Privilegio mínimo y Separación de funciones
El mínimo privilegio y la separación de funciones son dos conceptos de seguridad informática relacionados que son fundamentales para prevenir el fraude y otros abusos por parte de los empleados y otros usuarios autorizados del sistema. Los dos principios forman parte del tema más amplio del control de acceso, que trata de cómo se restringen los permisos de los usuarios para ayudar a garantizar un entorno seguro.
Conocidas como amenazas internas, la lista de formas en que los usuarios autorizados pueden causar daños es aleccionadora. Los delitos incluyen fraude, robo de secretos de empresa, sabotaje del sistema y espionaje. No se trata de casos aislados. Una encuesta sobre el estado de la ciberdelincuencia en Estados Unidos de 2017 de la División CERT de la Universidad Carnegie Mellon descubrió que 1 de cada 5 ciberataques proviene de personas con acceso a información privilegiada. Y lo que es más importante, casi la mitad (43%) de los encuestados afirmaron que los ataques internos eran más costosos o perjudiciales que los externos.
Mínimo privilegio
El principio del menor privilegio dice que a una persona se le debe dar el mínimo acceso necesario para realizar sus funciones laborales. Pensemos en un analista presupuestario que necesita revisar la información de nóminas para completar un informe trimestral. El analista nunca necesita actualizar los datos de las nóminas. Ese empleado debería tener privilegios de sólo lectura para la nómina.
El mínimo privilegio es un principio que se aplica tanto a los datos como a las funciones del sistema. Cuando pensamos en privilegios de datos, normalmente nos referimos a la capacidad de ver información (leer) y cambiar información (escribir), así como crear y borrar registros y archivos.
En las redes actuales, los usuarios acceden a los datos de muchas formas distintas. Parte de la información se almacena en archivos y carpetas en unidades de red, con permisos establecidos por los administradores del sistema mediante las herramientas del sistema operativo. Parte de la información se almacena en sistemas de gestión y compartición de contenidos que pueden tener una funcionalidad similar a la de las unidades de red, pero los permisos se gestionan mediante herramientas administrativas proporcionadas por el propio sistema de gestión.
Es probable que gran parte de los datos de una organización se gestionen y se acceda a ellos a través de interfaces de software, como un programa de contabilidad o de gestión de inventarios. La mayoría de las organizaciones utilizan muchos programas diferentes de diversos proveedores. Cada programa tendrá su propio modelo de seguridad. Un programa puede permitir que los privilegios se establezcan en campos individuales, mientras que otro puede tener privilegios establecidos pantalla por pantalla o módulo por módulo. En el peor de los casos, un programa ofrecerá poca o ninguna seguridad y serán necesarias otras medidas para garantizar la integridad de los datos.
Cuando pensamos en privilegios del sistema, generalmente nos referimos a actividades como iniciar sesión en ordenadores y redes, iniciar programas e instalar software y hardware. Estas actividades abren importantes vectores de amenaza y siempre que sea posible deben aplicarse los mínimos privilegios.
La apertura de una amenaza a nivel de sistema puede ser involuntaria por parte del empleado. Por ejemplo, un empleado con privilegios para instalar software en su portátil de la empresa podría introducir fácilmente malware en la red. Si no existe una necesidad empresarial legítima para que el empleado tenga tales privilegios, dicho riesgo no puede justificarse.
Hay un puñado de términos y conceptos importantes adicionales asociados al privilegio mínimo:
- El Derecho es un término utilizado para referirse tanto al proceso de concesión de privilegios a los usuarios como al alcance de dichos privilegios.
- La acumulación de privilegios se refiere a la tendencia de los usuarios a acumular privilegios con el tiempo. Los usuarios pueden adquirir privilegios a medida que cambian sus obligaciones laborales o cuando pasan a desempeñar nuevas funciones. Aunque no es un problema en sí mismo, la acumulación de privilegios puede dar lugar a que los usuarios tengan acceso a recursos que ya no necesitan, lo que violaría el principio del mínimo privilegio.
- La confianza transitiva se refiere a una situación en la que la confianza se transmite a través de los objetos de seguridad, concediendo a los usuarios privilegios que pueden o no estar previstos. A veces se expresa como una relación lógica: si A confía en B y B confía en C, entonces A hereda la confianza de C. En el caso opuesto de confianza no transitiva, la confianza entre A-B, y B-C no crea la confianza heredada y A no confía en C. Los modelos de confianza entre objetos de seguridad deben evaluarse para garantizar que no se viola el privilegio mínimo.
Separación de funciones
El principio de separación de funciones establece que ningún usuario debe tener todos los privilegios necesarios para llevar a cabo por sí solo una función empresarial crítica. En su lugar, la función empresarial crítica debe dividirse en tareas discretas y los privilegios adecuados deben concederse a diferentes usuarios. Al requerir la participación de más de un empleado, la separación de funciones ayuda a prevenir el fraude y el abuso.
Consideremos la tarea de añadir un nuevo proveedor a un sistema de compras. La creación de proveedores falsos es un elemento común en los esquemas de fraude de facturación. En el marco de la separación de funciones, nos gustaría dividir la función en una tarea para crear un nuevo proveedor y una tarea para aprobar un nuevo proveedor, y luego asignar las tareas a diferentes empleados. Aunque no evita el fraude por completo, separar las tareas de esta manera reduce la probabilidad de fraude al obligar a dos o más empleados a confabularse.
La separación de funciones preocupa especialmente a las organizaciones que deben cumplir la Ley Gramm-Leach-Bliley (GLBA) de 1999 y la Ley Sarbanes-Oxley (SOX) de 2002. Ambas leyes que son estadounidenses pero cuya normativa se utiliza en la mayoría de los países del mundo que colaboran con Estados Unidos, incluyen estrictos requisitos de separación de funciones para proteger la privacidad y evitar fraudes y otros delitos.
Control por dos personas
El control por dos personas, también llamado control dual, exige que dos personas aprueben por separado la realización de una función empresarial delicada. Por ejemplo, un sistema de contabilidad puede requerir que dos gestores distintos aprueben la emisión de un cheque de más de 25.000 dólares. Del mismo modo, un sistema de copias de seguridad podría requerir la conformidad de dos administradores del sistema para purgar completamente los datos de las copias de seguridad.
La gente suele confundir los conceptos de control bipersonal y separación de funciones. El control bipersonal requiere la concurrencia de dos personas para realizar una única acción. La separación de funciones requiere que una sola persona no tenga la capacidad de realizar dos acciones distintas que, combinadas, podrían suponer un riesgo para la empresa.