Con la mano en el corazón - ¿Puede decir en este momento cuántos usuarios externos están conectados a la red de su empresa? Normalmente, tendrá que responder negativamente a esta pregunta de forma puntual. Podrá nombrar a los usuarios diarios internos, asignarlos a grupos y hacer un seguimiento de los mismos. Pero para los usuarios externos, como los proveedores de servicios informáticos, los suministradores o las empresas de mantenimiento a distancia, esto no se aplica en la mayoría de los casos.
Pero, ¿no son estos usuarios los que hay que vigilar? Aquellos que en parte se pasean con la lógica llave maestra de sus áreas críticas y se mueven libremente y sin ser observados en su infraestructura.
¿Dejarías las puertas y ventanas de tu oficina abiertas? ¿Te sentirías cómodo si los extraños entraran y salieran sin ser vistos?
Las medidas de seguridad para el acceso externo a sus sistemas por parte de sus proveedores o de TISupport deben basarse en algo más que la confianza ciega y los acuerdos de nivel de servicio. No sólo tiene que saber qué tecnologías y herramientas utilizan los distintos proveedores para acceder a su red, sino que también debe supervisar y saber cuándo y en qué medida acceden a sus sistemas y qué actividades realizan. En directo y a posteriori.
Acceso a mantenimiento remoto de alto riesgo
Proveedores de servicios de TI, empresas externas de larga data, remotosSupport, técnicos, proveedores, empleados externos, científicos de datos - la lista de terceros que requieren acceso temporal o en cualquier momento a su red corporativa en sus ámbitos es muy larga. Además, el suministro centralizado de rutas de acceso es cada vez más difícil debido a las infraestructuras híbridas y basadas en la nube. Es un hecho que no pasa un solo día sin que alguien acceda a sus activos internos que requieren protección desde el exterior. El acceso remoto es absolutamente estándar, ya sea en la contabilidad, la producción o la administración de TI.
Los terceros recurren a soluciones comunes como las conexiones VPN, los JumpServers o las herramientas para compartir aplicaciones. Todos ellos tienen una cosa en común: conectan la zona de seguridad de la red de su empresa con la zona de seguridad no controlada del usuario externo.
Esto significa que las medidas de seguridad que usted ha creado cuidadosamente a nivel interno para proteger las diferentes áreas de la red se ven gravemente comprometidas en este caso. Además, los empleados que vienen de fuera suelen utilizar cuentas de usuario anónimas, como "admin.firmaXY". Esto significa que las actividades de los usuarios no pueden asignarse a ninguna persona en caso de litigio o con fines de reconocimiento. Las empresas suelen implementar las VPN para permitir el acceso sin complicaciones a los proveedores de terceros. Asumen incorrectamente que esto conduce a un aumento absoluto de la ciberseguridad. Las VPN permiten el acceso, pero son principalmente una cosa: un túnel. No tiene ninguna influencia externa sobre las actividades dentro de un túnel (VPN). Esta posibilidad garantiza un acceso dedicado, pero no permite sacar conclusiones sobre qué se hizo, cuándo, dónde y cómo por parte de terceros usuarios.
El acceso incontrolado de terceros proveedores supone innumerables peligros
Infiltración de malware
Los datos de acceso inadecuadamente protegidos, de modo que puedan ser interceptados o reutilizados, potencian el riesgo. El acceso a la VPN carece de controles granulares. El malware podría entrar en sus sistemas a través del acceso del proveedor. La falta de controles granulares en la VPN también significa que la cuenta del proveedor puede tener mucho más acceso a los sistemas de lo necesario, lo que aumenta el riesgo de uso indebido, especialmente si la cuenta es comprometida por un actor de la amenaza.
