El principio del privilegio mínimo (PoLP) es un concepto en la ciberseguridad que dice que los usuarios deben tener acceso solamente a los recursos, datos y aplicaciones específicos que necesitan para hacer sus trabajos.
Índice
El principio del privilegio mínimo evolucionó como parte del framework zero-trust network access (ZTNA) 2.0, esto en respuesta al incremento de ambientes de trabajo remotos, híbridos y en la nube.
La meta del PoLP es reducir el daño en los sistemas de TI, la información y las aplicaciones causado por hackeos y brechas intencionales o accidentales de datos. Lo logra al limitar de forma estricta todos los accesos de los usuarios a recursos críticos e información sensible. Esto incluye implementar prácticas y procesos como:
- Restringir los permisos (o “privilegios”) de acceso al mínimo absoluto necesario para cualquier tarea.
- Revisar regularmente los accesos y privilegios de autorización para reducir, ajustar o revocar permisos que ya no son necesarios.
- Evitar que algún empleado individual tenga acceso a demasiados sistemas al delimitar responsabilidades y asignar tareas distintas a roles separados.
¿Por qué es importante el principio del privilegio mínimo?
Las filtraciones de información le cuestan cada año miles de millones a las organizaciones en productividad perdida, costos de recuperación y daños a la reputación. Un porcentaje significativo de esas filtraciones ocurren cuando la cuenta de un usuario autorizado es hackeada y sus credenciales son robadas por los cibercriminales.
Al limitar la información, sistemas y recursos a los que cada usuario individual puede acceder, el principio del privilegio mínimo permite que las organizaciones:
- Minimizar su superficie de ataque
- Fortalecer su postura general de seguridad
- Mitigar riesgos de seguridad reduciendo las probabilidades de que ocurran hackeos y errores humanos
- Contener brechas y filtraciones de datos reduciendo el daño que podrían causar los hackers en caso de obtener acceso no autorizado
- Proteger las redes y aplicaciones ante una gran variedad de ciberamenazas y ciberataques, incluyendo malware y ransomware amenazas internas, brechas de datos accidentales y maliciosas, y robo de información
Debido a que mejora la capacidad de las organizaciones para proteger información confidencial o sensible, PoLP también ayuda a las empresas a mantener el cumplimiento con las regulaciones industriales y gubernamentales de privacidad de datos. Estos incluyen el GDPR (General Data Protection Regulation), PCI DSS (Payment Card Industry Data Security Standard), CCPA (California Consumer Privacy Act) y HIPAA (Health Insurance Portability and Accountability Act).
¿Cómo puede integrarse el principio del privilegio mínimo con la arquitectura zero trust (ZTA)?
El principio del privilegio mínimo es elemento fundamental de la arquitectura zero trust (ZTA). La idea principal detrás de la arquitectura zero trust se resume con el mantra “nunca confiar, siempre verificar.” En el modelo ZTA, cada solicitud de acceso se asume que es maliciosa hasta que se demuestre lo contrario, sin importar si viene desde dentro o fuera de una organización.
PoLP se integra con ZTA al restringir los permisos de los empleados, contratistas y otros usuarios. Debido a que los permisos PoLP se están revisando y ajustando constantemente, el principio del privilegio mínimo también ayuda a reforzar las políticas de zero trust y a proteger los sistemas y la información de forma dinámica.
Tanto ZTA como PoLP dependen de soluciones robustas de gestión de identidades y accesos (IAM) para autentificar, validar y autorizar las solicitudes de acceso para mantener seguras a las organizaciones ante actores maliciosos y errores accidentales.
¿Cuáles son los principales desafíos al aplicar el principio del privilegio mínimo?
