PAM, PIM e IAM: ¿Qué son y cómo ayudan a proteger los accesos críticos en las empresas?

Las soluciones de gestión de accesos privilegiados han mostrado estos últimos meses ampliamente su altísimo valor a la hora de proteger a las organizaciones. De hecho, Thycotic, proveedor líder de soluciones de gestión de accesos privilegiados (PAM) para más de 10.000 organizaciones de todo el mundo, acaba de comunicar que ha crecido un 110% solo en 2020, a pesar de la situación de crisis sanitaria que estamos viviendo. Un crecimiento que se ha experimentado además en todo el mundo.

Según el informe The Forrester Wave™: Privileged Identity Management 2020, actualmente, los CISOs están tratando de asegurar cada vez más el acceso privilegiado, ya que empresas de todo el mundo aseguran que las identidades de las máquinas están creciendo al doble de la tasa de las identidades humanas. Y la definición de usuario privilegiado se está expandiendo para incluir a usuarios que no son de TI. 

Y es que la rápida adopción del teletrabajo, la necesidad de accesos remotos y de contar con soluciones cloud para poder continuar con la productividad de muchos negocios durante el confinamiento y la inesperada transformación digital adquirida, además, en tiempo récord, ha hecho que muchas empresas necesiten implementar medidas de ciberseguridad que garanticen su viabilidad ante este escenario.

Una de las vías de entrada más frecuentes para los ciberdelincuentes son los accesos privilegiados, que están involucrados en el 80% de las brechas de seguridad. Sin embargo, muchos no saben exactamente la importancia de la gestión de accesos e identidades privilegiadas para proteger cualquier compañía, independientemente de su tamaño. Es más, en muchos casos es difícil diferenciar la oferta del mercado, algunos conceptos y nomenclaturas como Gestión de Identidad Privilegiada (PIM), Gestión de Accesos Privilegiados (PAM) o Gestión de Identidades y Accesos (IAM) y detectar qué valorar a la hora de decidirse por una u otra solución.

PAM, PIM, IAM y otros acrónimos de gestión de acceso están relacionados con lo mismo: soluciones para proteger activos sensibles de una compañía. Estos términos tratan sobre la protección de datos, procesos y sistemas mediante la administración de quién o qué tiene acceso y qué puede ver y hacer en cada momento. Muchas de estas definiciones se superponen, por lo que muchos se inclinan a usarlas como si fueran intercambiables, y esto genera mucha confusión.

¿Qué es tener privilegios o accesos privilegiados?

El Privilegio es la autoridad para realizar cambios en una red o computadora. Tanto las personas como las cuentas pueden tener privilegios, y ambos pueden tener diferentes niveles de privilegio. Por ejemplo, un administrador de TI senior o un «superusuario» puede configurar servidores, firewalls y almacenamiento en la nube, y tiene un alto nivel de privilegios.

Sin embargo, un representante de ventas debería poder utilizar algunos sistemas (iniciando sesión en computadoras portátiles y accediendo a datos de ventas, por ejemplo), pero no debería poder cambiar la configuración de red, los permisos o descargar software a menos que esté en una lista aprobada. Existen por tanto muchas personas con diferentes niveles de acceso a la red en una sola organización. 

Por otro lado, contar con acceso privilegiado es conceder un acceso autorizado y definitivo a un usuario, proceso o computadora protegidos. La administración de acceso privilegiado, por lo tanto, abarca un ámbito más amplio que la administración de cuentas privilegiadas, centrada en los requisitos especiales para administrar esas poderosas cuentas dentro de la infraestructura de TI de una organización.

También consta de las estrategias y tecnologías de seguridad cibernética para ejercer control sobre el acceso y los permisos elevados para usuarios, cuentas, procesos y sistemas en un entorno de TI.

Las diferencias entre administración de privilegios, de acceso privilegiado y de cuentas privilegiadas

La administración de privilegios se refiere al proceso de administrar quién o qué tiene privilegios en la red. Esto es diferente de la administración de cuentas privilegiadas, que se refiere a la tarea de administrar las cuentas reales a las que ya se les han otorgado privilegios. Siempre decimos que las cuentas privilegiadas son las llaves del reino. Proporcionan acceso a la información más importante de una empresa.

Una cuenta privilegiada puede ser humana o no humana. Estas cuentas existen para permitir que los profesionales de TI administren aplicaciones, software y hardware de servidor.

También proporcionan niveles de acceso administrativos o especializados basados ​​en niveles más altos de permisos compartidos. El usuario típico de una cuenta privilegiada es un administrador de sistema responsable de administrar un entorno o un administrador de software o hardware específico.

