Krypton Solid

La última tecnología en raciones de 5 minutos

¿Qué es el Principio de Mínimo Privilegio (POLP)?

¿Qué es el principio de privilegio mínimo (POLP)?

El principio de privilegio mínimo (POLP) es un concepto de seguridad informática que limita los derechos de acceso de los usuarios a lo estrictamente necesario para realizar su trabajo. Los usuarios tienen permiso para leer, escribir o ejecutar solo los archivos o recursos necesarios para realizar su trabajo. Este principio también se conoce como principio de control de acceso o la principio de privilegio mínimo.

POLP también puede restringir los derechos de acceso para aplicaciones, sistemas y procesos solo a aquellos que están autorizados.

Dependiendo del sistema, algunos privilegios pueden basarse en atributos que dependen del rol del usuario dentro de la organización. Por ejemplo, algunos sistemas de acceso corporativos otorgan el nivel adecuado de acceso en función de factores como la ubicación, la antigüedad o la hora del día. Una organización puede especificar qué usuarios pueden acceder a qué en el sistema, y ​​el sistema se puede configurar para que los controles de acceso reconozcan solo el rol y los parámetros de los administradores.

¿Qué es un superusuario?

Una cuenta de superusuario proporciona a los miembros del personal de tecnología de la información (TI) privilegios ilimitados para que tengan autoridad completa de lectura, escritura y ejecución y puedan realizar cambios en una red. Esto incluye la instalación de software, la modificación de configuraciones y archivos y la eliminación de datos y usuarios. Las cuentas de superusuario solo se otorgan a las personas más confiables, generalmente administradores de sistemas (administradores de sistemas) o el equivalente. La cuenta de superusuario también se conoce como cuenta de administrador y a menudo se le da el nombre raíz.

Para evitar que las sesiones de superusuario sean secuestradas, un superusuario puede escribir el sudo comando en cualquier cuenta, lo que permite que la cuenta realice temporalmente un solo comando con privilegios de superusuario. Idealmente, las credenciales de superusuario no se utilizan para iniciar sesión; Dado que la cuenta de superusuario tiene el control total del sistema, debe protegerse contra el acceso no autorizado.

Controlando el acceso

Los usuarios con menos privilegios (LPU) son aquellos con el acceso más limitado y, a menudo, el nivel de autoridad más bajo dentro de la empresa. En una organización, los usuarios suelen tener niveles elevados de acceso a la red y a los datos que contiene. Cuando se configura una LPU, esa cuenta de usuario tiene privilegios limitados y solo puede realizar tareas específicas, como navegar por la web o leer el correo electrónico. Esto dificulta que un atacante malintencionado use una cuenta para causar daño.

Otra forma de controlar el acceso de los usuarios es mediante la implementación de un concepto llamado horquillado de privilegios. Este enfoque implica permitir que los usuarios accedan a las cuentas de administrador durante el menor tiempo necesario para completar la tarea específica. Esta función se puede administrar a través de un software automatizado especial para garantizar que el acceso se otorgue solo durante el período de tiempo especificado.

¿Qué es el arrastre de privilegios?

POLP no se trata solo de quitarle privilegios a los usuarios; también se trata de monitorear el acceso para aquellos que no lo requieran. Por ejemplo, privilegio arrastrarse se refiere a la tendencia de los desarrolladores de software a agregar gradualmente más derechos de acceso más allá de lo que las personas necesitan para hacer su trabajo. Esto puede generar importantes riesgos de ciberseguridad para la organización. Por ejemplo, es posible que los empleados que asciendan aún necesiten derechos de acceso temporal a ciertos sistemas para su trabajo anterior. Pero, una vez que se establecen en su nueva posición, se agregan más derechos de acceso y los privilegios existentes a menudo no se revocan. Esta acumulación innecesaria de derechos podría resultar en pérdida o robo de datos.

