Privilegios sin control: la vulnerabilidad oculta que pone en riesgo a las organizaciones

Por Verónica Estrada | Reportera

Para que una persona realice su trabajo del día a día, requiere tener acceso a ciertas aplicaciones y sistemas de manera directa, rápida y segura. Un director de finanzas debe trabajar con información altamente sensible, que esté fuertemente protegida, un representante de ventas necesitará acceder a un sistema de gestión de relación con clientes (CRM) y utilizar sistemas especialmente diseñados para levantar pedidos, mientras que un empleado requiere trabajar únicamente con algunas plataformas administrativas y aplicaciones en la nube.

Determinar quién tiene acceso a qué y las acciones que puede realizar es un trabajo que involucra a diversas áreas de negocio tales como recursos humanos, seguridad de la información, áreas operativas y de TI, quienes se deben apoyar en la gestión de privilegios. Esto es, delinear el control de acceso por usuario, aplicación o regla, de modo que los usuarios tengan derechos específicos para ayudarles a realizar su trabajo, para brindar seguridad y optimizar la productividad.

No obstante, no son pocas las organizaciones que operan con una pobre o, incluso, nula administración de privilegios. En la práctica, es común asignar privilegios innecesarios en lugar de detenerse a realizar un análisis de roles y privilegios basado en el principio de la «necesidad de saber» (need to know), lo que ayudaría a disminuir el riesgo de acceso no autorizado.

En consecuencia, se descuida la ciberseguridad y, por comodidad, se asignan permisos más allá de los requeridos para usuarios técnicos y de negocio, dejando a la organización vulnerable a diversos tipos de amenazas. En un entorno empresarial, el director general y el director de recursos humanos deberían de tener derechos y atribuciones distintas y perfectamente delimitadas.

Se suma, además, una pobre cultura de ciberseguridad en la que los colaboradores comparten sus credenciales de acceso a diferentes sistemas, lo que puede potencialmente poner en riesgo procesos críticos o información sensible.

El escenario anterior representa, en muchos casos, una «enfermedad silenciosa» para las organizaciones. Mientras detener un proceso operativo crítico es algo notorio, ya que sus efectos se hacen evidentes en la continuidad del negocio, una administración deficiente o nula de privilegios puede estar teniendo impactos no tan visibles. Es sólo cuando se produce un ataque, un fraude o un error cuando se ven las consecuencias devastadoras de haber sido negligentes al no contar con una adecuada administración de privilegios. –sn–