Cuando estamos realizando proyectos de seguridad, desde cualquier punto de vista, casi siempre hablamos, en uno u otro momento, con el departamento de Sistemas, Explotación, Informática Interna, o como en cada caso se llame el grupo de personas que gestionan los sistemas y comunicaciones internos a una organización (servidores, aplicaciones, routers…). Este grupo de trabajo —llamémosle Sistemas, para aclararnos— es el que, total o parcialmente, dispone de las contraseñas de acceso privilegiado al entorno tecnológico de la organización, y por tanto es responsable de la custodia y protección de estos passwords.
Los passwords en cualquiera de sus modalidades y con cualquiera de sus restricciones (OTP, envejecimiento…) tienen como objetivo proteger el acceso a la información y a los sistemas que la tratan mediante algo que el usuario sabe. Resulta comprensible, pero chocante, que para estos departamentos la información más sensible de la empresa sea, en la mayor parte de ocasiones, el fichero de contraseñas privilegiadas de las máquinas corporativas. Casi todos utilizan —utilizamos— sistemas cifrados para su gestión (Password Safe, Password Gorilla…), con unas restricciones de acceso en muchos casos durísimas y reservadas únicamente al personal del grupo en cuestión (como debe ser, dicho sea de paso).
Obviamente, me parece muy bien que las contraseñas que dan privilegios totales en los sistemas estén almacenadas de forma segura y el acceso a las mismas esté estrictamente controlado, pero bajo mi punto de vista, en muchos casos nos olvidamos de lo que realmente protegen esos passwords: la información corporativa, que es lo que tiene valor para la organización. En ocasiones no somos conscientes de que las claves no dejan de ser una mera llave para el acceso a esa información, pero que mucho más importante que esta llave es lo que ésta custodia. Por tanto, quería hacer un par de reflexiones acerca de la seguridad que le damos a las claves para conocer vuestra opinión. Ahí van:
La primera de estas reflexiones es preguntarme por qué todos usamos cifrado para las contraseñas de acceso a las máquinas, pero muy pocos la usamos para proteger la información que hay en esas mismas máquinas (por ejemplo cifrando a nivel de volumen o de archivo). Lo que conseguimos si no protegemos datos a diferentes niveles es un modelo binario: o tienes la clave de “root” y accedes a todo, o no la tienes y por tanto no accedes. Debemos cifrar la información si queremos protegerla de forma adecuada, porque si no lo hacemos, demasiada gente tendrá acceso a ella —incluidos todos los administradores de sistemas—.
La segunda hace referencia también a un modelo binario de acceso: el departamento de Sistemas al completo suele tener acceso a todas las claves de una forma demasiado sencilla: o eres del área y accedes, o no eres y no accedes. ¿Por qué el último que entra al departamento de sistemas tiene acceso total a las contraseñas? Esta situación, desde el punto de vista de seguridad, me parece una aberración; dentro de un grupo de Sistemas hay personas de diferente nivel de confianza en la organización, por lo que no todos deben acceder a todo. Yo puedo tener confianza ciega en el responsable de sistemas (por ejemplo), pero no tengo por qué tenerla en una persona que acaba de incorporarse al departamento. ¿Es realmente necesario darle todas las claves a esta persona? Bajo mi punto de vista deben establecerse círculos de confianza dentro del grupo, y únicamente facilitar las contraseñas necesarias a cada persona para que desarrolle correctamente su trabajo en el día a día.
Siempre he opinado que un password debe protegerse de forma adecuada, especialmente los de usuarios privilegiados, pero también he pensado siempre que ese mismo password se cambia en un segundo, mientras que la planificación estratégica de la empresa no. Proteger mis contraseñas es, IMHO, correctísimo, pero no debemos olvidarnos de lo que a su vez protegen esas contraseñas.
NOTA: Actualizamos la entrada (¡diez años después!) para incluir el nuevo enlace de Password Safe y aprovechamos para enlazar un post de Bill Hess relativo a la reutilización de contraseñas, en PixelPrivacy. Thank you for the update, Bill!!
Hace tiempo que estoy siguiendo tu página, los artículos son muy buenos. Referente al tema de los usuarios / contraseñas y en la línea de si los “usuarios desconocidos” deben tener acceso o no, también se debería revisar el procedimiento de alta y recuperación de contraseñas, en horario de oficina el procedimiento suele seguir algún que otro worklfow de autorización, pero en situaciones como guardias veo mucho descontrol en general, hasta el punto en que un técnico con un móvil recibe una llamada de la persona X y sin ningún tipo de comprobación se procede a activar la cuenta de menganito o fulanito. Estaría bien un articulo de referencia sobre como gestionar estos circuitos ;).
Saludos y animo con el blog. !!
Hola Miguel
La verdad es que el tema de las autorizaciones en situaciones no habituales (guardias, intervenciones…) da para escribir varios posts, desde los de procedimiento y cosas que no hay que hacer, hasta los de anécdotas (que seguro que todos tenemos). A ver si nos animamos :)
Saludos
Toni