En Sin categoría

Las herramientas PAM o de Gestión de Acceso Privilegiado se están convirtiendo en una de las soluciones que más demandan aquellos negocios que cuentan con un ecosistema tecnológico provisto de entornos críticos.

La Gestión de Accesos es ya medio preventivo contra amenazas.

Pero también un medio administrativo en el caso de las organizaciones que trabajan con diversos proveedores o técnicos que participan de la administración del sistema.

Analizamos qué es el PAM en Ciberseguridad y de qué modo puede ser interesante integrarla en vuestra empresa.

Qué es PAM y Gestión de Accesos en Informática

Se trata del conjunto de acciones y herramientas destinadas a implantar sistemas de control adicional en el acceso a entornos críticos dentro de la infraestructura de un sistema informático.

Entendiendo entorno crítico como aquellos espacios a cuyo acceso podría comprometer el funcionamiento del sistema y en consecuencia del negocio, el PAM se establece como una barrera previa a esta ubicación, con el objetivo de actuar como doble escudo ante cualquier tipo de amenaza.

De este modo, una herramienta de Gestión de Accesos Privilegiados genera un sistema de protección adicional a los sistemas convencionales.

Para ello, se despliegan determinadas herramientas que dan cobertura a toda la Infraestructura IT.

En un entorno crítico protegido por PAM, cualquier tipo de conexión o acceso implantada bajo este paradigma estará limitando su entrada exclusivamente a aquellos sujetos que cumplan con la característica de contar con privilegios adicionales.

Dicho de otra forma: el PAM limita el acceso al entorno crítico solo a aquellas personas que cuenten con permisos especiales.

De este modo, generamos una capa de protección en el acceso y gestión de los sistemas, no solo hacia agentes maliciosos, sino también en cuanto a técnicos de sistemas de la propia empresa o administradores que actúan sobre su Infraestrcutura bajo condiciones de Outsourcing o como proveedor de cualquier servicio sobre el sistema.

Acceso Privilegiado

Pero para entender qué es PAM y cómo funciona, sin lugar a duda será interesante comprender qué es un Acceso Privilegiado.

En tecnologías de la información, se llama Acceso Privilegiado al conjunto de autorizaciones o permisos adicionales que percibe un técnico o cualquier otro perfil que requiera acceder a los que hemos denominado entornos críticos.

En realidad, la consideración de entorno crítico es una valoración que realiza la empresa protegida en cuanto a la prolongación del entorno sobre el que quiere extender sus medidas de protección adicionales.

El objeto de protección del entorno crítico puede ser de cualquier naturaleza, desde archivos de cualquier tipo, así como sistemas, aplicaciones, bases de datos, plataformas en la nube o cualquier elemento y entorno que sea necesario proteger.

En cualquier caso, el Acceso Privilegiado funciona como una autorización que habilita o limita el control de este tipo de perfiles técnicos que requieren poderes adicionales.

Un software PAM se encarga, por tanto, de facilitar y controlar la administración de este tipo de accesos.

Cómo funciona PAM Software

A nivel de integración, el funcionamiento de un PAM se basa en la instalación de un software que se ubica entre el usuario con acceso privilegiado y el entorno crítico.

Para ayudarte a visualizarlo en tu mente, imagina que su funcionamiento es similar al de la muralla de un castillo.

El usuario que quiere acceder al castillo necesitará el santo y seña que le permitirá acceder a su interior.

Frente a los métodos de protección tradicionales, (que serían equivalentes al foso de nuestra fortaleza), el PAM agrega una barrera de acceso infranqueable a los sistemas, desplegando cobertura de protección completa sobre el entorno crítico.

¿Cómo lo hace?

Si un técnico desea acceder a la zona protegida, necesitará pasar previamente por la herramienta PAM, y haciendo uso de sus credenciales personales, confirmar desde esta que cuenta con los accesos privilegiados.

Una vez en su interior, la herramienta PAM le permitirá acceder y actuar únicamente sobre los entornos sobre los que posee privilegios.

