Distribuidores

¿En qué consiste la revisión de acceso de usuario?

¿En qué consiste la revisión de acceso de usuario?

Conoce las principales herramientas de ciberseguridad con este ebook.


DESCARGAR AQUÍ

¿En qué consiste la revisión de acceso de usuario?

¡Las empresas están en continua evolución!

De vez en cuando alguien se va, alguien nuevo llega, se implementa una nueva herramienta…

Todas las novedades que ocurren dentro de una empresa pueden conllevar cambios y fallos en la seguridad.

De hecho, los accesos de los empleados son un punto clave para proteger la información confidencial. Y por ello, la revisión, el control o el seguimiento de autorizaciones y permisos son fundamentales para abordar el desafío de la seguridad.

En este artículo te hablaremos de la revisión de acceso de usuario y de las implicaciones que tiene para nuestras empresas. ¡Quédate hasta el final!

Descarga ahora el ebook gratuito “Herramientas de ciberseguridad

¿Qué es una revisión de acceso de usuario?

Una revisión de acceso de usuario, revisión de privilegios o revisión de permisos, es un proceso que consiste en evaluar y analizar los derechos de acceso y los privilegios asignados a los usuarios dentro de un sistema, red o aplicación.

Es decir, se trata de una auditoría para revisar los derechos de acceso actuales a tu empresa para detectar y eliminar los permisos innecesarios u obsoletos.

Esto incluye la gestión de todos los empleados, proveedores de servicios o terceros con los que la empresa colabora.

Estas revisiones son fundamentales para mantener la seguridad en la empresa: cuando los usuarios acceden a archivos o sistemas que no necesitan, los recursos se ponen en riesgo mediante amenazas internas (por ejemplo: ataques de ingeniería social) o ciberataques externos.

Por ello, es recomendable mantener los privilegios de TI al mínimo, y únicamente asignar permisos esenciales en función del usuario.

¿Cuál es el objetivo de una revisión de acceso de usuario?

Su objetivo principal es garantizar que todos los derechos de acceso de usuario otorgados que dan acceso a los sistemas de información de una empresa sean apropiados y legítimos.

La revisión señala concretamente:

  • Qué usuarios tienen acceso a los distintos recursos de la empresa.
  • El nivel de acceso de cada usuario.
  • Cuáles son los derechos de acceso que están autorizados y aprobados.

 

Las revisiones de acceso de usuarios se aplican a todos los derechos de acceso existentes dentro de una empresa.

¿Qué tipos existen?

Existen dos estrategias distintas de revisión: la revisión periódica y la revisión continua del acceso al usuario.

Ambas son útiles y tienen unos objetivos específicos: 

  • Revisión periódica del acceso de los usuarios

Cuando el objetivo principal es lograr el cumplimiento de los derechos de acceso, la revisión periódica es la ideal.

 

Esta revisión asegura la gestión adecuada del sistema de información, puesto que comprueba periódicamente que se esté cumpliendo el acceso adecuado a las personas correctas.

 

Se basa en dos pasos:

 

  1. Un mapeo de los derechos de acceso.
  2. La identificación de las responsabilidades de cada empleado y los permisos con los que cuentan para acceder a los recursos.

 

Esta revisión tiene límite de tiempo que es preciso repetir. El momento de revisar depende de la sensibilidad de los derechos de acceso a los que se dirige.

 

  • Revisión continua del acceso de los usuarios

 

Sin embargo, la revisión continua de acceso de los usuarios tiene un objetivo muy distinto: reducir los riesgos relacionados con los derechos de acceso.

 

Este tipo de revisión se encarga de observar los movimientos de la empresa para conseguir detectar posibles brechas en la seguridad.

 

A diferencia de la revisión periódica, la revisión continua no tiene límites de tiempo, sino que se centra en identificar situaciones sospechosas.

¿Cómo realizar correctamente una revisión de acceso de usuario?

Hemos hablado bastante sobre las revisiones de acceso de usuario. ¿Pero cómo realizar estas revisiones?

Aparentemente, verificar todos los permisos otorgados por la empresa parece una tarea larga y tediosa, y realmente lo es.

Por eso, si se quiere contar con una estrategia eficaz para afrontar este desafío, es preciso preparar bien el terreno: sentar las bases con un marco de gestión de acceso y limitar las decisiones que toma cada propietario de datos.

Algunos de los pasos imprescindibles para realizar el control de accesos incluyen:

  1. Poner en marcha el control de acceso basado en roles.

El control de acceso basado en roles (RBAC) es un método destinado a restringir el acceso a la red dependiendo de las funciones de los usuarios de una empresa.

Las empresas emplean este sistema para analizar los distintos niveles de acceso y de responsabilidad de los miembros de la organización.

Con este sistema, cuando un usuario cambia de departamento o de puesto en la empresa, pierde de manera automática los antiguos privilegios.

  1. Creación y actualización de la política de acceso.

Aunque las herramientas de control de acceso basado en roles administran y asignan permisos automáticamente, la empresa tiene que decidir qué privilegios necesita cada nivel de usuarios dependiendo del puesto y departamento que ocupen.

Por ello, las empresas deben crear una política de acceso que documente los permisos de los distintos grupos de usuario.

Es importante que se siga el principio del privilegio mínimo, mediante el cual, los roles solo incluyen los permisos estrictamente necesarios para el trabajo a realizar. Y, los permisos añadidos se pueden asignar de manera individualizada.

