Muchas personas consideran que la mayor vulnerabilidad de un entorno de red son los usuarios. Si tan solo hubiera alguna manera de controlarlos... oh, ¡claro que la hay!
Al implementar una combinación de diferentes técnicas, podemos limitar los posibles daños ocasionados por los usuarios (o los atacantes que se hacen pasar por usuarios). Suelo referirme a esas técnicas como "Las cuatro 'A' de la administración de cuentas", como recurso mnemotécnico para recordar los aspectos básicos de la administración de cuentas de usuario.
Este artículo ofrece una breve introducción a ellos; su interacción permite mejorar la seguridad en los entornos de red. En artículos subsiguientes, las analizaremos con más detalle para dar una idea más completa de su importancia y sus usos específicos.
- Autenticación: confirma que el usuario es quien dice ser
El primer paso de la administración de cuentas es el que probablemente nos resulta más familiar a todos: la autenticación. A través de ella creamos una identidad y demostramos que somos quienes aseguramos ser. En lo que respecta a las cuentas online, por lo general implica la elección de un nombre de usuario y una contraseña que se asocien con nuestra cuenta.
Cada vez que nos conectamos a un sitio web, una aplicación móvil u otro servicio online, debemos escribir correctamente ese mismo conjunto de credenciales para verificar nuestra identidad.
- Autorización: permite el acceso al usuario
Tras demostrar que somos quienes decimos ser, necesitamos que nos otorguen permiso de acceso para hacer cosas en esa red. Con bastante frecuencia, constituye una parte del proceso automático para establecer la identidad. En general, se les da a los usuarios privilegios de acceso generales, a menos que necesiten pagar algunas funcionalidades específicas.
La autorización les permite a los usuarios acceder a recursos específicos, tales como archivos y directorios privados, compartidos o confidenciales; una cantidad asignada de espacio de almacenamiento; o una duración limitada del acceso. En un ambiente laboral, estos permisos a menudo se eligen según una variedad de factores, incluyendo el grupo de trabajo del usuario, su cargo o el rol que cumple dentro de ese grupo, y sus tareas laborales específicas.
- Acceso: controla el acceso y las exclusiones
Otro elemento que sirve para definir los privilegios del usuario es su exclusión de las zonas restringidas. El control del acceso le permite al administrador excluir ciertos grupos o personas de los recursos y servicios que no tienen autoridad para usar.
La autenticación ofrece una especie de control de acceso de facto, ya que permite denegar la entrada a las personas cuyas identidades no se pueden verificar. Las exclusiones son aún más específicas, ya que también les permiten a los administradores limitar el acceso de los usuarios únicamente a aquellas actividades o recursos que necesitan para llevar a cabo sus tareas diarias.
- Auditoría: registra quién hizo cada cosa y cuándo
A veces es útil tener algo más que solo permisos y exclusiones. Como pueden ocurrir cosas no deseadas o inesperadas, es una buena idea mantener un registro de todas las actividades. El registro de la auditoría mantiene información actualizada de las actividades que se llevaron a cabo, quién las realizó y en qué momento, por lo que un administrador o auditor cuenta con los datos específicos que necesita examinar.
Por más que sea mucho más fácil otorgarles a los usuarios los permisos más amplios desde el comienzo, también es la mejor receta para dejarlos arrasar con nuestra red. Tenemos muchas herramientas disponibles para limitar los riesgos que surgen con el acceso de los usuarios a la red. Algunas de ellas son establecer políticas para limitar permisos; crear exclusiones; registrar y monitorear las actividades; y también administrar las cuentas en forma periódica para asegurarnos de que el acceso concedido siga siendo el apropiado.
En futuros artículos analizaremos estas técnicas con mayor detalle y te daremos algunas ideas sobre cómo puedes utilizarlas en tu entorno específico.