Conforme el trabajo híbrido, trabajo remoto y el uso de servicios en la nube continúa expandiéndose, las empresas enfrentan varios desafíos clave para aplicarlo, incluyendo:
- Gestionar necesidades de seguridad, sistemas de TI y ambientes de trabajo cada vez más variados y complejos
- Balancear los requerimientos de seguridad con restricciones presupuestarias, necesidades de facilidad de uso y productividad de usuarios
- Asegurar un cumplimiento consistente de los privilegios de acceso a través de varios sistemas, aplicaciones y roles
- Lidiar con la resistencia de algunos usuarios y crear una cultura corporativa donde la seguridad sea una necesidad en lugar de una inconveniencia
Ejemplos de mejores prácticas para la implementación del principio del privilegio mínimo
Las organizaciones deben de seguir mejores prácticas para superar los desafíos de la implementación de PoLP y proteger la información y sistemas de TI. Estas incluyen:
- Realizar un inventario de accesos y permisos existentes para analizar quién tiene acceso a qué y por qué
- Marcar cuentas que tienen más privilegios de lo necesario para llevar a cabo sus funciones
- Configurar a los nuevos usuarios por defecto al mínimo nivel de privilegios y agregarlos conforme sea estrictamente necesario
- Adoptar controles de acceso basados en roles (RBAC) para segregar los privilegios por rol, y asignar accesos de acuerdo con los requerimientos del puesto
- Usar herramientas automatizadas de gestión de accesos como IAM (gestión de accesos e identidades), SIEM (gestión de información y eventos de seguridad) y PAM (gestión de acceso privilegiado) para proteger los sistemas y la información sin abrumar a los equipos de TI o seguridad
- Realizar auditorías regulares de todos los permisos de acceso para identificar privilegios que ya no son necesarios, y reducir los niveles de acceso cuando sea posible
¿Dónde puedo obtener ayuda con el principio del privilegio mínimo?
Para ayudar a las organizaciones a fortalecer su postura de seguridad, Trend Vision One™ brinda capacidades integradas que soportan los principios de zero trust, incluyendo el principio del privilegio mínimo. Al unificar la visibilidad de riesgos, el control de accesos y la detección de amenazas en su ambiente, Trend Vision One permite que los equipos evalúen y fortalezcan continuamente las políticas de acceso.
Joe Lee
Vice President of Product Management
Joe Lee es Vice Presidente de Gestión de Producto en Trend Micro, donde lidera el desarrollo y la estrategia global y de productos para soluciones empresariales de email y redes.
Preguntas Frecuentes
¿Qué significa principio del privilegio mínimo?
El principio del privilegio mínimo es un concepto de ciberseguridad que le brinda acceso únicamente a la información y los sistemas que los usuarios necesitan para trabajar.
¿Qué es la extensión de privilegios y cómo puede evitarse?
La extensión de privilegios ocurre cuando un empleado cambia de rol o de trabajo pero retiene accesos que ya no necesita. La extensión de privilegios puede evitarse si se revisan regularmente los permisos de los usuarios.
¿Cuál sería un ejemplo del principio del privilegio mínimo?
Un ejemplo del principio del privilegio mínimo sería permitir que un usuario en el área de marketing acceda al software de CRM pero no a la información privada de los clientes.
¿Cuál sería una mejor práctica para el principio del privilegio mínimo?
Un ejemplo de una mejor práctica del principio del privilegio mínimo sería que todos los usuarios nuevos tengan el nivel mínimo de permisos por defecto.
¿Cuál es la diferencia entre zero trust y el principio del privilegio mínimo?
Zero trust controla el acceso a la información o sistemas de una organización. El principio del privilegio mínimo se enfoca en lo que pueden hacer los usuarios con ese acceso.
¿Qué es zero trust en términos sencillos?
Zero trust es un enfoque de ciberseguridad que verifica cada solicitud de acceso a los sistemas o información de una organización, sin importar de dónde provenga.
¿Cómo es que el principio del privilegio mínimo reduce los riesgos de seguridad?
El principio del privilegio mínimo reduce los riesgos de seguridad al limitar los sistemas y la información a los que pueden acceder usuarios legítimos e ilegítimos.
¿Cómo puede las organizaciones hacer cumplir el principio del privilegio mínimo en ambientes dinámicos como aplicaciones nativas de la nube o containers?
El principio del privilegio mínimo puede hacerse cumplir en ambientes dinámicos si se adoptan políticas como limitar accesos de acuerdo con el rol en lugar del usuario.
¿Qué tan seguido deben de revisarse o actualizarse los permisos de los usuarios?
Para lograr una máxima seguridad, los permisos de los usuarios se deben revisar y actualizar de forma continua.
¿Cómo puede integrarse el PoLP a un workflow de DevSecOps?
El principio del privilegio mínimo (PoLP) puede integrarse a DevSecOps al implementar prácticas como controles de acceso basados en roles (RBAC), accesos just-in-time (JIT) y permisos automatizados.