Para las universidades siempre es complejo administrar los accesos de usuarios a sistemas y datos importantes sin menoscabar la ciberseguridad. Una manera de lograrlo es mediante herramientas de gestión de acceso privilegiado (Privileged Access Management, PAM). Las soluciones PAM combinan tecnología y la aplicación de políticas para mantener el control y preservar registros de auditoría.
Entre las características más relevantes de las soluciones PAM está la administración de contraseñas privilegiadas en dispositivos de infraestructura como firewalls, conmutadores y enrutadores. También permiten aprovisionar a los usuarios con los accesos que requieren y, asimismo, revocar dichos permisos rápidamente. De la misma manera, contribuyen a mantener seguras las contraseñas raíz de Unix y las cuentas locales de administrador de Windows.
Y eso no es todo. Las universidades gestionan numerosos datos personales y confidenciales de los estudiantes y el personal. Entre ellos más importantes se cuentan los datos de identificación personal; la información financiera; los registros académicos, y los datos de las actividades académicas.
Al gran volumen de información se añade el ecosistema de TIC altamente descentralizado de las universidades. No es raro que cada departamento ejecute sus propias herramientas, muchas veces en un gran número. Sin embargo, al estar sujetas a la gestión centralizada que permiten las soluciones PAM permite que el área de TIC ejerza una mejor supervisión y minimice los riesgos de ciberseguridad. De hecho, pueden tener controles consistentes y permiten la rendición de cuentas con transparencia.
Riesgos atemperados
En particular, las universidades que realizan más investigaciones encuentran muy útil el uso de soluciones PAM. Dado que es común la colaboración entre investigadores externos e internos, no es infrecuente que algunos usuarios deban tener accesos privilegiados aun cuando no cumplan del todo con las políticas de ciberseguridad normales.
Las soluciones PAM permiten contrarrestar este riesgo mediante protocolos de acceso rigurosos. La autenticación de múltiples factores o basada en certificados es el primer nivel; se le pueden añadir criterios como el país o instituto de origen para determinar si se otorga el acceso. Inclusive, algunas herramientas de gestión de acceso privilegiado pueden integrarse con sistemas federados usados por universidades de todo el mundo, como InCommon y eduGAIN.
Ahora bien, configurar las soluciones PAM no está del todo libre de complicaciones. Por ejemplo, la rotación de usuarios en las universidades es mucho más alto que en cualquier entorno empresarial. Esto es porque cada periodo hay alumnos que dejan la institución mientras que llegan otros de nuevo ingreso.
Sin embargo, la integración de PAM con los servicios de directorio de la universidad simplifica el proceso de asignar accesos a los estudiante. Un ejemplo es cuando se actualiza en los directorios centrales la información de los cursos a los que se inscribe cada estudiante. Así, es posible determinar a cuáles recursos debe acceder y en qué lapso. Adicionalmente, las soluciones PAM pueden configurarse para que realicen identificaciones adicionales con el fin de prevenir accesos indebidos.
Otro factor que puede comprometer la ciberseguridad de una universidad es la variabilidad de los horarios en que los usuarios acceden a los recursos. De hecho, los estudiantes suelen acceden en cualquier momento, lo que significa que los accesos deben estar disponibles 24/7. Esto se agudiza, por supuesto, en los periodos de exámenes e inscripciones.
Elegir las mejores soluciones PAM
Para elegir de entre las herramientas de gestión de acceso privilegiado disponibles en el mercado conviene tomar en cuenta algunos aspectos:
●API bien diseñada. Una buena interfaz de programación de aplicaciones debe facilitar el trabajo del área de TIC para automatizar el aprovisionamiento de los nuevos usuarios y la baja de los que parten.
●Inicio de sesión único. La mayoría de los usuarios universitarios deben acceder a diversos recursos a lo largo del día. Es por ello que resulta deseable la integración de las soluciones PAM con las herramientas de inicio de sesión único.
●Integración con el Centro de Operaciones de Seguridad (SOC). Para que el SOC cumpla mejor con su cometido, debe validar con precisión y rapidez los accesos con los registros de la solución PAM. Por ello, las soluciones PAM deben tener la opción de exportar datos a diversas herramientas de gestión de información y eventos de seguridad.
●Interfaz gráfica de usuario clara. Una interfaz bien diseñada facilita la vida de los usuarios y permite una capacitación más rápida de quienes utilizarán la herramienta por primera vez.