¿Qué es el acceso justo a tiempo (JIT)?
- Glosario IAM
- ¿Qué es el acceso justo a tiempo (JIT)?
El acceso justo a tiempo es una práctica de gestión de acceso privilegiado (PAM) donde los usuarios, tanto humanos como no humanos, obtienen sus privilegios elevados en tiempo real durante un período específico, para realizar una tarea específica. Esto garantiza que los usuarios autorizados puedan acceder a los sistemas, aplicaciones y datos privilegiados solo cuando les sea necesario. En lugar de otorgar privilegios permanentes o siempre activos, las organizaciones pueden usar el acceso justo a tiempo para limitar el acceso a recursos específicos y evitar el abuso de privilegios por parte de los actores de amenazas tanto internos como externos.
Siga leyendo para obtener más información sobre el acceso justo a tiempo y cómo puede usarlo para proteger la red de su organización.
Cómo funciona el acceso justo a tiempo
Cuando los usuarios, tanto humanos como no humanos, necesitan privilegios para acceder a recursos sensibles de la empresa, harán una solicitud al administrador o al sistema automatizado. Dicha solicitud pasará por un proceso de aprobación para verificar si la solicitud de acceso privilegiado es válida o no. Una vez aprobada la solicitud, el administrador o sistema automatizado concederá al usuario acceso justo a tiempo, en el que el usuario tendrá privilegios elevados o acceso a una cuenta privilegiada, por un tiempo limitado hasta que el usuario finalice su tarea. Una vez completada la tarea, el usuario cierra la sesión y su acceso se revoca o elimina hasta que lo vuelva a necesitar.
La importancia del acceso justo a tiempo
El acceso justo a tiempo es importante para poder cumplir con el acceso de privilegios mínimos. El principio de privilegios mínimos es un concepto de ciberseguridad que otorga a los usuarios únicamente el acceso suficiente a la red de sistemas y datos de la organización para desempeñar su trabajo y nada más. El acceso de privilegios mínimos separa y limita el acceso a los recursos de las organizaciones. Los usuarios solo podrán acceder a lo necesario para realizar su trabajo y no deberían poder acceder a nada más, a menos que sea necesario para una tarea específica y haya sido aprobado. Con el acceso justo a tiempo, las organizaciones pueden otorgar a los usuarios acceso privilegiado temporal y revocarlo para garantizar que el menor número de usuarios pueda acceder a sus recursos confidenciales.
Al utilizar el acceso justo a tiempo para permitir el acceso de privilegios mínimos, las organizaciones pueden reducir su superficie de ataque y proteger sus datos confidenciales. Con superficie de ataque nos referimos a la recopilación de posibles puntos de entrada que los ciberdelincuentes pueden utilizar para obtener acceso no autorizado a la red de una organización. Al limitar el acceso privilegiado a un tiempo predeterminado, las organizaciones limitan el acceso excesivo y reducen los posibles puntos de entrada a su red. Esto garantiza que los datos confidenciales de una organización solo sean accesibles para usuarios con autorización y solo cuando sea necesario.
Tipos de acceso justo a tiempo
Estos son los tres tipos de acceso justo a tiempo que las organizaciones pueden usar para proporcionar acceso privilegiado temporal.
Acceso de borrado e intermediarios
El acceso de borrado e intermediarios, también conocido como acceso justificado, exige que los usuarios justifiquen la obtención de acceso privilegiado durante un período definido. Estos usuarios tendrán una cuenta compartida permanente y privilegiada y credenciales que se administrarán, asegurarán y rotarán en una bóveda central inaccesible para el usuario. Esto garantiza que no se abuse de las credenciales privilegiadas.
Cuenta efímera
Las cuentas efímeras son cuentas de un solo uso para dar acceso limitado a ciertos usuarios para completar una tarea concreta. Los administradores crearán cuentas de corta duración y de un solo uso para usuarios de bajo nivel o de terceros para acceder a un recurso que les sea necesario. Las cuentas efímeras hacen posible otorgar acceso temporal a ciertos usuarios hasta que la tarea se haya completado. Una vez completada la tarea, la cuenta se deshabilita o elimina de forma automática. Esto evita que las organizaciones puedan otorgar acceso a recursos sensibles durante demasiado tiempo a usuarios de bajo nivel o de terceros fácilmente explotables.
Elevación de privilegios
La elevación de privilegios, también conocida como elevación temporal, es cuando un usuario solicita obtener niveles más altos de acceso privilegiado para realizar una tarea específica. La solicitud se aprueba y se concede ya sea por un sistema automatizado o manualmente por el administrador con detalles sobre cuánto tiempo tomará completar la tarea. Una vez aprobado, el usuario puede acceder a cuentas privilegiadas o ejecutar comandos privilegiados durante un tiempo limitado. Una vez que se agote el tiempo, el usuario pierde el acceso.
Beneficios de implementar el acceso justo a tiempo
Estos son los beneficios de implementar el acceso justo a tiempo.
Mejora la postura de seguridad
El acceso justo a tiempo mejora la postura de seguridad de una organización al limitar el acceso a recursos confidenciales y reducir los riesgos de violaciones de seguridad. Al limitar el acceso privilegiado a los recursos sensibles de una organización, las organizaciones pueden evitar el abuso de privilegios por parte de actores de amenazas externas y amenazas internas maliciosas. El acceso justo a tiempo garantiza que los usuarios no puedan abusar de los privilegios y les impide moverse lateralmente por la red de una organización para ganar acceso a sistemas, aplicaciones y bases de datos altamente sensibles.
Mejora el flujo de trabajo del acceso para los administradores
Con el acceso justo a tiempo, los administradores pueden mejorar los flujos de trabajo de acceso proporcionando a los usuarios acceso a los recursos confidenciales justo cuando lo necesitan, en lugar de tener que pasar por un largo proceso de revisión para otorgar acceso completo a cuentas con privilegios permanentes. El acceso justo a tiempo ayuda a aprobar solicitudes y revocar privilegios de forma automática.
Ayuda a cumplir con los requisitos de cumplimiento normativo
Las organizaciones han de cumplir con los requisitos de cumplimiento normativo y del sector, como SOX y GDPR, según los cuales deben supervisar y auditar la actividad de los usuarios privilegiados. El acceso justo a tiempo limita el número de usuarios privilegiados y proporciona a las organizaciones un registro de auditoría para todas las actividades privilegiadas.
Cómo implementar el acceso justo a tiempo
Para implementar el acceso justo a tiempo, las organizaciones deben seguir estos pasos:
Mantener una cuenta compartida permanente y privilegiada, utilizando una bóveda de contraseñas automatizada para administrar y rotar sus credenciales de forma centralizada.
-
Crear políticas granulares que requieran que los usuarios humanos y no humanos proporcionen detalles específicos y justificaciones para solicitar acceso privilegiado temporal a recursos sensibles.
Otorgar privilegios elevados de forma temporal para permitir a los usuarios humanos y no humanos acceder a recursos sensibles específicos o ejecutar comandos privilegiados durante un período limitado.
Registrar y auditar privilegios en todas las cuentas privilegiadas para detectar y responder a comportamientos sospechosos y actividades inusuales.