El mantenimiento a distancia como riesgo. Una reflexión para los responsables de la toma de decisiones

Vistas del auditor VISULOX Cockpit Audit Trails

Las noticias diarias, los folletos publicitarios de las grandes compañías de seguros, los proyectos de certificación según ISO 27001, NIST, PCI DSS o las recomendaciones de las autoridades de protección de datos, así como los resultados de las auditorías anuales de los auditores: la avalancha de requisitos y recomendaciones en materia de ciberseguridad es interminable. En cambio, el guiño y la mentalidad de "todo irá bien" se está debilitando notablemente. Y todo esto, por una buena razón.

Todas las recomendaciones de medidas actuales dan un lugar especial al tema del mantenimiento a distancia. No sin razón. Los responsables suelen subestimar los riesgos del acceso a través de las líneas de comunicación de datos. No son tangibles, son casi invisibles, están cubiertos "de una manera u otra" por los acuerdos de nivel de servicio y los contratos con los proveedores de servicios y el retorno de la inversión no es un motor para el futuro.

Averigüe de forma continuada lo que hay que tener en cuenta desde el punto de vista de los riesgos y la gestión cuando se trata del mantenimiento remoto y el acceso a activos y secretos de la empresa que requieren protección. A menudo desapercibido, éste es uno de los mayores desencadenantes de incidentes graves de ciberseguridad.

Hay dos hechos que lo corroboran:  

  1. El mantenimiento a distancia abre la puerta a la fuga de información. 
  2. Las acciones de los usuarios remotos no están controladas y tienen lugar en secreto.

Los requisitos de las normativas externas pertinentes, así como los responsables de la seguridad de la información interna, abordan exactamente estos puntos como un molino de oraciones.

Control y transparencia de los usuarios autorizados y privilegiados que acceden a los sistemas de TI y OT. 

El tipo clásico de mantenimiento remoto (puerta de enlace remota con VPN y comunicación de extremo a extremo) siempre tiene lugar en la trastienda. Es posible el control de la vía de comunicación, pero no el control del contenido de la comunicación. 

El uso de cortafuegos, VPN, jump-serves y sistemas de detección ayudan fundamentalmente a evitar o al menos a reconocer los peligros procedentes de terceros y de los accesos no autorizados, pero no ayudan a controlar y documentar los accesos autorizados.

Según el acceso concedido y la función del usuario, éste recibe las autorizaciones necesarias. Estos van desde el puro uso de la información por parte de las aplicaciones hasta el acceso administrativo a nivel de base de datos o sistema operativo. En este último caso, se habla de acceso con derechos privilegiados y es una necesidad en el contexto de las operaciones informáticas. 

La seguridad informática es una disciplina de liderazgo del futuro en red

Como parte de su mandato, los responsables de la toma de decisiones deben conocer las respuestas a las siguientes preguntas:

  1. ¿Qué significa para mi organización el "acceso con derechos privilegiados a los datos corporativos"?

2) ¿Cuáles son los diferentes riesgos estratégicos y operativos? 

¿Qué medidas preventivas toma el departamento de TI y qué requisitos de cumplimiento son los actuales?

4. ¿se identifican los riesgos específicos y se evalúan de forma realista en la gestión interna de riesgos de la empresa? 

Los riesgos reales deben trasladarse al mundo lógico

El acceso físico a los locales comerciales, por ejemplo, implica naturalmente métodos reconocibles de control y transparencia: por ejemplo, prueba de identidad mediante tarjetas de identificación, controles de acceso, videovigilancia o normas de escolta. A través de estos métodos, se responde a las preguntas centrales: ¿Cuándo dejó entrar quién a quién en el edificio? ¿Cuándo estuvo quién en qué sala? Quién hizo qué en qué sala y cuándo.

Es perfectamente normal que nos graben en el cajero automático, ¿no? 

