En 2023, OneMain Financial fue noticia por haber experimentado al menos tres prolongados eventos de ciberseguridad entre 2018 y 2020. Estos se debieron a fallos en el programa de seguridad y en los controles de acceso que lo hicieron más vulnerable a casos de acceso no autorizado, según los hallazgos de auditoría del Departamento de Servicios Financieros de Nueva York.

En última instancia, OneMain pagó una multa de 4.25 millones de dólares al regulador estatal por la falta de adherencia a la Regulación de Ciberseguridad del NYDFS, que requiere que las entidades financieras empleen una serie de medidas de mejores prácticas para proteger sus sistemas de información y datos de consumidores de riesgos de seguridad. Uno de estos requisitos es limitar los privilegios de acceso de los usuarios a los sistemas que contienen datos de consumidores y revisar periódicamente los privilegios de acceso.

Para ayudar a evitar incidentes de ciberseguridad relacionados con el acceso no autorizado y las multas grandes como esta, las organizaciones deben entender qué es una revisión de acceso de usuarios, cuál es el proceso paso a paso, por qué puede ser la parte más importante de los controles de acceso y cumplimiento, y cómo la automatización puede ayudar a simplificarlo. Cubriremos todo esto a continuación.

¿Qué es una revisión de acceso de usuarios?

Una revisión de acceso de usuarios, UAR por sus siglas en inglés, se refiere a la revisión periódica de las credenciales y privilegios de los usuarios que pueden acceder a ciertos datos, aplicaciones y redes con el fin de eliminar cualquier privilegio y/o individuos con credenciales innecesarios e inapropiados. Los usuarios potenciales pueden ser administradores, gerentes, empleados, proveedores, proveedores de servicios y otras terceras partes con las que su organización haya trabajado.

Este tipo de revisión debe responder cuatro preguntas principales:

• ¿Quién está accediendo a qué?
• ¿Qué nivel de acceso tienen estos usuarios?
• ¿Tienen estos usuarios razones válidas para sus derechos y privilegios de acceso?
• ¿Qué actualizaciones deben hacerse a sus derechos y privilegios de acceso?

¿Por qué es importante la revisión de acceso de usuarios?

Las revisiones de acceso de usuarios son importantes por algunas razones clave. Veámoslas a continuación.

1. Protegiendo datos y activos

Credenciales robadas, insiders maliciosos y brechas de seguridad de terceros son solo algunas de las causas de brechas de datos. Las revisiones periódicas de acceso pueden ayudar a su organización a identificar a cualquier individuo que no debería tener credenciales, como insiders maliciosos, terceras partes y empleados que se hayan ido o estén descontentos, lo que puede ayudar a reducir el riesgo de brechas de datos.

2. Cumplimiento de los requisitos de conformidad

Además de proteger los datos y activos de TI de una organización, una revisión de acceso de usuarios es un prerrequisito esencial para la implementación rigurosa de marcos de seguridad y conformidad.

Las revisiones de acceso son obligatorias para cumplir con muchos de los marcos y estándares de seguridad más comunes, incluyendo los siguientes:

• SOC 1®
• SOC 2®
• HIPAA
• SOX
• ISO 27001
• PCI DSS
• GDPR
• Regla de Salvaguardas de la FTC
• NYDFS NYCRR 500
• NIST 800-53
• NIST CSF
• CMMC
• CIS
• Esenciales de Ciberseguridad
• CJIS

3. Mejora de la gestión de riesgos

Las revisiones de acceso de usuarios también ayudan a las organizaciones a mejorar sus capacidades generales de gestión de riesgos, especialmente contra amenazas internas y ex empleados descontentos. Facilita varios principios clave para el control de acceso, incluyendo:

• Separación de funciones: Dividir funciones críticas del negocio en tareas discretas, que luego se asignan a diferentes individuos para reducir la posibilidad de que una sola persona lleve a cabo actividades maliciosas, como fraude. Al realizar revisiones periódicas de acceso de usuarios, puedes verificar que ningún usuario tenga todos los privilegios necesarios para completar una función crítica del negocio por sí mismo.
• El principio de necesidad de saber: Solo proporcionar a los usuarios acceso a la información que necesitan para completar su trabajo. Una revisión efectiva del acceso de usuarios garantizará que cada usuario tenga razones legítimas para acceder a ciertos datos. 
• El principio de privilegio mínimo: Solo proporcionar a los usuarios los privilegios que necesitan para completar su trabajo. A diferencia de la necesidad de saber, este principio se aplica tanto a los usuarios como a las aplicaciones, dispositivos y cuentas de servicio. También no solo limita quién tiene acceso a ciertas aplicaciones y sistemas, sino lo que pueden hacer si se les concede acceso (ver, editar, etc.). Durante las revisiones de acceso de usuarios, puedes evaluar que cada usuario tenga el acceso mínimo necesario para realizar sus funciones laborales. Por ejemplo, un analista de presupuestos probablemente solo necesite privilegios de solo lectura para el software de nómina para completar un informe trimestral o anual. 