Dicho de otro modo: si sus credenciales personales son correctas, el PAM le abrirá la pasarela que le dará acceso al interior del castillo.

Eso sí, su ruta será guiada y controlada, permitiéndole acceder únicamente a las secciones y con las condiciones concretas para las que se le concedió permiso.

Beneficios de una herramienta PAM

Sistema de doble acceso

Un PAM garantiza la aplicación de un sistema de acceso en dos pasos a la zona del sistema que protege.

La primera es el login con las credenciales personales.

La segunda consiste, una vez dentro, en la adquisición de los poderes coartados a las autorizaciones de las que dispone únicamente ese usuario.

De este modo, además de monitorizar su actividad, limitamos los márgenes de actividad que tiene cada individuo.

Control y conocimiento total de la sesión

Una herramienta PAM permite visibilizar, controlar y auditar el uso que se hace de la gestión de accesos privilegiados.

No solo nos permite restringir los privilegios de los que dotamos a cada técnico.

Cada vez que se accede, se localiza y graba toda la actividad que él ha realizado cuando usa su juego de credenciales personales.

Algunas de las acciones y tecnologías aplicadas en PAM para la auditoría en tiempo real pueden ser:

  • Gestión de conexiones
  • 4-Eyes
  • Análisis de comportamiento
  • Intervención
  • Identificación de usuario
  • Doble autenticación
  • Control de acceso

Cobertura extra contra ciberataques

El software PAM se basa en establecer una capa de protección extra en el punto de acceso al sistema.

Esta capa de protección adicional de un PAM supone una cobertura de protección extra muy robusta.

Desplegar cobertura adicional al entorno crítico supone un bloqueo en la cadena de ataque procedente tanto de fuera como incluso de la propia organización.

Identificación personal ante posibles fisuras

Si limitamos el acceso a determinados perfiles y esta acción nos permite monitorizar toda la actividad procedente de esa cuenta, será fácil identificar el origen de un ataque ante cualquier tipo de fisura.

De este modo, los técnicos que tuvieran intenciones maliciosas, se abstendrán de hacerlo al saber que toda su actividad está siendo grabada y que en caso de intento de ataque, serán fácilmente identificados.

¿Qué sucedería si pierden sus claves? Las herramientas PAM permiten que, ante cualquier intento de entrada, sea necesaria la coordinación y confirmación del acceso por parte de un segundo técnico.

Cobertura de ataque coartada

Suponiendo la improbable superación de la barrera de protección que establece una herramienta PAM, podemos limitar la capacidad de extensión y manipulación asignada a cada cuenta.

Un técnico podrá acceder únicamente a determinadas funcionalidades.

Si decidimos que cierto usuario solo puede acceder a un área concreta del negocio, podemos estar seguros de que el resto de la infraestructura estará a salvo.

Claves invisibles o auto-renovables

En función de la configuración de la herramienta PAM, las claves de acceso al sistema serán invisibles para el usuario que accede.

Esto supone que cuando el técnico trate de ingresar a una parte del sistema mediante su herramienta de acceso privilegiado, el PAM actuará como pasarela, conectándole sin que él tenga que manipular las claves finales.

En otros casos, estas credenciales sí serán visibles para el usuario, pero cada vez que las use serán restauradas por la herramienta de gestión de accesos privilegiados.

De este modo, las credenciales serán reiniciadas cada vez que se usen, impidiendo que pueda hacerse un uso fraudulento de estas.

PAM y cumplimiento de la ISO 27001

Se trata de un tipo de certificado de calidad que cada vez demandan más empresas con actividad de tipo tecnológico.

Disponer de una 27001 garantiza la buena práctica en la integración y desarrollo de soluciones que protegen la integridad tecnológica de la empresa.

Y en este sentido, no dudamos en afirmar que la herramienta PAM es una de las opciones que mejor garantizan el cumplimiento de esta normativa.

Funcionalidades principales de un PAM

Concretar el acceso de usuarios externos

A menudo, nuestra empresa requiere de la acción de proveedores y técnicos externos, bien mediante Outsourcing IT o con acciones particulares.

