A menudo, los administradores de sistemas, en su sentido más amplio, distan mucho de la figura perfectamente controlada que se nos intenta vender. En diversas normativas y/o buenas prácticas, como la ISO 27001, los CBK del CISSP (isc2), ... se da un especial tratamiento y consideración a este tipo de perfiles. A pesar de ello, cualquier coincidencia con la realidad es pura casualidad ya que, por regla general, el perfil de administrador y todos aquellos aspectos asociados a éste es muy diferente de lo que debería ser. En las siguientes líneas vamos a comentar, bajo nuestra experiencia, algunos puntos clave sobre el tema.
En grandes instalaciones pueden existir, de hecho existen, varias personas que por sus funciones necesiten privilegios de administrador (de red, de entornos/plataformas, de bases de datos, etc.). Habitualmente, se dispone de una cuenta genérica de administrador. Esto conlleva que la contraseña es más que conocida y compartida por varias personas, a priori, para el desarrollo de sus legítimas funciones aunque también debemos señalar que nos hemos encontrado con usuarios finales que eran conocedores de ésta, ¿cómo? mejor no saberlo ....... :-(. Intentar explicar el porqué de esta situación no es tarea fácil, salvo mejor criterio creemos que se trata simplemente de perpetuar una costumbre adquirida y así "ahorrarse" el tener que definir/modificar, en definitiva gestionar, distintos perfiles.
Por otro lado, mencionar que esta práctica estaría en cierto modo vulnerando el reglamento (art. 93.2) que desarrolla la LOPD puesto que no permite identificar de forma inequívoca y personalizada quien accede a los sistemas. Esto es especialmente grave al tratarse de cuentas con los máximos privilegios.
Sin ninguna duda, un administrador de "loquesea" debe ser considerado como un usuario más pero con ciertos privilegios de índole técnico. Para ello, entendemos que las cuentas del estilo "admin", "administrador", "root", etc. deberían ser, siempre que sea posible, revocadas y forzar que los distintos administradores accedan con sus cuentas personales e intransferibles. De esta forma, es posible obtener el rastro o evidencia de las acciones realizadas por cada uno de los administradores, cosa que con un usuario genérico sería imposible. A destacar también que así se podrían delimitar los ámbitos de actuación de los distintos administradores de forma individual sin tener todos ellos el máximo de privilegios al compartir una misma cuenta.
Este hecho nos lleva a tener que determinar que hacer con la cuenta de administrador, ¿la dejamos en poder del responsable del departamento de TI? En principio parece la opción más acertada. De esta forma, su conocimiento estará debidamente restringido y su uso se podrá limitar a situaciones excepcionales y/o de emergencia.
Otro concepto que no se suele poner en práctica es la adecuada rotación de funciones. Esto no es bueno ni malo pero aumenta el riesgo de que los administradores lleven a cabo acciones fraudulentas o maliciosas de forma totalmente transparente. Durante una jornada sobre análisis forense a la que asistimos hace tiempo se planteó un caso real en el que un administrador de red, a instancias de un ex-jefe invitado a dejar la empresa, actuaba de mala fe sustrayendo información privilegiada de la mencionada empresa. A pesar de que la rotación de funciones suena muy bien, la verdad es que su aplicación no es nada trivial, en esencia estamos hablando de personas y no de servidores que los pones aquí o allá.
Si siempre hemos defendido que la rotación de contraseñas es importante en todo tipo de cuentas, en las de administradores, aún lo es más. Deberemos establecer una política de contraseñas fuertes, recurriremos a los requisitos habituales: caducidad de 2-3 meses, longitud mínima 6-8 caracteres, combinación letras/números, no repetición, no patrones, .... Relativo a este punto también hemos vivido casos reales como aquel en que, por motivos históricos y de antigüedad, nos encontramos con 2 personas que seguían accediendo como administradores de red cuando hacía mucho mucho tiempo que ya no tenían encomendadas esas funciones. Aunque parezca una incongruencia con el punto anterior, si que se llevo a cabo una rotación de funciones espléndida pero con el pequeño fallo de que se mantuvieron los privilegios de administrador :-).
Para finalizar, aunque todas estas medidas, recomendaciones, buenas prácticas, etc. son de sentido común, habitualmente se suele recurrir a la profesionalidad de los administradores depositando grandes dosis de confianza en ellos. Siempre debemos tener en cuenta que, en potencia, los administradores pueden actuar de mala fe, ya que técnicamente están capacitados, de ahí que una de las labores de los responsables de seguridad es no pecar de ingenuos y "auditar" más o menos de cerca sus actos. A nuestro entender, la poca atención y control que se presta a este tipo de perfiles son un claro ejemplo de la distancia que todavía existe entre el escenario ideal y la cruda realidad.
CITA DEL DÍA: "A quién buen firewall se arrima buena seguridad le cobija"
Entradas
No hay comentarios:
Publicar un comentario