Hoy en día, la conectividad permanente a Internet es indispensable para el desarrollo empresarial de cualquier organización. Al mismo tiempo, supone un riesgo para los sistemas debido a su exposición continua a virus, troyanos y demás software malintencionado que circula por Internet.
Por eso, desde Cloud Center Andalucía ponemos el foco en desarrollar una estrategia de seguridad para reducir el área de ataque bajo el enfoque del Principio de Mínimo Privilegio. Veamos en qué consiste esta estrategia defensiva.
El principio del mínimo privilegio, tal como su nombre lo indica, consiste en la asignación de los permisos necesarios y suficientes a un usuario para desempeñar sus actividades dentro de su empresa, por un tiempo limitado, y con el mínimo de derechos necesarios para sus tareas.
Aplicado a los privilegios de ejecución (el riesgo de los privilegios de administrador para todos)
La mayoría de los usuarios somos reacios a utilizar cuentas que no dispongan de privilegios de administrador para poder tener pleno acceso a la configuración del sistema y a la gestión del software que instalamos en nuestro dispositivo. En cambio, es necesario saber que cuando un usuario inicia sesión con derechos administrativos, todos los programas ejecutados (software, exploradores, navegadores, clientes de correo…) también disponen de esos derechos.
En caso de que dicho software active algún tipo de malware, éste podría instalarse sin que detectáramos su presencia, bloqueando procesos o nuestro antivirus, e incluso alojarse en nuestro sistema operativo con consecuencias nefastas para nuestra empresa y/o nosotros mismos. El malware podría incluso interceptar las claves de inicio de sesión de un usuario para tomar el control total del equipo, bloquear el acceso a sitios web, destruir información, cifrarla o transmitirla y luego ser vendida a la competencia.
Una situación que situaría a nuestra empresa en un serio compromiso con nuestros clientes y el cumplimiento de la legislación vigente.
Como resumen de este apartado: Este tipo de situaciones deben evitarse adoptando este enfoque y limitando el número de cuentas con permisos de administrador. Adicionalmente, y siempre que sea posible, no iniciar nunca sesión en los equipos como administrador, ejecutando sólo los servicios y programas necesarios con dichos privilegios (con la funcionalidad ‘ejecutar como’ o con ‘sudo’).
Aplicado al acceso de ficheros
Es importante tener claro que no todos los usuarios necesitan tener acceso a toda la información de la empresa para poder realizar correctamente su trabajo. Establecer un control de acceso basado en la necesidad de conocimiento mínimo del personal nos ayudará a proteger nuestra información y a evitar problemas de fugas o borrados no intencionados de información sensible de la empresa. Para no cometer errores en las asignaciones de acceso a nuestra información es recomendable definir grupos. A cada uno se le asignará lo mínimo necesario para poder desempeñar su trabajo diario de una manera correcta.
El enfoque de mínimo privilegio puede acotar y minimizar el impacto de un ataque por malware o una configuración incorrecta del sistema de forma accidental. Sin embargo, es importante reseñar que, en el caso de empresas u organizaciones, un planteamiento como éste requiere de un esfuerzo importante que implica desarrollar programas personalizados, cambios en los protocolos de operaciones e incluso la implementación de herramientas de gestión adicionales. Un trabajo que conviene asumir para quedar del lado de la seguridad y evitar exponer el sistema a la acción de malware que diariamente circula por Internet.
Los privilegios determinan las acciones que los usuarios pueden realizar en aplicaciones cliente. Informatica incluye los siguientes privilegios:
Privilegios del dominio. Determine las acciones que los usuarios pueden realizar en el dominio de Informatica mediante la Herramienta del administrador y los programas de la línea de comandos infacmd y pmrep.
Privilegios del dominio. Determinan las acciones sobre el dominio de Informatica que los usuarios pueden realizar mediante la Gerramienta del administrador.
Privilegio del Servicio del analista. Determina las acciones que los usuarios pueden realizar mediante Informatica Analyst.
Privilegio del servicio de administración de contenido. Determina las acciones que los usuarios pueden realizar con las tablas de referencia de la Informatica Developer tool y la herramienta Informatica Analyst.
Privilegio del servicio de integración de datos. Determina las acciones sobre las aplicaciones que los usuarios pueden realizar mediante la Herramienta del administrador y el programa de línea de comandos infacmd. Este privilegio también determina si los usuarios pueden obtener detalles y exportar resultados de perfiles.
Privilegio del servicio de integración de datos. Determina las acciones sobre las aplicaciones que los usuarios pueden realizar mediante la Herramienta del administrador. Este privilegio también determina si los usuarios pueden obtener detalles y exportar resultados de perfiles.
Privilegios del servicio de Metadata Manager. Determinan las acciones que los usuarios pueden realizar mediante Metadata Manager.
Privilegio del servicio de repositorio de modelos. Determina las acciones que los usuarios pueden realizar mediante Informatica Analyst e Informatica Developer.
Privilegio del servicio de repositorio de modelos. Determina las acciones que los usuarios pueden realizar con Informatica Developer.
Privilegios del servicio de repositorio de PowerCenter. Determinan las acciones del repositorio de PowerCenter que los usuarios pueden realizar mediante el administrador de repositorios, Designer, el administrador de flujos de trabajo, el supervisor de flujos de trabajo y los programas de línea de comandos pmrep y pmcmd.
Privilegios del servicio de aplicaciones de PowerExchange. Determinan las acciones que los usuarios pueden realizar sobre el servicio de escucha de PowerExchange y el servicio de registrador de PowerExchange mediante comandos infacmd pwx.
Privilegios del servicio de programador. Determine las acciones que los usuarios pueden realizar con el Servicio de programador.
Privilegios del servicio de Test Data Manager. Determinan las tareas de obtención de datos, enmascaramiento de datos, subconjunto de datos y generación de datos de prueba que los usuarios pueden realizar mediante Test Data Manager.
Los privilegios determinan las acciones que los usuarios pueden realizar en aplicaciones cliente. Informatica incluye privilegios de dominio, que determinan las acciones que pueden realizar los usuarios mediante la Herramienta del administrador.
Puede asignar privilegios a usuarios y grupos para los servicios de aplicación. Puede asignar diferentes privilegios a un usuario para cada servicio de aplicación del mismo tipo de servicio.
También puede asignar privilegios a usuarios y grupos en la ficha Seguridad de la Herramienta del administrador.
La Herramienta del administrador organiza los privilegios por niveles. Un privilegio se lista debajo del privilegio que incluye. Algunos privilegios incluyen otros privilegios. Cuando asigne un privilegios a usuarios y grupos, la Herramienta del administrador también asignará cualquier privilegio incluido.