4. Reducción de costos de licencias

Las revisiones de acceso de usuarios también pueden ayudar a las organizaciones a reducir el gasto en costos de licencias. Durante una revisión, puedes identificar usuarios que tienen acceso a ciertos sistemas que no necesitan, o que no han utilizado en un tiempo, y eliminarlos. Si no realizas estas revisiones, estarás en riesgo de gastar en exceso en licencias y cuentas de sistemas innecesarios. 

Proceso de revisión de acceso de usuarios

Ahora que entiendes los beneficios de las revisiones de acceso de usuarios, es hora de mapear cada paso del proceso. 

1. Inventariar tus herramientas y usuarios

Para empezar, inventaríe todas las herramientas y tecnologías actuales que usa. Luego, enumere a todos los usuarios, incluidos los usuarios internos y externos, así como los usuarios que han sido dados de baja, y qué acceso y privilegios tienen a cada herramienta y tecnología. Asegúrese de anotar si son administradores o usuarios y si tienen acceso a cuentas privilegiadas.

Ahora está listo para revisar si sus derechos de acceso actuales son apropiados y necesarios, o si necesitan ser cambiados.

2. Revoque los derechos de acceso de los empleados y terceros que han sido dados de baja

Durante las revisiones de acceso de usuarios, es importante verificar que las cuentas de antiguos empleados, socios y otros terceros estén inactivas.

Los derechos de acceso de estos usuarios deben ser revocados inmediatamente al finalizar su relación laboral. Si nota que no lo han sido, puede revocarlos y luego actualizar su proceso de desvinculación para asegurar que esto ocurra al finalizar la relación laboral.

3. Mueva o revoque los permisos de las cuentas de administradores sombra

También debe verificar la existencia de cuentas de administradores sombra durante las revisiones de acceso de usuarios. Estas son cuentas de usuarios no administradores con privilegios sensibles que efectivamente los convierten en administradores. A diferencia de las cuentas de administradores privilegiados, estas generalmente no son parte de un grupo de Active Directory (AD) de administradores privilegiados porque se les otorgaron privilegios sensibles directamente.

Las cuentas de administradores sombra son muy deseadas por usuarios malintencionados porque pueden ser explotadas para acceder a infraestructuras críticas y datos sensibles, pero no son tan fáciles de identificar y monitorear como las cuentas bajo los conocidos grupos de administradores. Para mitigar el riesgo de estas cuentas, puede revocar los privilegios sensibles que no necesitan o moverlas a un grupo de administradores privilegiados donde puedan ser monitoreadas de cerca.

4. Verifique la acumulación inadvertida de privilegios de empleados que han cambiado de roles

A medida que los empleados son ascendidos, cambian de equipo o cambian de roles dentro de la organización, sus permisos de acceso pueden acumularse. Esta acumulación gradual de derechos de acceso que exceden lo que necesitan para hacer su trabajo se conoce como acumulación inadvertida de privilegios.

Puede buscar esto durante una revisión de acceso de usuarios. Para comenzar, identifique a cualquier empleado que haya cambiado recientemente de departamento o rol y asegúrese de que los permisos de acceso de estos empleados coincidan con sus responsabilidades laborales actuales. Elimine cualquier permiso que solo fuera necesario en su posición anterior.

5. Elimine cualquier acceso o privilegio innecesario de los usuarios que quedan

Una vez que haya evaluado cuidadosamente y revocado cualquier privilegio innecesario de los usuarios dados de baja, administradores sombra y empleados que cambiaron de roles, es momento de revisar los derechos de acceso de los usuarios que quedan. Desea asegurarse de que todos los empleados, proveedores y otros usuarios solo tengan acceso a los recursos y activos, así como privilegios en aplicaciones y sistemas que sean estrictamente necesarios para hacer su trabajo.

6. Degrade el acceso permanente a temporal cuando sea posible

Durante una revisión de acceso de usuarios, también puede evaluar si los usuarios necesitan acceso permanente a las aplicaciones y datos que actualmente tienen. Algunos usuarios solo necesitan acceso a ciertos datos o aplicaciones una o un par de veces. En ese caso, no necesitan derechos de acceso permanentes. Puede otorgarles acceso temporal en forma de contraseñas de un solo uso, por ejemplo.

7. Documente los cambios que realizó

Para asegurar la transparencia y simplificar revisiones posteriores, documente cada ciclo de revisión. Puede incluir la lista de herramientas y quién tiene derechos de usuario o administrador a cada una, así como comentarios de los revisores, decisiones de los aprobadores y cualquier cambio de acceso realizado.

Mejores prácticas para la revisión de acceso de usuarios

Para garantizar que su programa de gestión de acceso de usuarios esté configurado para el éxito, aquí hay algunas mejores prácticas a tener en cuenta al realizar revisiones de acceso de usuarios.

Sea consistente

La consistencia es clave para un programa de gestión de acceso exitoso. Establecer un calendario de revisiones de acceso coherente puede asegurar que identifique a cualquier individuo innecesario o inapropiado con acceso y privilegios sensibles y los revoque antes de que ocurra un incidente de seguridad o daño a la reputación.