5 beneficios de usar el principio de privilegio mínimo

Beneficios de utilizar el principio de privilegio mínimo

  • Previene la propagación de malware. Al imponer restricciones POLP a los sistemas informáticos, los ataques de malware no pueden utilizar cuentas de administrador o de privilegios superiores para instalar malware o dañar el sistema.
  • Disminuye las posibilidades de ataque cibernetico. La mayoría de los ataques cibernéticos ocurren cuando un atacante explota credenciales privilegiadas. POLP protege los sistemas limitando el daño potencial que puede causar un usuario no autorizado que accede a un sistema.
  • Mejora la productividad del usuario. Solo dar a los usuarios el acceso requerido para completar sus tareas necesarias significa una mayor productividad y menos resolución de problemas.
  • Ayuda a demostrar el cumplimiento. En el caso de una auditoría, una organización puede demostrar que cumple con los requisitos reglamentarios presentando los conceptos POLP que ha implementado.
  • Ayuda con clasificación de datos. Los conceptos de POLP permiten a las empresas realizar un seguimiento de quién tiene acceso a qué datos en caso de acceso no autorizado.

Si bien POLP ayuda a minimizar el riesgo de que un usuario no autorizado acceda a datos confidenciales, la principal desventaja es que los permisos mínimos deben ser consistentes con los roles y responsabilidades del usuario, lo que podría ser un desafío en organizaciones más grandes. Por ejemplo, es posible que los usuarios no puedan realizar una determinada tarea necesaria si no tienen los privilegios de acceso adecuados.

Cómo implementar POLP

Aplicar los conceptos de POLP puede ser tan simple como eliminar el acceso del usuario final a los dispositivos, como quitar las unidades de bus serie universal (USB) para evitar la filtración de información clasificada, a operaciones más complicadas, como realizar auditorías periódicas de privilegios.

Las organizaciones pueden implementar POLP con éxito haciendo lo siguiente:

  • llevar a cabo auditorías de privilegios mediante la revisión de todos los procesos, programas y cuentas existentes para asegurarse de que no haya un arrastre de privilegios;
  • iniciar todas las cuentas con el mínimo de privilegios y agregar privilegios de acuerdo con el acceso requerido para realizar;
  • implementar la separación de privilegios distinguiendo entre cuentas de privilegios de nivel superior y cuentas de privilegios de nivel inferior;
  • asignar privilegios justo a tiempo al proporcionar acceso limitado a cuentas de privilegios de nivel superior para completar la tarea necesaria; y
  • rastrear y rastrear acciones individuales realizadas por credenciales de un solo uso para evitar daños potenciales.

Deja un comentario

También te puede interesar...

Cómo extraer archivos | Krypton Solid

Una de las primeras dudas que asalta a quienes se acercan al mundo de la informática desde cero es la relacionada con como extraer archivos. Desde correos electrónicos hasta datos descargados de Internet, los archivos

Cómo hibernar Windows 7 y Windows XP

¿Sabía que además del modo de espera, existe otra forma de apagar parcialmente su computadora y reiniciarla sin tener que esperar a que se cargue todo el sistema operativo? Esto eshibernaciónque guarda todos los documentos

Toma el control del almacenamiento de Dropbox

Si eres un usuario de Dropbox, es probable que tu almacenamiento en línea sea una combinación caótica y confusa de archivos y carpetas. O puede que no esté usando su espacio lo suficiente. Aquí hay

Definición de anualidad sin carga

¿Qué es una anualidad sin embarazo? Una anualidad sin obligación es un tipo de inversión de pensión que cobra impuestos y gastos más bajos que los que normalmente implican las anualidades. Los pagos mensuales que

El investigador ve agujeros en la radio Triple Zero

Los servicios de emergencia utilizan un cifrado débil y desactualizado para asegurar las comunicaciones de radio digitales, según el investigador de National ICT Australia, Steven Glass. La mayoría de los servicios de emergencia utilizan el

2001: El año del virus

2001 trajo consigo una respuesta a la paranoia sobre el error Y2K que golpeó al mundo en 1999, y su nombre era Code Red. Después de una prueba de gusanos a principios de julio, los

Cómo instalar la Edición Educativa de Minecraft

Minecraft: Edición Educativa es la versión de Minecraft dedicada al mundo escolar. Si bien sigue la experiencia de juego del título original, esta plataforma se centra puramente en el aprendizaje: gracias a un mecanismo basado