Gestión de identidad vs. gestión de privilegios 

Por lo tanto, la Gestión de Privilegios se acepta generalmente como un tipo de soluciones integradas dentro de la Gestión de Accesos y de Identidad (IAM). Por su parte, los conceptos de Identidad y Privilegio están también unidos el uno al otro.

Pero a medida que las soluciones de Gestión de Privilegios y de Gestión de Identidades Privilegiadas (PIM) se vuelven más sofisticadas, las líneas continúan difuminándose. En muchas organizaciones, el mismo equipo de seguridad o de operaciones de TI es responsable de las herramientas, políticas y monitorización tanto de Gestión de Privilegios como de Gestión de Identidades privilegiadas. 

Concretamente, la Gestión de Identidades Privilegiadas (PIM) asume que cada usuario es un usuario privilegiado y la identidad se asigna a un usuario concreto. Por ejemplo, un empleado, su jefe, el administrador de TI o el Director Financiero son personas que pueden tener derecho a acceder, crear, actualizar o eliminar contenido privilegiado.

Y uno de los objetivos de las soluciones de Gestión de Accesos e Identidades (IAM) es otorgar una identidad digital a cada individuo, incluso si ese individuo accede a muchos tipos de cuentas distintas. Una vez que se ha establecido esa identidad digital, se debe mantener, modificar y monitorear en función de las necesidades. 

Por otro lado, la Gestión de Privilegios, como parte de (IAM), gestiona los derechos, no solo para los usuarios, sino también para las cuentas con privilegios, independientemente de la identidad, como son las cuentas administradoras o de servicio. Las herramientas PAM, a diferencia de las herramientas IAM o los administradores de contraseñas, protegen y administran todas las cuentas privilegiadas.

Por eso las soluciones PAM van más allá de la simple generación de contraseñas, grabación de sesiones y de control de acceso a sistemas individuales. Ya que también proporcionan una plataforma unificada, sólida y, lo que es más importante, transparente y completamente integrada en la estrategia general de Administración de Identidades y Accesos (IAM) de una organización.

Riesgos de tener cuentas privilegiadas desconocidas o no administradas

Una cuenta privilegiada que se desconoce es una cuenta que se ha olvidado y perdido en el sistema. Prácticamente todas las organizaciones tienen algunas cuentas desconocidas y algunas tienen miles. Las cuentas se vuelven desconocidas por muchas razones:

• Un empleado se va y la cuenta simplemente se abandona.
• La cuenta se utiliza cada vez menos hasta que se vuelve obsoleta y olvidada.
• No se utilizan cuentas predeterminadas para dispositivos nuevos.

Cada cuenta desconocida aumenta su vulnerabilidad y presenta una oportunidad para una intrusión. Estas son algunas cosas que podrían suceder:

• Un empleado encuentra la cuenta y la usa para realizar tareas no autorizadas.
• Un ex empleado sigue accediendo a la cuenta.
• Un ciberdelincuente encuentra la cuenta y penetra en su organización, roba información y causa pérdidas incalculables.

¿Qué hace una solución PAM para proteger los activos de ataques internos y externos?

Con el objetivo de que un ciberataque externo no pueda consumarse a través de accesos privilegiados, las soluciones PAM te ayudan entre otros a identificar cuentas privilegiadas diseminadas en la organización y las incluye en el repositorio protegido.

Desde este repositorio protegido, los accesos son gestionados de forma automatizada, se gestionan sesiones, passwords, se almacenan registros para auditoría, grabación de sesiones y se lanzan accesos de autenticación robusta. Y, ¿de cara a ataques internos? Los trazos de los registros, las grabaciones y las alertas de email advierten a los administradores de lo que está ocurriendo en las cuentas y activos privilegiados.

¿Qué solución necesita tu empresa?

El último informe The Forrester Wave™: Privileged Identity Management 2020 analiza a 10 compañías del sector y valora muy positivamente a la hora de seleccionar la solución, la capacidad de integración con todo tipo de aplicaciones, la experiencia del usuario, cómo el uso de la ley del mínimo privilegio puede controlar los derechos de acceso para reducir los riesgos o la capacidad de incluir usuarios que no son de TI e identidades de máquinas.

Estos son algunos de los aspectos más destacados y puedes descargar el informe, en el que Thycotic ha sido nombrado líder para conocer todo sobre la Gestión de Identidades Privilegiadas (PIM) y cómo puede ayudar a tu empresa de ciberataques y brechas de seguridad.