Cómo implementar el control de acceso Zero Trust

Explora las mejores prácticas para la arquitectura Zero Trust enfocadas en el control de acceso y el cumplimiento de ISO/IEC 27002. Estrategias esenciales para la gestión segura de usuarios y aplicaciones.

Si es la primera vez que lees sobre este tema, te recomendamos que consultes los pasos iniciales. Aquí puedes revisar los requisitos para implementar el control de acceso.

Anteriormente, enumeramos los requisitos para implementar el control de acceso de acuerdo con los requerimientos de una arquitectura Zero Trust basada en ISO/IEC 27002. Ahora, revisaremos los pasos de la gestión y control de acceso a sistemas y aplicaciones, donde esos requisitos se ponen en práctica.

Gestión de acceso de usuarios

Prevenir el acceso no autorizado a sistemas y servicios es fundamental para el correcto funcionamiento de una arquitectura Zero Trust. ISO/IEC 27002 establece un conjunto de mejores prácticas que siguen el mismo propósito y tienen la formalización de procesos como su actividad principal.

Formalización de procesos de control de acceso

Debemos destacar la importancia de los registros y la formalización al practicar la filosofía Zero Trust. Documentar procesos brinda la visibilidad necesaria para monitorear, analizar y mejorar la seguridad de los activos y servicios de TI, y lo mismo ocurre con el control de acceso a ellos.

Por lo tanto, la gestión de acceso requiere un proceso formal para registrar, deshabilitar y eliminar IDs de usuario, con el objetivo de establecer las siguientes reglas:

  • uso de IDs de usuario únicos: esta es una forma de vincular a cada usuario con sus responsabilidades y acciones, de modo que cualquier permiso adicional solo se otorgue tras su aprobación y su respectiva documentación;

  • eliminación, revocación o deshabilitación inmediata de IDs de usuarios que han dejado la organización: como explicamos en el primer post sobre control de acceso, es importante seguir los criterios de criticidad y sensibilidad de los activos y recursos involucrados y realizar análisis críticos frecuentemente, especialmente para usuarios del sistema como “sysadmin”, “root”, “administrador” y otros;

  • eliminación e identificación periódica o deshabilitación de usuarios redundantes con IDs: eliminar IDs repetidos, evitar la colisión de IDs y asegurar que los IDs no se vuelvan a emitir a otros usuarios es importante por varias razones, incluida la de garantizar el uso de IDs únicos. La emisión de IDs temporales es una mejor práctica en tales casos, ya que las credenciales a largo plazo son propicias para la redundancia.

  • el token y los IDs no pueden ser secuenciales: si la implementación entrega valores secuenciales al definir un patrón para la generación de un token de sesión, puede ser violado mediante ingeniería inversa.

Es importante notar que las reglas también se aplican, en la medida de lo posible, a identidades de máquinas. La idea es que cualquier permiso que se otorgue o revoque para todos los tipos de usuarios debe pasar por un proceso adecuado y formal, que debe ser documentado.

Otro punto a tener en cuenta es el aprovisionamiento para el acceso de usuarios, que exploraremos a continuación.

Aprovisionamiento de acceso de usuarios

El aprovisionamiento de usuarios es la concesión/revocación de permisos a servicios y aplicaciones dentro del entorno de trabajo. En la esfera Zero Trust, la formalización de este proceso es obligatoria y debe ajustarse a los requisitos de control de acceso y políticas.

Esto facilita la ejecución de otro procedimiento importante para el control de acceso: el análisis del nivel de acceso otorgado. En este procedimiento, la política de acceso —construida en las fases anteriores de la jornada— es el parámetro para determinar si la solicitud es consistente con los requisitos, y ningún privilegio puede ser otorgado sin una verificación completa.

Además, todos los procedimientos mencionados en el tema anterior aplican al aprovisionamiento, como la documentación, revocación de derechos con respecto a usuarios que han dejado la organización, cambio de derechos para usuarios que han cambiado de roles y revisiones críticas frecuentes con la participación del propietario del activo.

Se recomienda asignar cláusulas contractuales a identidades humanas (incluidos socios y proveedores de servicios) que especifiquen sanciones por intentos de acceso no autorizados.

Derechos de acceso privilegiado

Formalizar el control y la restricción en la concesión y uso de derechos de acceso privilegiado es un proceso crítico, cuya ejecución debe estar estrictamente alineada con las políticas de control de acceso, considerando los requisitos mínimos para realizar la tarea.

Podemos construir una analogía entre el acceso privilegiado y un tesoro guardado en una caja fuerte, al que solo dos elementos de la organización pueden acceder y sacar la cantidad exacta necesaria para sus propósitos: el guardia y el propietario.

Trabajan juntos en los pasos donde el usuario se identifica, sus responsabilidades son analizadas críticamente y adquiere las credenciales temporales con derechos suficientes para llegar a la sala de la bóveda, verificando en cada paso si se han cumplido los requisitos de control de acceso.

Después de realizar las verificaciones, los derechos son asignados y al usuario se le da un ID diferente del que usa para sus actividades habituales. El guardia luego abre la caja fuerte para que el propietario recupere la cantidad solicitada y se la dé al usuario, quien debe consumirla dentro de un período específico.

Volviendo al contexto Zero Trust, mientras el acceso privilegiado está activo, se deben ejecutar y mantener procedimientos específicos para prevenir el uso no autorizado del ID otorgado al usuario, preferiblemente utilizando soluciones que permitan la creación granular de reglas.

También es muy recomendable que los derechos otorgados tengan una fecha de vencimiento establecida y sean revocados al final de la actividad, ya que el acceso malicioso, como ransomware o malware, solo tendrá éxito si obtiene permiso para realizar ciertas acciones.

Control de acceso a sistemas y aplicaciones

Entre las directrices de ISO/IEC 27002 enfocadas en el control de acceso a sistemas y aplicaciones, tenemos dos tipos importantes de control para una arquitectura Zero Trust preparada para el futuro, aplicados al uso de programas capaces de anular controles de sistemas y aplicaciones y al código fuente del programa.

Las políticas de acceso deben garantizar la protección de los usuarios y su información de autenticación, así como describir los requisitos mínimos necesarios para otorgar acceso a los activos y otros sistemas. De esta manera, se minimizan los riesgos de amenazas internas y, al mismo tiempo, se educa a los usuarios, desarrolladores y otras partes interesadas sobre las mejores prácticas de seguridad para las credenciales de acceso.

Debido a la sensibilidad de estos componentes, es esencial que el acceso a ellos esté estrictamente controlado a través de procedimientos de identificación, autenticación y autorización, segregación de programas de utilidad del software de aplicación, registro del uso de estos programas, entre otras acciones.

Contenido relacionado

Comunidad

mantente actualizado

Suscríbete a nuestro boletín informativo

Recibe las últimas actualizaciones de productos, destacados de eventos y conocimientos de la industria tecnológica directamente en tu bandeja de entrada.