¿Qué es la gobernanza de acceso?

Hace unos años, la palabra «gobierno» ni siquiera formaba parte de mi vocabulario. No era una palabra que encontrara en mi lectura ni una que hubiera usado al hablar de los sistemas que administro. Sin embargo, la gobernanza del acceso ha saltado firmemente al centro del escenario de la tecnología en los últimos años y ahora es una de las tecnologías que todo administrador de sistemas debe conocer.

El gobierno de acceso se describe mejor como «gobernar quién tiene acceso a qué dentro de una organización». Ese es un término mucho más fuerte que «gestión de acceso», por cierto, ya que «gobernanza» implica que el control del acceso está impulsado tanto por la política como por el procedimiento. Y, por supuesto, verás algunas referencias a » AG » (¡como si realmente necesitáramos otro acrónimo!), así que prepárate.

Los sistemas de gobernanza de acceso han crecido en importancia en los últimos años debido a un mayor énfasis en el cumplimiento normativo, una mayor conciencia y sensibilidad ante las amenazas internas y una mayor preocupación por la seguridad de TI en general. Todo tipo de organizaciones están descubriendo que necesitan una visibilidad mucho mayor sobre quién puede acceder a sus recursos clave y cómo hacerlo.

Para los administradores de sistemas Unix, el gobierno de acceso proporciona un nivel más amplio de supervisión y rendición de cuentas que el que normalmente se ofrece a los administradores de cuentas. Ya sea que las cuentas Unix estén configuradas en archivos /etc, NIS, NIS+ o LDAP o se autentiquen a través de Active Directory, la atención adecuada a la gobernanza de acceso significará que puede ver todas las cuentas desde un único punto de vista. Al recopilar información, como quién tiene cuentas en qué sistemas, cuándo se usaron por última vez esas cuentas, qué permiten hacer las cuentas a los titulares de las cuentas y quién tiene la responsabilidad de aprobar el acceso proporcionado, tendrá una plataforma poderosa desde la que detectar cuentas vulnerables y casos de acceso excesivo, y determinar qué hacer para resolver estos problemas. También tiene una base para realizar revisiones de cuentas efectivas periódicas, uno de los fundamentos de una buena seguridad, y para tomar decisiones continuas sobre quién debe retener, perder o obtener acceso.

Por supuesto, la gobernanza de acceso no solo se aplica a los sistemas Unix. Los usos más eficaces de esta tecnología abarcan todos los tipos de acceso dentro de una organización. Imagine el seguimiento de cuentas en todo tipo de sistemas: acceso a aplicaciones, bases de datos, sistemas de archivos compartidos, centros de datos, armarios de cableado, copias de seguridad, contraseñas privilegiadas, dispositivos de red e impresoras. Cuanto más grande y compleja es una organización, más difícil es comprender y luego controlar el panorama general. El objetivo de los sistemas de gobernanza de acceso es brindarle esa visión y ese control de una manera que sea confiable y relativamente fácil de administrar.

Normalmente, un sistema de gobernanza de acceso le permitirá revisar el acceso desde varios puntos de vista diferentes. Puede revisar cuentas en sistemas o aplicaciones particulares. También puede ver a los empleados individuales y revisar su acceso a varios recursos. Puede programar revisiones de acceso y luego realizar un seguimiento cuando se completen. En algunos casos, puede automatizar los cierres de cuentas y las solicitudes de acceso, asegurándose de que estas actividades sean aprobadas por las personas adecuadas.

Los problemas que abordan los sistemas de gobierno de acceso incluyen el arrastre de privilegios (cuando las personas cambian de responsabilidad, pero no eliminan accesos que ya no son apropiados), cuentas obsoletas (cuentas que permanecen después de que sus propietarios abandonan la organización), huérfanos (cuentas que no parecen «pertenecer» a nadie) y cuentas compartidas sin nadie responsable de su uso.

Los sistemas de gobernanza de acceso también pueden ser de gran valor durante las auditorías de seguridad, ya que pueden proporcionar pruebas fiables de que se revisó el acceso y se solucionaron los problemas.

En el proceso de implementación de un sistema de gobierno de acceso, una de las cosas que haría sería identificar los datos más confidenciales y los recursos más valiosos de su organización. A continuación, implementaría «recopiladores» de algún tipo para recopilar datos de cuentas de una amplia gama de sistemas y definir los informes que utilizaría para evaluar el riesgo y revisar las cuentas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.