplicación para hacerlo de forma eficaz. Asignar este tipo de acceso granular es importante, ya que ayuda a evitar situaciones como que un administrador de Windows tenga acceso a las cuentas raíz.
La integración de herramientas de seguridad con el servicio de directorio para proporcionar un acceso automatizado y específico debe configurarse con antelación para que, en el caso de un pico no planificado en el trabajo remoto, no haya ningún tipo de brecha en las funciones de TI o de seguridad mientras se establecen las condiciones seguras para trabajar desde casa.
2. Proveedores de hardware y software de terceros
Los proveedores de hardware y software de terceros, incluidos los proveedores de servicios de TI y el servicio de asistencia técnica contratado, a menudo ofrecen servicios y mantenimiento remotos que requieren privilegios elevados. Estos proveedores suelen requerir un acceso de nivel de administrador para realizar tareas en cualquier tipo de servidor o base de datos Windows o Linux y se les pide que realicen parches, actualizaciones del sistema y mucho más.
Básicamente, actúan como administradores de nivel de dominio y, por lo tanto, pueden causar estragos en el entorno si no se supervisan y aprovisionan adecuadamente. Sin embargo, la identificación de estos usuarios y la contabilización de sus niveles individuales de acceso remoto de proveedores se realiza normalmente caso por caso por parte de los administradores, lo que puede llevar mucho tiempo. Es importante asegurarse de que se identifiquen todos estos usuarios y de que se proporcione el acceso correcto.
3. Proveedores de la cadena de suministro
Cuando apoyar la producción o la entrega de mercancías no es una de las actividades principales de una empresa, es habitual que esta incorpore proveedores especializados en la cadena de suministro para ayudar. A menudo, estos usuarios remotos tienen acceso a la red para supervisar el inventario en las empresas minoristas o de fabricación. También pueden tener acceso a datos sensibles relacionados con la producción prevista, el control de calidad y otros sistemas críticos que podrían estar relacionados con los sistemas de control industrial y la tecnología operativa (ICS/OT) o los procesos de la cadena de suministro in situ.
Es posible que estos proveedores no sean los primeros en darse cuenta de ello porque no están cualificados como administradores, pero los proveedores de la cadena de suministro tienen un acceso que podría aprovecharse de forma peligrosa por parte de atacantes maliciosos o convertirse en un problema grave debido a un uso indebido interno inadvertido.
4. Empresas de servicios
Las empresas de servicios que realizan tareas departamentales, por ejemplo, relacionadas con asuntos legales y la gestión de nóminas, pueden requerir acceso a aplicaciones empresariales específicas para ser eficientes. Es importante identificar estos tipos de usuarios y aplicar el principio del mínimo privilegio para asegurarse de que no obtengan acceso a nada fuera de su ámbito o para evitar que mantengan el acceso durante más tiempo del que necesitan. No tendría mucho sentido en la práctica que una empresa de servicios jurídicos tuviera acceso a la información sobre las nóminas; lo único que haría sería aumentar el riesgo potencial.
Las aplicaciones críticas para el negocio, como la gestión de relaciones con los clientes (CRM), la planificación de recursos empresariales (ERP), las consolas en la nube y otras, son importantes para la continuidad y las operaciones de una empresa; pero, en las manos equivocadas, los datos que contienen estas aplicaciones pueden ser muy peligrosos. Identificar quién tiene acceso a estas aplicaciones es muy importante y minimizar la capacidad de moverse de una aplicación empresarial a la siguiente son acciones que pueden marcar la diferencia entre una filtración de datos importante y una situación normal.
5. Consultores externos
Los consultores empresariales y de TI a veces necesitan acceso privilegiado para ser productivos en los proyectos para los que están contratados, pero solo deben tener ese acceso durante el período de tiempo en el que están contratados. Estos tipos de proveedores son temporales por naturaleza y, a menudo, solo requieren acceso durante días, semanas o meses mientras realizan sus funciones. Sin embargo, dentro de ese plazo, los consultores externos a menudo recibirán un acceso amplio a ciertas áreas de la empresa.
Identificar con antelación quiénes son estos consultores y qué tipo de acceso requieren (a qué y durante cuánto tiempo) ayuda a reducir riesgos y a proteger el negocio. Además, el acceso de un consultor externo debe estar protegido y supervisado de cerca mientras esté activo; y su acceso debe ser automáticamente cancelado tan pronto como acabe su trabajo en la empresa.
Imagínese esto. Un consultor es contratado para un proyecto de tres semanas, obtiene malas opiniones y se siente menospreciado por el pago recibido. Si no se cancela su acceso automáticamente, es posible que mantenga altos niveles de acceso más allá del final de su contrato y que pueda utilizar dicho acceso para causar un daño irreparable a la empresa como venganza. Aunque esto pueda parecer un escenario improbable, es solo un ejemplo del daño que un acceso con elevados privilegios puede causar si no se supervisa y actualiza regularmente.
Como cada vez más empresas confían en los usuarios remotos como parte de su plan de negocio diario, es importante que comprendan los distintos tipos de usuarios que inician sesión en sus sistemas fuera de sus oficinas; y, sobre todo, es importante que sepan que están gestionando, supervisando y protegiendo ese acceso.
Aunque puede parecer una tarea abrumadora, CyberArk Alero es una oferta SaaS que ayuda a las organizaciones a proporcionar un acceso seguro a los usuarios remotos que acceden a sistemas críticos gestionados por CyberArk. Se puede implementar fácilmente en cualquier número de usuarios remotos sin necesidad de VPN, agentes ni contraseñas.