Así, estaremos dotando de poderes a agentes que podrían no ser de plena confianza.

Contar con una herramienta PAM, especialmente cuando dependemos de este tipo de relaciones, nos ayudará a facilitar la entrada a entornos críticos manteniendo pleno control de los accesos privilegiados.

Gestión de contraseñas e inyección de credenciales en entornos críticos

Los entornos críticos pueden ser vulnerados tanto por agentes externos como internos.

Imagina un empleado que toca donde no debe o un exempleado que se lleva las claves a casa.

Poder establecer filtros y contraseñas invisibles para cualquier perfil nos garantiza que ningún técnico externo o interno pueda hacer un uso fraudulento del sistema.

Restringir acceso en tiempo real a usuarios concretos

Un PAM software permite determinar en tiempo real los poderes que tiene cada usuario.

Así conseguimos filtrar y establecer qué técnicos pueden acceder a nuestro sistema informático y con qué condiciones hacerlo según el momento.

Auditar accesos de usuarios con permisos de administrador

Y aun así, para nuestra seguridad, todas las sesiones son grabadas.

De este modo localizamos e identificamos posibles amenazas.

Y podemos analizar y comprobar cualquier movimiento que haya desestabilizado el sistema para comprobar qué acción lo provocó y encontrar el método para revertirlo.

Análisis de comportamientos y bloqueo de comandos

Algunas herramientas PAM son capaces de analizar los patrones de uso de cada usuario para reconocer su actividad cuando acceden al sistema.

Esto significa que podremos analizar el comportamiento o modo de actividad de cada usuario, incluida su forma de teclear, lugares a los que accede, errores y otros comportamientos que nos permiten identificar al sujeto.

Este análisis genera un perfil atribuido al técnico mediante sistemas de aprendizaje basados en Machine Learning, bloqueando su actividad en caso de sospechas o acciones que no se reconocen como propias.

Alternativas al PAM

¿Recuerdas la metáfora del castillo y la muralla?

Las alternativas al PAM actuarían como el tipo de herramientas y soluciones que más arriba comparábamos con el foso previo a la muralla del castillo.

En un sistema informático desprovisto de la instalación de software PAM, el acceso al entorno crítico suele estar limitado por las que podríamos denominar herramientas de protección tradicionales:

  • Firewall
  • Syslog y SIEM
  • Antivirus
  • Cifrado

Se tratan de herramientas que podrían ser suficientes para sistemas pequeños.

Herramientas que en cualquier caso conviene analizar para garantizar la ciberseguridad de nuestra empresa.

Principales proveedores y herramientas PAM del mercado

¿Buscas un proveedor de herramientas PAM?

El primer paso consistirá en dejarse asesorar por una consultora IT como Avansis.

Si te gustaría saber más sobre cómo incorporar una solución PAM en tu negocio, escribe a nuestro formulario de contacto.

Uno de nuestros especialistas responderá a todas tus dudas, incluidas las indicaciones a seguir para integrar este tipo de herramienta en tu sistema.

En nuestro portfolio, ya proporcionamos la instalación y gestión de este tipo de soluciones a decenas de empresas de todo tipo.

Teniendo eso en cuenta, consideramos las siguientes como las mejores herramientas PAM del mercado:

  1. Beyond Trust
  2. One Identity
  3. Manage Engine

Según las características y capacidades de tu negocio, confiamos en las anteriores soluciones y herramientas de Gestión de Accesos Privilegiados. Podemos recomendarte la más adecuada en función de la naturaleza de vuestra empresa.

Otras herramientas PAM que podrían interesarte:

  • Cyberark
  • Thycotic
  • Centrify
  • Senhasegura
  • Wallix
  • Krontech
  • Broadcom de Symantec

Tanto si buscas una de estas como otras soluciones IT, podemos ayudarte en su integración.

Contacto

4.3/5 - (6 votos)
Recent Posts

Presiona ENTER para comenzar la búsqueda en Avansis

siemataque dos ddos