Pero, ¿quién hace estas preguntas con acceso lógico? El acceso al mantenimiento a distancia debe estar sujeto a normas equivalentes y producir los mismos resultados: ¿Quién dio acceso a quién? ¿Qué se hizo, cuándo y cómo? Quién ha trabajado con qué datos y cuándo ¿a qué hora? En este caso, el "quién" debe representar una identidad única, al igual que en el espacio físico: no se deben aceptar denominaciones como "raíz" o "administrador". Se trata de identidades profesionales como "cuidador" o "técnico de la empresa xyz" y no son identidades individuales, por lo que no se pueden rastrear.

En el contexto del mantenimiento remoto, un usuario privilegiado tiene que realizar sus tareas. En la práctica, el usuario dispone de un conjunto normalizado de autorizaciones. Sus derechos siempre le permiten más de lo necesario para la tarea real. Este "más" no puede ser evitado por el sistema, ya que de lo contrario no se pueden completar partes de la tarea. Por ejemplo, el proveedor de servicios necesita derechos privilegiados para administrar el servidor de correo electrónico. Estos privilegios permiten al proveedor de servicios ver los correos electrónicos aunque esto no forme parte explícitamente de la asignación. 

En consecuencia, surgen altos riesgos multidimensionales:

El riesgo estratégico: se basa en la posibilidad de que se conozca o se filtre información de misión crítica.

El riesgo operacional: se basa en el sabotaje de los procesos informáticos en torno al servidor de correo electrónico.

El objetivo es identificar y reducir los riesgos. 

Medidas para reducir los riesgos de los accesos incontrolados de mantenimiento a distancia

VISULOX. aborda precisamente esta área de problemas. Reduzca y evite los riesgos durante el mantenimiento a distancia: 

  • La identidad del usuario se almacena y es confirmada, por ejemplo, por un servidor ActiveDirectory e integrado Multi Factor Authentication confirmado.
  • La inscripción sólo se realiza en el marco de las ventanas de inscripción asignadas. El usuario sólo tiene acceso a los componentes necesarios para su tarea
  • En vivo, las actividades actuales son visibles en un Cockpit visibles y controlables
  • El usuario externo puede ser acompañado en su trabajo
  • Las actividades del usuario con los datos se registran completamente en una película
  • La transferencia de archivos es configurable tanto de entrada como de salida, según la tarea. Esto también se aplica al uso de copiar y pegar (evita el robo de datos). 

Desde 2003, amitego se dedica al acceso controlado y registrado a las infraestructuras informáticas, a su gestión y a su seguridad. 

VISULOX es una solución probada que se adapta de forma óptima a este vector. A diferencia de muchos otros productos del mercado, VISULOX combina todos los requisitos en una solución para el acceso a las infraestructuras informáticas a prueba de auditorías. Al mismo tiempo, VISULOX debe ser implementado de acuerdo con las normas aplicables en materia de protección de datos y la ley de constitución de obras. 

VISULOX se utiliza de forma global y, por un lado, cumple las tareas que requiere la operación actual. Por otro lado, proporciona las pruebas exigidas por las leyes o los reglamentos. Especialmente la transparencia de las actividades de terceros es imperativa para garantizar el control de las actividades reales de los usuarios cuando acceden a la infraestructura informática. 

Die Lösung wird heute bei einer Vielzahl von Unternehmen aus verschiedensten Branchen in vielen Ländern eingesetzt. Von Installationen mit 5 Usern bis hin zu Enterprise Installationen mit < 7.500 gleichzeitigen Anwendern, bei KMUs und Dax30 Unternehmen. Alles zu implementieren ohne Änderungen an Clients oder Servern.

Nuestra experiencia demuestra que sabemos escuchar. Una breve conversación personal puede ahorrar muy a menudo largos desplazamientos. Estaremos encantados de reunirnos con usted en una breve cita de 15 minutos. No dude en inscribirse a continuación. Estaremos en contacto.

Tenemos más temas sobre los que nos gusta escribir.

3 buenas razones para decir adiós a la VPN

3 buenas razones para decir adiós a la VPN

Las VPN están más extendidas, pero suponen un alto riesgo. 3 razones por las que la VPN debería ser sustituida por una solución PAM con Remote Support debe ser intercambiado.

Consentimiento para el uso de cookies con un banner de cookies real