Pasar al contenido principal

Privileged Access Management (PAM)

¿Qué es PAM?

Del acrónimo inglés Privileged Access Management, hace referencia a los sistemas que de forma segura manejan los permisos de las cuentas de usuario críticas para acceder a recursos y datos en un entorno IT. Dicha seguridad es una parte fundamental en el tratamiento seguro de la información de cualquier organización a la vez que un requisito de los programas de cumplimiento.

La característica principal de esta clase de usuarios es que tienen acceso a datos que constituyen información sensible y vital para el funcionamiento de una organización. Todos estos privilegios permiten a estos usuarios acceder directamente a archivos de sistema en bases de datos, archivos críticos, a procesos específicos o procesos del negocio que en manos de un posible atacante suponen un grave riesgo para la integridad de la misma. Por supuesto, también tienen acceso a los dispositivos críticos del negocio, portátiles, equipos de sobremesa, routers, firewalls, switches, puntos de acceso wifi, incluso a los sistemas de seguridad responsables de salvaguardar toda la infraestructura del negocio.

Existen 2 categorías diferentes de herramientas PAM:

  • PASM (Privileged account and session management o Gestión de cuentas y sesiones privilegiadas): se utiliza el almacenamiento de credenciales como método para proteger las cuentas, actualizando periódicamente las mismas.
  • PEDM (Privileged elevation and delegation management o Gestión de delegación y elevación de privilegios): se otorgan privilegios en base a agentes instalados en los dispositivos de los usuarios.

¿Qué ventajas tiene implementar PAM?

  1. La primera es el sistema de gestión de contraseñas, ya que en una empresa hay varios sistemas, endpoints, equipos, routers, dispositivos de red, etcétera, y todos necesitan credenciales para su acceso. Una plataforma PAM, permite a los empleados usar estas credenciales, sólo necesitan la credencial para acceder al identity vault y desde ahí, una vez validados, acceder a las herramientas y aplicaciones que su cuenta tenga habilitadas.

  2. Otra ventaja es la automatización de cómo se aprovisionan ciertas cuentas y a ciertos usuarios en el entorno, lo que ayuda a agilizar los controles de seguridad favoreciendo la productividad del negocio.

  3. A través de una plataforma de acceso central, se puede administrar todos los accesos únicos a los sistemas y mejorar los privilegios que los usuarios tienen sobre los recursos de la compañía ajustándolos a los que realmente son necesarios.

  4. El control de las cuentas de superusario o con privilegios dentro de la organización. Son cuentas que deben estar auditadas de forma constante y monitorizar las desviaciones o anomalías que se salgan de las normas establecidas por las directrices de gobernanza de la empresa.

  5. Desde aquí llegamos al último punto, un informe de auditoría, que permite mostrar si se han cumplido con las regulaciones y normas, los estándares de la industria, sector, país, etcétera.

¿Cómo funciona para evitar incidentes?

PAM es una tecnología que ayuda a gestionar, auditar y controlar los accesos a cuentas con privilegios de la siguiente forma:

  • Gestionando de manera centralizada las contraseñas e identidades.
  • Supervisando y monitorizando las actividades realizadas por los usuarios privilegiados.
  • Controlando los accesos a recursos críticos en la organización.
  • Garantizando en todo momento la seguridad de acceso y cumplimiento de las normativas internas.

Para ello, se introducen controles en el acceso de gestión privilegiado (PAM) para mejorar el nivel de seguridad de las cuentas de usuarios, de forma que, al introducir sus credenciales, no accedan directamente a las herramientas y aplicaciones, si no que entren en un “identity vault”, que es un sistema de gestión de identidades todo en uno que combina las mejores prácticas de seguridad y lo último en opciones de autenticación biométrica, de modo que una vez validados estén bajo la monitorización de equipos de ciberseguridad que estarán al tanto de a que recursos están accediendo y a posibles comportamientos extraños dentro de estas cuentas. De hecho, este sistema se puede aplicar a todos los empleados de la organización, introduciendo un sistema de autenticación multifactor, para que estas credenciales concedan accesos temporales desde este identity vault con mecanismos time-based, solucionando los posibles problemas de seguridad en los servicios, en las bases de datos, en los endpoints y en los equipos.

La gestión de contraseñas dentro de una herramienta PAM incluye la creación de contraseñas complejas, su almacenamiento en un “passwords vault”, que es un sistema que almacena contraseñas para varias cuentas con privilegios en un sistema de administración de cuentas de privilegios. Normalmente, las contraseñas de las cuentas con privilegios rotan automáticamente y las contraseñas actuales se almacenan, de forma que se puedan cifrar para aumentar la seguridad y que ningún usuario externo a la empresa tenga acceso.

Buenas prácticas en la gestión de cuentas privilegiadas

  • Limitar al máximo la cantidad de cuentas privilegiadas.
  • Limitar al máximo los accesos de las cuentas privilegiadas tomando como base el principio del mínimo privilegio.
  • Utilizar las cuentas compartidas para usos puntuales y no compartir las contraseñas.
  • Establecer controles y mantener actualizado el listado cuentas de privilegiadas y sus accesos.
  • Utilizar herramientas PAM.

¿Dónde recibir asesoramiento o contratar una solución PAM?

Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.

Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan. 

BCSC Libro Blanco