La gente comete errores
Algunas amenazas de los proveedores no son de naturaleza maliciosa. Por ejemplo, los errores cometidos por un administrador de TI externo pueden paralizar los equipos de producción o hacer que el sistema ERP falle, abrir inadvertidamente brechas de seguridad o provocar problemas de cumplimiento. Aquí el riesgo de un usuario aumenta en proporción a los derechos de acceso concedidos y a los privilegios no controlados. En el peor de los casos, un incidente cibernético se ve agravado por el hecho de que no se pueden reproducir los errores, faltan registros de sesiones o no se pueden atribuir claramente las actividades a las personas.
Incumplimiento de los requisitos legales y contractuales
El cumplimiento de la normativa y las directrices emitidas para mantener la seguridad de la información suele ser ya un gran reto a nivel interno. Pero, ¿quién controla las contraseñas y la política de acceso de su proveedor externo que tiene acceso a su infraestructura informática? A menudo, las credenciales utilizadas por el tercer proveedor no están bajo el control directo del cliente. Dos redes diferentes y con dos directorios de usuarios y requisitos de seguridad heterogéneos hacen casi imposible el cumplimiento de la seguridad. Las auditorías de proveedores y los acuerdos de nivel de servicio aumentan la seguridad de la organización, pero incluso si pudiera garantizar que se siguen las mejores prácticas de seguridad, es posible que no tenga visibilidad de las actividades finales que tienen lugar de forma encubierta por parte de terceros en su infraestructura informática interna.
Medidas básicas para asegurar los accesos de mantenimiento remoto
- Supresión de las cuentas funcionales y colectivas
Una asignación clara de las actividades de los usuarios a personas reales garantiza una trazabilidad limpia en caso de emergencia y evita el uso incontrolado de las mismas contraseñas por parte de varios usuarios. La documentación de las actividades requiere un vínculo con las personas que las realizan. Sin excepción. - Autenticación multifactorial (MFA)
Multi Factor Authentication es imprescindible para cualquier acceso sensible a servidores, aplicaciones y datos. Para proporcionar un mayor nivel de seguridad de la identidad para el acceso remoto de los proveedores y el personal, se debe implementar un factor independiente adicional para la autenticación de la sesión. Es importante que el segundo factor nunca se reciba en el mismo dispositivo en el que se realiza el inicio de sesión principal. Técnicamente, esto se puede descartar. - Asignar el menor privilegio: todo el acceso debe limitarse al conjunto exacto de herramientas y permisos que un usuario necesita para desempeñar su función definida. Esto, unido a los periodos de tiempo fijos durante los cuales el usuario puede acceder a la infraestructura informática, da lugar a un modelo "justo a tiempo". El acceso no debe ser abierto y permanente y debe cumplir con las especificaciones, es decir, sólo se concede si se cumplen ciertos parámetros y se retira tan pronto como la actividad haya terminado, el contexto cambie o haya transcurrido un tiempo determinado.
- Supervisión y control de la infraestructura de red: las personas autorizadas de su departamento de TI deben tener siempre una visión general de todos los usuarios privilegiados que se encuentran en la red. Además, debe ser posibledeterminar retrospectivamente quién estuvo activo, dónde y cuándo. En caso necesario, debería ser posible identificar a todos los usuarios de la red y retirarlos de la infraestructura en caso de emergencia.
Ofrezca a sus proveedores, prestadores de servicios y empleados externos un portal central para acceder a los recursos necesarios individualmente para su trabajo diario dentro de su infraestructura de TI.
Líder de la cartera Privileged Access Management con Remote Support de Alemania
VISULOX es un producto único Privileged Access Management solución centrada en el control del acceso remoto.
VISULOX permite a su departamento interno de TI controlar, verificar y documentar automáticamente el acceso remoto privilegiado de los empleados externos, los proveedores de servicios y los suministradores.
No son necesarios agentes en los clientes ni modificaciones en los servidores. Instalamos VISULOX sobre la marcha sin interrumpir las operaciones.