  1. Implicar a los propietarios de datos y las partes interesadas.

Para realizar las revisiones de acceso de manera adecuada, lo conveniente es que lo hiciesen los “propietarios de datos” de los distintos departamentos de tu empresa.

Es decir, los jefes de departamentos, líderes… Personas que conozcan el departamento y sean capaces de revisar los accesos a cualquier recurso bajo su control.

Explícales qué deben hacer, dónde deben hacerlo y por qué es importante. Los propietarios de datos conocen más a las personas a su cargo y serán quienes mejor lo hagan.

  1. Determinar las revisiones.

Es fundamental programar las revisiones de acceso de usuarios y la frecuencia con la que se harán.

¡No olvides que puedes elegir distintas frecuencias de revisión para diferentes recursos de TI!

  1. Documentación de los resultados.

El archivo de documentos es vital. No solo para tener los registros y valorar el cumplimiento, sino que puede ayudarte a detectar problemas relacionados con el proceso de revisión de acceso de usuarios.

  1. Cambiar el acceso permanente por el acceso temporal.

Como sugerencia, te proponemos que siempre que exista la posibilidad, es mejor indicar a tu personal que utilice el acceso temporal en lugar de los permisos permanentes.

Y por último te recomendamos… ¡Elegir la plataforma más adecuada para llevar a cabo la revisión de acceso a usuarios!

¿Cómo puede ayudar a las empresas la revisión de acceso de usuario?

La revisión de acceso de usuario incluye los siguientes beneficios:

  • Evita la acumulación de privilegios y el uso indebido de estos.

 

  • Seguridad de los datos mediante la detección de los riesgos asociados al acceso de los usuarios.

 

  • Baja segura: en el caso de que un empleado sea despedido o abandone la empresa, se eliminan sus derechos de acceso para evitar su acceso a información confidencial.

 

  • Cumplimiento de las restricciones regulatorias de la empresa.

 

  • Menos gasto en las licencias. Es decir, si el acceso a sistemas específicos no se supervisa puede generar gasto innecesario para la empresa.

 

En ADM Cloud & Services contamos con diversas herramientas para proteger los datos de tu empresa. Contáctanos sin compromiso, nos encantará hablar contigo.

Gracias por quedarte hasta el final. ¡Nos vemos en la próxima!


BANNER GUA DE herramientas de ciberseguridad genrica-High-Quality

Suscríbete al blog

Twitter
LinkedIn

Suscríbete al blog

Noticias
relacionadas

¿Qué es un MSP (proveedor de servicios gestionados)?

¿Qué es un MSP (proveedor de servicios gestionados) ? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es un proveedor de servicios gestionados? ¿Hay diferencias entre un proveedor clásico de TI y un proveedor de servicios gestionados? Tipos de servicio de MSP ¿Qué modelo de precios siguen los MSP? ¿Cómo funcionan…

Rorschach: un ransomware con características exclusivas

Rorschach: un ransomware con características exclusivas Conoce las principales herramientas de ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Qué es un ransomware? Diferentes tipos de ransomware. Ransomware Rorschach. Infección de Rorschach Nota de rescate de Rorschach A principios de este año, investigadores descubrieron una nueva cepa de ransomware: Rorschach. Parece tener unas características de cifrado únicas…

3 pasos para encontrar nuevas oportunidades de ingresos a partir de la evolución digital de tus clientes

3 pasos para encontrar nuevas oportunidades de ingresos a partir de la evolución digital de sus clientes Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO Conozca a sus clientes y adáptese ¿Cómo podrías hacer esto?    Existe una costumbre en el sector TI  sobre trazar una línea clara…

¿Qué es la voz sobre IP (VOIP)? ¿Cómo funciona?

¿Qué es la voz sobre IP (VOIP)? ¿Cómo funciona? ¿Qué es la voz sobre IP(VoIP)?¿Cómo funciona VoIP?Beneficios VoIPDesventajas de VoIPPrincipales características del sistema telefónico VoIP  ¿Qué es la voz sobre IP(VoIP)El protocolo de voz sobre Internet (VoIP) es una tecnología probada que permite a cualquier persona realizar llamadas telefónicas a través de una conexión a…

¿Deben las empresas archivar todos sus correos electrónicos?

¿Deben las empresas archivar todos sus correos electrónicos? Conoce las principales herramientas de ciberseguridad con este ebook. DESCARGAR AQUÍ ¿Por qué es importante que las empresas archiven todos sus correos electrónicos? Cumplimiento normativo. Respaldo en litigios y disputas legales. Gestión eficiente de la información. Seguridad y protección de la empresa. El mundo de los negocios,…

¿Cómo un software de monitorización te ayuda con tu cliente?

¿Cómo un software de monitorización te ayuda con tu cliente? Conoce las principales herramientas para la ciberseguridad con este ebook. DESCARGAR AQUÍ CONTENIDO DEL ARTÍCULO ¿Cómo nos puede ayudar a dar un soporte proactivo?Solución rápida de problemas al clienteGestión de BackupGestión de antivirusAsistencia remota  El software de monitorización de sistemas informáticos, es el encargado de vigilar los…

¿Te has visto afectad@ por la DANA?

Si tu empresa ha sido afectada por la DANA y necesitas ayuda haz click en el siguiente botón y te ayudaremos lo antes posible. 
Más informaciónCerrar