Skip to content

Cuentas huérfanas: Enemigo público de la Seguridad de la información

 

Uno de los mayores y más repetidos errores que tienen lugar en los departamentos de IT es la gestión inadecuada de las cuentas de usuarios, una vez éstos dejan la organización o ven modificada su relación con la misma. Errores en la ejecución de los procesos, fallos de comunicación entre distintos departamentos y la ausencia de una política estandarizada y automatizada son algunas de las barreras que se interponen en el desaprovisionamiento de cuentas.

Soy consciente de que se trata de una realidad incómoda de asumir por parte de cualquier responsable de IT. Sin embargo, no por ello debemos dejar de mencionarla y tratar de buscarle solución.

Como seguramente ya sepas, las cuentas huérfanas pueden ser fácilmente utilizadas para conseguir acceso no autorizado a recursos e información confidencial de tu compañía. La identificación y eliminación de dichas cuentas supone una reducción drástica de los niveles de vulnerabilidad digital de cualquier organización.

Entonces, ¿por qué se falla tan a menudo en esta tarea?

En función de las características organizativas e infraestructurales de cada compañía, el desaprovisionamiento de una determinada cuenta puede tener lugar en apenas unos minutos o bien desencadenar una suerte de interminables procesos.

Muchas veces, la raíz del problema no es otra que la falta de recursos de los responsables de IT para llevar a cabo un aprovisionamiento eficaz, así como para limitar la capacidad de los usuarios y empleados para utilizar sus credenciales en lugares y aplicaciones con permisos que no pertenecen a su rol.

Cuando esto sucede, se puede llegar a situaciones en las que el desaprovisionamiento de una determinada cuenta -cuando la relación de un empleado con la organización cambia- puede llegar a generar serios problemas operativos. Algo que, a todas luces, resulta absurdo y comprometido desde el punto de vista de la seguridad de la información.

¿Conclusión?

Como CIO o responsable del departamento de IT, es conveniente que tengas visibilidad y consciencia sobre este tipo de situaciones y evitarlas antes de que tengan lugar. O, si ya se han producido, ponerles remedio lo antes posible.

Comprendiendo las causas de la existencia de cuentas huérfanas

1. Utilización de cuentas personales como cuenta de servicio para la instalación de aplicaciones críticas

Por sorprendente que parezca, no es extraño que la cuenta personal de un empleado de IT sea utilizada como la cuenta de servidor durante el proceso de instalación de una aplicación corporativa. Esto implica que el acceso por parte de cualquier otro usuario queda irremediablemente vinculado a la voluntad de este empleado.
Éste es tan sólo uno de los ejemplos más flagrantes de mala praxis en el aprovisionamiento de cuentas, si bien es posible encontrar muchos otros.
No debemos confundir esta situación con la existencia de cuentas privilegiadas, las cuales deben seguir un protocolo aún más exhaustivo de aprovisionamiento y desprovisionamiento. Sobre el tratamiento en este sentido de cuentas sensibles para la seguridad corporativa de tu organización, te recomiendo la lectura del post “Cómo despedir a un perfil de responsabilidad IT y vivir para contarlo”.
En este caso concreto, estoy hablando de una situación que implica que, en el caso de que el empleado de IT en cuestión deje la compañía, la eliminación de su cuenta puede afectar gravemente a la operatividad de la aplicación que se instaló con ella.

No son poco los casos en los que una auditoría de ciberseguridad revela la existencia de este tipo de cuentas, mucho tiempo después de que el empleado para el que fueron creadas dejara de tener vinculación con la organización.

2. Presencia de recursos compartidos creados por antiguos empleados.

Este tipo de recursos, tales como carpetas o permisos compartidos, constituyen puertas traseras que, con frecuencia, permanecen disponibles mucho tiempo después de que el empleado que lo autorizó dejara la compañía.

El miedo a que su eliminación pueda afectar a determinada operativa crítica de la organización no hace sino prolongar una situación de riesgo para la seguridad de la información.

3.Sistemas de aprovisionamiento y desprovisionamiento complejos.

Por otra parte, determinados sistemas son tan extraordinariamente complejos de gestionar, que el aprovisionamiento y desprovisionamiento de las cuentas de usuario se vuelve una labor tediosa, la cual implica una continua revisión de los correspondientes manuales operativos.

Por supuesto, esto no incluye determinados aspectos procedimentales que nada tienen que ver con IT, pero que no hacen sino ralentizar aún más el proceso, tales como el habitual papeleo o envío de emails por parte del departamento de RR.HH.

Con frecuencia, las credenciales gestionadas dentro de una organización están repartidas entre distintos silos de información, tales como directorios LDAP, Active Directory o bases de datos de los departamentos de marketing y ventas. Es más, no es extraño que estos datos estén duplicados y no adecuadamente sincronizados entre sí.

Como puedes imaginar, crear una lista completa y fehaciente de todos y cada uno de los usuarios de tu empresa de forma manual, con el propósito de llevar a cabo una correcta gestión de IAM puede ser una auténtica pesadilla.

Como ejemplo, te recomiendo la lectura del Caso de Estudio de la Junta de Comunidades de Castilla- La Mancha (JCCM), donde se llevó a cabo la sincronización y conciliación de más de 10.000 cuentas con nuestra herramienta de Gestión de Identidades WBSVision.

No es extraño que se produzcan errores no detectados, con la consiguiente pérdida de trazabilidad de determinadas cuentas que terminan siendo olvidadas.

Entonces, ¿cuál es la solución?

Instaura una política y un sistema de IAM que te ofrezca garantías.

Sobra decir que llevar cabo frecuentes auditorías internas contribuirá a reducir enormemente la presencia de cuentas huérfanas en el entramado digital de tu organización.

No obstante, la principal herramienta con la que cuentan las organizaciones es la implantación de un proceso de reconciliación y el despliegue de un meta directorio a través de una solución integral de IAM, que permita la normalización de identidades en entornos heterogéneos. Además, dicha solución debe automatizar completamente el proceso de aprovisionamiento y desaprovisionamiento de cuentas, que evite toda esta problemática comentada. Cubriendo así a uno de los mayores enemigos de la seguridad corporativa de las organizaciones: las cuentas huérfanas.

 
Quizá también te interese:

 
Si necesitas más información sobre una solución integral de Gestión de Identidades, visita: WhiteBearSolutions.com/WBSVision o llámanos al (+34) 91 304 38 24.

AYUDA SOBRE PRODUCTOS
WBSAirback
Almacenamiento y backup en un appliance open source.

WBSVision
Gestión y federación de identidades en un appliance open source.

SmartLogin
Single Sign-on y federación
CONTACTO

Contacta con nosotros: comercial@whitebearsolutions.com