Independientemente del sector, nuestros clientes confían en nuestra solución Privileged Access Management y valoran mucho las ventajas de nuestros módulos individuales:
- El principio de conceder el menor número de permisos: Proporcionar a un usuario privilegiado sólo las aplicaciones, herramientas y autorizaciones que necesita para realizar su trabajo. Y sólo durante los periodos en que los necesitan, justo a tiempo. Definir a qué puntos finales puede acceder un usuario y cuándo, y qué acciones están permitidas durante una sesión. Por ejemplo, privar al usuario de las funcionalidades de copiar y pegar o proporcionarle una única aplicación dedicada sin interfaz de escritorio. Si es necesario, también es posible restringir a los usuarios en función de su ubicación y notificar a las personas autorizadas si se violan los parámetros de seguridad definidos.
- Autenticación y gestión de contraseñas seguras:
Aumente la seguridad del inicio de sesión adhoc aplicando la autenticación multifactor (MFA). Seguridad de la identidad mediante la integración de un MFA para gestionar las contraseñas de los proveedores y del personal externo. Es posible establecer la funcionalidad de inicio de sesión único para que, en las sesiones seleccionadas, los usuarios nunca vean una contraseña. La caché de contraseñas integrada ayuda a la organización de TI a aplicar las políticas de contraseñas incluso para los usuarios ajenos a la propia infraestructura de TI. Los cambios continuos en las contraseñas de los usuarios privilegiados y las claves SSH refuerzan la solidez de la plataforma de acceso externo. Una funcionalidad MFA estándar integrada admite numerosos factores, como OTP, correo electrónico, SMS, voz, tokens físicos, etc. Independiente del proveedor, es posible integrar sin problemas las soluciones de AMF existentes. - Registros de actividad fiables con sólo pulsar un botón:
Por un lado, todas las actividades realizadas por terceros dentro de su infraestructura de TI deben estar documentadas. Lo ideal es que este registro sirva como registro de rendimiento operativo de las actividades. Por otro lado, un usuario con privilegios tiene la opción deregistrar voluntariamente los comandos críticos o las actividades desafiantes para su trazabilidad. Un usuario no puede ser grabado en secreto bajo ninguna circunstancia. Incluso en el caso de la cooperación de varios usuarios mediante el uso compartido de aplicaciones, es posible registrar las interacciones de los usuarios individualmente y por separado. La grabación opcional de las pulsaciones de las teclas permite registrar de forma transparente las entradas y los comandos de la consola. Las películas tienen un periodo de almacenamiento definible según los requisitos legales u organizativos y se almacenan de forma encriptada y a prueba de auditorías a un volumen de aproximadamente 5 Mb por hora.
VISULOX es una solución líder de gestión de accesos privilegiados con plataforma integradaSupport remota para un acceso externo seguro. Ayudamos a responder a la pregunta de quién hizo qué, dónde y cuándo en las infraestructuras de TI.
amitego es el principal proveedor de soluciones Privileged Access Management y Remote Support plataformas en Alemania. Llevamos desarrollando nuestras soluciones en Stuttgart desde 2003.
VISULOX se utiliza en todo el mundo y, por un lado, cumple con las tareas que requiere la operación actual. Por otro lado, proporciona las pruebas exigidas por las leyes o los reglamentos. Especialmente la transparencia de las actividades de terceros es imperativa para garantizar el control de las actividades reales de los usuarios cuando acceden a la infraestructura informática.
Hoy en día, la solución es utilizada por un gran número de empresas de una amplia gama de industrias en muchos países. Desde instalaciones con 5 usuarios hasta instalaciones empresariales con más de 7.500 usuarios simultáneos, en pymes y empresas Dax30. Todo ello sin necesidad de modificar los clientes ni los servidores.
Nuestra experiencia demuestra que sabemos escuchar. Una breve conversación personal puede salvar muy a menudo largas distancias. Estaremos encantados de reunirnos con usted en una breve cita, si lo desea, con una posible demostración en vivo.