Por Hillary Álvarez.
La definición de roles y privilegios resulta ser una pieza clave en la estrategia de seguridad de información, y aunque parezca algo obvio, muchas organizaciones se enfrentan con el reto de no tener clara su estructura organizacional y mucho menos quién debe tener el acceso a los datos.
Los roles deben considerar tanto actores internos (directivos, gerentes y operativos) así como actores externos (personal por proyecto o proveedores de servicio). La relación de roles y privilegios se puede definir mediante una matriz de accesos, cuyo objetivo es el cuidar la confidencialidad y la integridad de los sistemas y los datos de la organización.
Es importante mencionar que los dueños o encargados de la información no quedan exentos de sus responsabilidades, tal como, aquellas relacionadas con la administración y gobierno de datos, que son imprescindibles para mantener la integridad, confidencialidad y disponibilidad de los datos.
Roles de seguridad
Para controlar el acceso a los datos, es preciso definir los roles que se asignan al personal de acuerdo con su necesidad de acceso, es decir, limitar el acceso conforme a la necesidad de conocer y conforme a la responsabilidad del cargo.
“La necesidad de saber” es una mejor práctica en la seguridad de información que busca otorgar derechos a la menor cantidad de datos y privilegios necesarios para realizar una tarea sin impactar la eficiencia y efectividad de la organización.
Los roles que generalmente se asignan dentro de un sistema se pueden englobar dentro de los siguientes:
·Rol de Superadministrador: Se otorga cuando se configura un sistema por primera vez. Puede agregar o quitar otros administradores, así como usuarios. Si hay más de dos superadministradores en el sistema, un superadministrador no puede eliminar al otro por razones de seguridad. Tienden a ser los administradores de TI de una organización.
·Rol de Administrador: Tienen acceso a funciones para gestión de equipos y de usuarios, así como también, a los ajustes de seguridad de los distintos usuarios. Tienden a ser líderes de negocios o de la Mesa de ayuda de TI.
·Rol de Soporte técnico: Se otorga para brindar el soporte técnico y asistencia al usuario de equipos o sistemas informáticos. Generalmente sus permisos vienen acompañados de una orden o ticket de servicio.
·Rol de Observador: Se otorga típicamente a puestos de nivel Directivo o Gerencial que tienen requerimientos de consulta.
·Rol de Auditor: Se otorga típicamente a personal externo con requerimientos de conocer configuraciones, desempeño y/o datos de la organización para labores de cumplimiento o normatividad.
·Rol de Usuario: Se otorga para consultar e inyectar información, es decir, escribir y ejecutar, pero sin el privilegio de eliminar o cambiar elementos de configuración del sistema. Tienden a ser los puestos que consumen el servicio.
·Rol de Cuenta de servicio: Se otorga para aislar cuentas de dominio en aplicaciones cruciales y eliminar la necesidad de que un administrador administre manualmente el nombre de entidad de seguridad de servicio (SPN) y las credenciales de las cuentas. Tienden a otorgarse a proveedores de servicios.
Bajo el mismo contexto, se pueden englobar los privilegios para cada uno de los roles que definimos anteriormente de la siguiente manera:
Rol | Permiso Lectura | Permiso Escritura | Permiso Ejecución | Permiso Borrado o destrucción |
Superadministrador | * | * | * | * |
Administrador | X | X | X | X |
Soporte técnico | X | X | X | X |
Observador | X | |||
Auditor | X | |||
Usuario | X | X | X | |
Cuenta de servicio | * | * | * | * |
*: Permiso completo o total
X: Permiso parcial acotado por evento o instancia
Es fundamental incluir a todos los puestos de la organización en el desarrollo de la matriz de accesos, incluso al área de Recursos Humanos para volver esto un proceso más maduro, profesional y completo.
La definición y documentación de roles y privilegios se considera una mejor práctica, sin embargo, es un requisito fundamental para el cumplimiento de diferentes normativas de seguridad, como la norma ISO – 27001 o PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) la cual específicamente en su requisito 7 solicita que se restrinja el acceso a los datos a aquellos individuos cuyas tareas necesitan de ese acceso.
Si bien la definición de roles y privilegios representa un gran reto, puede ser una herramienta invaluable para detectar errores y/u omisiones en nuestros procesos y políticas de seguridad de información, ¿no lo crees?
En HKMX hemos acompañado a nuestros clientes en el desarrollo y definición de roles y privilegios y podemos ayudarte en el desarrollo de matrices de roles y privilegios para el cumplimiento de diversas normatividades en materia de Seguridad de Información que tu organización requiere.
Fuentes:
https://docs.microsoft.com/es-es/power-platform/admin/security-roles-privileges