Los súper usuarios a menudo tienen un acceso prácticamente ilimitado a los datos de la empresa con el fin de implementar con éxito y poner en marcha un proyecto, así como asegurarse que el sistema se ejecuta sin problemas. Sin embargo, el nivel de acceso al sistema requerido estos usuarios los vuelve sumamente poderosos, y por ello debe ser desarrollado e implementado de una manera controlada y auditable.
Definición de los permisos de acceso
Al definir mecanismo se seguridad para el control de súper usuarios, debemos considerar numerosos factores que derivan del contexto: ¿En qué etapa del ciclo de vida del proyecto se está, y sobre qué sistemas se está trabajando? ¿Cuáles son los requisitos de tiempo? ¿Qué plataformas se ven comprometidas?
Es necesario establecer el nivel de seguridad adecuado: acceso total en un entorno de sandbox que no migrará a producción no debiese ser un estorbo; sin embargo, sí constituye un riesgo en entornos de desarrollo, prueba, o pleno despliegue.
Segregación de funciones
La segregación de ciertas actividades puede agregar tiempo al proceso (como la aprobación y el movimiento de cambios de un sistema a otro), pero aumenta significativamente el control. Las empresas a menudo segregan funciones sensibles dentro de un entorno determinado, pero no tienen en cuenta las consecuencias de súper usuarios con capacidad de migrar los cambios a otros contextos. Estas acciones entre sistemas deben ser definidas y controladas: mientras que los individuos pueden tener su acceso segmentado dentro de un sistema, ese acceso en otros sistemas no debe violar las políticas de separación de tareas ya definidas.
Excesivo acceso temporal
Debemos tener en cuenta tanto permisos de súper usuario en situaciones cotidianas, como accesos excepcionales frente a contingencias imprevistas ante las cuales pueda resultar esencial ampliar temporal e inmediatamente el acceso a un súper usuario, a fin de corregir inconvenientes antes de que tengan un efecto negativo.
Cuando esos permisos son asignados para asegurar continuidad de negocio, los procedimientos deben estar en su lugar para aprobar el acceso, realizar el seguimiento de las actividades realizadas durante su asignación, y luego eliminarlo inmediatamente una vez que el problema se ha solucionado. Pueden utilizarse productos que automaticen este control y proporcionen un registro completo de auditoría sobre los cambios realizados.
Otras prácticas y consejos a tener en cuenta…
La necesidad de control sobre el acceso de súper usuarios debe ser una prioridad. A continuación veremos una lista de buenas prácticas para descubrir si estamos en la dirección correcta:
- Entornos de desarrollo y producción deben encontrarse aislados. Una metodología es no permitir cuentas de desarrollador en sistemas de producción y utilizar el control de acceso a la red de manera que las VLANs de desarrolladores accedan sólo a sistemas de oficina, como ser servidores de correo electrónico. Puede concederse acceso condicional en situaciones de emergencia, debiendo implementarse controles adicionales para asegurar que los cambios probados adecuadamente. Lo mismo aplica a aspectos tales como aprobación de cambios en las reglas de cortafuegos antes de su aplicación.
- No todo súper usuario debe poder crear copias de seguridad, ya que esto les da acceso a propiedad intelectual. Usuarios aprobados deben ser identificados por escrito con los procedimientos adecuados.
- Los administradores de bases de datos no deben tener la misma autoridad que un administrador root. Puede considerarse cifrar el contenido de algunos campos sensibles en la base de datos, o el uso de herramientas de control de acceso y auditoría.
- Toda la actividad de las cuentas con privilegios elevados sobre código fuente u otros repositorios, debe ser registrada y revisada diariamente por un tercero independiente para detectar uso excesivo.
- Las cuentas de gestión genéricas deben ser desactivadas, pudiendo emitir alertas si se utilizan, ya que pueden utilizarse para eludir los controles de acceso basados en roles (RBAC, Role-Based Access Control). El principio de privilegios mínimos sugiere que cada administrador debe tener dos cuentas, una con derechos elevados y uno con derechos de usuario normal. Si el proceso es particularmente sensible, autenticación de dos factores se puede utilizar para garantizar, además, que la persona que realiza la tarea es la persona autorizada para hacerlo.
- El sistema de registro debe ser administrado por un grupo independiente de los responsables de la administración de sistemas, y el acceso al mismo debiese basarse en roles para que los administradores sólo puedan ver registros relativos a sus funciones.
Algunas personas siempre necesitarán tener un acceso más amplio que otros, pero esto no tiene por qué significar un riesgo. Con la tecnología actualmente disponible para evitar violaciones internas de seguridad, las organizaciones deben hacer de su uso una prioridad de negocio.