Incluya revisiones de acceso en la capacitación de empleados

Capacitar a sus empleados sobre cómo realizar mejor las revisiones de acceso puede también ayudar a mejorar el proceso. La capacitación podría cubrir el envío de comunicaciones o notificaciones oportunas sobre la rotación de empleados, involucrar a la liderazgo en las revisiones de acceso, enviar informes de acceso de usuarios a IT o administradores de sistemas cuando sea necesario realizar cambios y utilizar herramientas de revisión de acceso para automatizar algunas partes del proceso.

Involucre a las partes interesadas clave

Al configurar un proceso de revisión de acceso de usuarios en su organización, considere si están involucradas las partes interesadas correctas. Por ejemplo, en lugar de delegar la responsabilidad de distribuir y revisar el acceso a los usuarios al equipo de IT, considere involucrar a los gerentes en el proceso de revisión. Los gerentes tendrán más información sobre quiénes de sus equipos o departamentos deberían tener acceso a ciertos datos y aplicaciones, especialmente si ha habido rotación u otros cambios en su equipo.

Revise trimestralmente el acceso de administradores privilegiados y usuarios

Revisar regularmente el acceso de administradores privilegiados o usuarios privilegiados trimestralmente es crucial para mantener la seguridad. Dado que los administradores y usuarios privilegiados tienen las mayores capacidades dentro de un sistema, es crítico revisar su acceso trimestralmente. Además, esto promueve la responsabilidad y la transparencia dentro de una organización, fomentando una cultura de responsabilidad y confianza en la gestión de información sensible y manteniendo el acceso actualizado y de acuerdo con el principio de privilegio mínimo.

Integre las revisiones de acceso de usuarios en el ciclo de vida de incorporación y desvinculación

El acceso de usuarios debe ser parte del proceso de incorporación y desvinculación de empleados. Por ejemplo, antes de que un nuevo empleado comience, RRHH e IT deben coordinarse y comunicarse para averiguar a qué herramientas necesitarán acceso y qué permisos necesitarán. Si un empleado existente está cambiando de rol, también deben comunicar a qué sistemas y permisos ganarán o perderán acceso.

La revisión y control de acceso juega un papel aún más prominente en la desvinculación. Quiere asegurarse de eliminar el acceso a datos sensibles, sistemas y herramientas en el momento adecuado, basado en su nivel de riesgo. Mientras el empleado no sea de alto riesgo, es importante notificarles la fecha en que sus cuentas ya no estarán disponibles.

Automatizar revisiones de acceso de usuarios

Si es posible, automatizar las revisiones de acceso de usuarios puede reducir el riesgo de error humano y mejorar la eficiencia en el proceso de revisión de acceso de usuarios.

Aquí hay dos formas clave en que puede mejorar el proceso:

• Reducir la comunicación necesaria entre IT y otros equipos: Si se utiliza una plataforma de automatización como Secureframe, por ejemplo, toda la información sobre personal, proveedores y sus derechos de acceso se incorporará y actualizará automáticamente. Eso significa que IT y otras partes interesadas clave en el proceso de revisión de usuarios pueden acceder a toda la información necesaria y actualizada sobre los usuarios y sus derechos de acceso.
• Mejorar la exactitud y los informes: Las herramientas de automatización también pueden reducir las posibilidades de errores que pueden ocurrir durante las revisiones de acceso de usuarios manuales. También pueden generar datos e informes más completos sobre el acceso de usuarios.

Plantilla de revisión de acceso de usuario

¿Listo para implementar revisiones de acceso de usuario en tu organización? Usa esta plantilla para iniciar el proceso.

Cómo Secureframe puede ayudar a simplificar las revisiones de acceso de usuario

Revisar y limitar periódicamente los privilegios de acceso puede ayudar a proteger tu organización de incidentes cibernéticos relacionados con el acceso no autorizado.

Secureframe puede ayudar a simplificar y automatizar partes de la gestión de acceso de usuarios para mantener tu organización segura, incluyendo:

• Rastrear a todos los usuarios, incluidos los inactivos y no personales: Gestiona roles, grupos y permisos, proporcionando el acceso necesario a sistemas y recursos según lo que cada persona necesita para realizar sus tareas, todo en una plataforma.
• Monitorear el acceso de proveedores: Rastrea el nivel de acceso que tiene cada personal a tus integraciones y asegúrate de que cada uno tenga el acceso necesario para realizar su trabajo. Disminuye tu superficie de ataque y fortalece tu postura de seguridad limitando la cantidad de personal con acceso completo a tus datos sensibles.
• Reducir el IT en la sombra: Detecta cualquier sistema y aplicación que los empleados estén utilizando con sus credenciales de trabajo (correo electrónico de trabajo) que no hayan sido aprobados por el departamento de IT.

Para saber más sobre cómo Secureframe puede ayudarte a simplificar la gestión de acceso, agenda una demostración.