La importancia de la definición de roles y privilegios en la seguridad de información

Por Hillary Álvarez.

La definición de roles y privilegios resulta ser una pieza clave en la estrategia de seguridad de información, y aunque parezca algo obvio, muchas organizaciones se enfrentan con el reto de no tener clara su estructura organizacional y mucho menos quién debe tener el acceso a los datos.

Los roles deben considerar tanto actores internos (directivos, gerentes y operativos) así como actores externos (personal por proyecto o proveedores de servicio). La relación de roles y privilegios se puede definir mediante una matriz de accesos, cuyo objetivo es el cuidar la confidencialidad y la integridad de los sistemas y los datos de la organización.

Es importante mencionar que los dueños o encargados de la información no quedan exentos de sus responsabilidades, tal como, aquellas relacionadas con la administración y gobierno de datos, que son imprescindibles para mantener la integridad, confidencialidad y disponibilidad de los datos.

Roles de seguridad

Para controlar el acceso a los datos, es preciso definir los roles que se asignan al personal de acuerdo con su necesidad de acceso, es decir, limitar el acceso conforme a la necesidad de conocer y conforme a la responsabilidad del cargo.

 

“La necesidad de saber” es una mejor práctica en la seguridad de información que busca otorgar derechos a la menor cantidad de datos y privilegios necesarios para realizar una tarea sin impactar la eficiencia y efectividad de la organización.

 

Los roles que generalmente se asignan dentro de un sistema se pueden englobar dentro de los siguientes:

 

·Rol de Superadministrador: Se otorga cuando se configura un sistema por primera vez. Puede agregar o quitar otros administradores, así como usuarios. Si hay más de dos superadministradores en el sistema, un superadministrador no puede eliminar al otro por razones de seguridad. Tienden a ser los administradores de TI de una organización.

 

·Rol de Administrador: Tienen acceso a funciones para gestión de equipos y de usuarios, así como también, a los ajustes de seguridad de los distintos usuarios. Tienden a ser líderes de negocios o de la Mesa de ayuda de TI.

 

 

·Rol de Soporte técnico: Se otorga para brindar el soporte técnico y asistencia al usuario de equipos o sistemas informáticos. Generalmente sus permisos vienen acompañados de una orden o ticket de servicio.

 

 

·Rol de Observador: Se otorga típicamente a puestos de nivel Directivo o Gerencial que tienen requerimientos de consulta.

 

 

·Rol de Auditor: Se otorga típicamente a personal externo con requerimientos de conocer configuraciones, desempeño y/o datos de la organización para labores de cumplimiento o normatividad.

 

 

·Rol de Usuario: Se otorga para consultar e inyectar información, es decir, escribir y ejecutar, pero sin el privilegio de eliminar o cambiar elementos de configuración del sistema. Tienden a ser los puestos que consumen el servicio.

 

 

·Rol de Cuenta de servicio: Se otorga para aislar cuentas de dominio en aplicaciones cruciales y eliminar la necesidad de que un administrador administre manualmente el nombre de entidad de seguridad de servicio (SPN) y las credenciales de las cuentas. Tienden a otorgarse a proveedores de servicios.

 

 

Bajo el mismo contexto, se pueden englobar los privilegios para cada uno de los roles que definimos anteriormente de la siguiente manera:

 

Rol Permiso Lectura Permiso Escritura Permiso Ejecución Permiso Borrado o destrucción
Superadministrador * * * *
Administrador X X X X
Soporte técnico X X X X
Observador X      
Auditor X      
Usuario X X X  
Cuenta de servicio * * * *

 

*: Permiso completo o total

X: Permiso parcial acotado por evento o instancia

 

Es fundamental incluir a todos los puestos de la organización en el desarrollo de la matriz de accesos, incluso al área de Recursos Humanos para volver esto un proceso más maduro, profesional y completo.

La definición y documentación de roles y privilegios se considera una mejor práctica, sin embargo, es un requisito fundamental para el cumplimiento de diferentes normativas de seguridad, como la norma ISO – 27001 o PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) la cual específicamente en su requisito 7 solicita que se restrinja el acceso a los datos a aquellos individuos cuyas tareas necesitan de ese acceso.

Si bien la definición de roles y privilegios representa un gran reto, puede ser una herramienta invaluable para detectar errores y/u omisiones en nuestros procesos y políticas de seguridad de información, ¿no lo crees?

En HKMX hemos acompañado a nuestros clientes en el desarrollo y definición de roles y privilegios y podemos ayudarte en el desarrollo de matrices de roles y privilegios para el cumplimiento de diversas normatividades en materia de Seguridad de Información que tu organización requiere.

Fuentes:

https://blog.powerdata.es/el-valor-de-la-gestion-de-datos/bid/349178/Roles-y-responsabilidades-en-la-seguridad-de-la-informaci-n

https://docs.microsoft.com/es-es/power-platform/admin/security-roles-privileges

https://www.pcisecuritystandards.org/document_library/

https://docs.microsoft.com/es-es/windows/security/identity-protection/access-control/service-accounts

Noticias y Novedades

Artículos Relacionados

Novedades
hkmexico

OWASP A4:2021 Diseño Inseguro

Hoy en día, es común hablar de buenas prácticas de desarrollo de software en las distintas aplicaciones que manejamos para llevar a cabo nuestras tareas,

Leer más »