Para el sector salud siempre resulta complicado administrar los accesos de usuarios a sistemas y datos importantes sin poner en riesgo la ciberseguridad. Ahora bien, es posible lograrlo es con el uso de soluciones de gestión de acceso privilegiado (Privileged Access Management, PAM). Dichas soluciones combinan tecnología y la aplicación de políticas para mantener el control y preservar registros de auditoría.
Entre las características más relevantes de la gestión de acceso privilegiado está la administración de contraseñas en dispositivos de infraestructura como cortafuegos (firewalls), conmutadores y enrutadores. También permiten aprovisionar a los usuarios con los accesos que requieren y, asimismo, revocar dichos permisos rápidamente. De la misma manera, contribuyen a mantener seguras las contraseñas raíz de Unix y las cuentas locales de administrador de Windows.
Y eso no es todo. Las organizaciones de salud gestionan numerosos datos personales y confidenciales de los pacientes y sus tratamientos. Al gran volumen de información se añade un ecosistema de TIC muy variado. No es raro que cada departamento ejecute sus propias herramientas. Sin embargo, al estar sujetas a la centralización que permite la gestión de acceso privilegiado, el área de TIC puede mejorar la supervisión y minimizar los riesgos de ciberseguridad. De hecho, pueden tener controles consistentes y permiten la rendición de cuentas con transparencia.
Configurar la gestión de acceso privilegiado
En particular, las organizaciones que realizan más investigaciones encuentran muy útil la gestión de acceso privilegiado. Dado que es común la colaboración entre investigadores externos e internos, no es infrecuente que algunos usuarios deban tener accesos privilegiados aun cuando no cumplan del todo con las políticas de ciberseguridad normales.
La gestión de acceso privilegiado permite contrarrestar este riesgo mediante protocolos rigurosos. La autenticación de múltiples factores o basada en certificados es el primer nivel; se le pueden añadir criterios como el país o instituto de origen para determinar si se otorga el acceso.
Ahora bien, configurar la gestión de acceso privilegiado no está del todo libre de complicaciones. Por ejemplo, la llegada de nuevos pacientes aumenta el volumen de datos a proteger. Sin embargo, integrar la gestión de accesos con los servicios de directorio de organización simplifica el proceso de asignar accesos a los empleados. Así, es posible determinar a cuáles recursos debe acceder y en qué lapso. Adicionalmente, la gestión de acceso privilegiado puede configurarse para que realicen identificaciones adicionales con el fin de prevenir accesos indebidos.
Encontrar la solución adecuada
Para elegir de entre las herramientas de gestión de acceso privilegiado disponibles en el mercado conviene tomar en cuenta algunos aspectos:
●API bien diseñada. Una buena interfaz de programación de aplicaciones debe facilitar el trabajo del área de TIC para automatizar el aprovisionamiento de los nuevos usuarios y la baja de los que parten.
●Inicio de sesión único. La mayoría de los usuarios deben acceder a diversos recursos a lo largo del día. Es por ello que resulta deseable integrar la gestión de acceso con las herramientas de inicio de sesión único.
●Integración con el Centro de Operaciones de Seguridad (SOC). Para que el SOC cumpla mejor con su cometido, debe validar con precisión y rapidez los accesos con los registros generados por la gestión de acceso privilegiado. Por ello, las soluciones tener la opción de exportar datos a otras herramientas de gestión de información y eventos de seguridad.
●Interfaz gráfica de usuario clara. Una interfaz bien diseñada facilita la vida de los usuarios y permite una capacitación más rápida de quienes utilizarán la herramienta por primera vez.
