Principio de Mínimos Privilegios
Este principio, quizás el más lógico y fundamental de una buena gestión de la seguridad, pero pocas veces bien implementado. Hace poco tiempo he decidido llevarlo adelante en mi equipo personal, que comparto con mi esposa y que tanto me ha costado convencer. Pero finalmente he podido comenzar la experiencia al reconocer que para todas nuestras tareas más frecuentes: lectura de correos, navegación por internet, trabajo profesional, entretenimiento, etc. No eran necesarios aquellos amplios privilegios que desde el día cero de la instalación teníamos en nuestros usuarios. Luego de una instalación desde cero, he definido un usuario básico, y otro administrativo. El primero lo utilizamos para todas las tareas cotidianas y el segundo ante alguna tarea que requiere indefectiblemente privilegios administrativos. Realmente luego de los primeros días en los que la personalización del equipo requirieron frecuentes utilizaciones del usuario administrativo, todo el resto del tiempo hemos podido realizar todas las tareas cotidianas en forma transparente y con un usuario con mínimos privilegios.
A pesar de que seguramente tengan muy claro cuales son los principales motivos de la utilización de este principio, es importante recordar que ante algún incidente de seguridad, si estamos utilizando un usuario con privilegios amplios, potenciamos el impacto de dicho incidente, dado que el código malicioso involucrado utiliza estos privilegios para ejecutarse.
Todo esto resulta muy lógico y hasta quizás básico en la teoría, pero es muy poco frecuente verlo en las organizaciones, o dentro del diseño de aplicaciones, donde siempre se privilegia la funcionalidad sin tener en cuenta los riesgos asociados a esta práctica y mucho menos la clasificación de la información que esta procese.
Es muy aconsejable que se aplique este principio, obviamente siempre en un ambiente de pruebas en el cual se puedan realizar las definiciones sin impactar en las operaciones productivas, no solo privilegiando la funcionalidad (que no se debería afectar) sino también la seguridad de la información procesada, para luego transportarlo al ambiente productivo.
Por otro lado, y como potenciador de la implementación de este principio, su práctica favorece la aplicación de la Segregación de Funciones, otro pilar en la gestión de la Seguridad de la Información. Dado que los privilegios excesivos facilitan la ejecución de tareas que deberían segregarse.
Como les comentaba, al día de hoy puedo garantizar que el principio bien aplicado es totalmente transparente para el usuario y con un gran valor agregado.
Fuente: http://securetech-informacion.blogspot.com/2008/06/principio-de-mnimos-privilegios.html
A pesar de que seguramente tengan muy claro cuales son los principales motivos de la utilización de este principio, es importante recordar que ante algún incidente de seguridad, si estamos utilizando un usuario con privilegios amplios, potenciamos el impacto de dicho incidente, dado que el código malicioso involucrado utiliza estos privilegios para ejecutarse.
Todo esto resulta muy lógico y hasta quizás básico en la teoría, pero es muy poco frecuente verlo en las organizaciones, o dentro del diseño de aplicaciones, donde siempre se privilegia la funcionalidad sin tener en cuenta los riesgos asociados a esta práctica y mucho menos la clasificación de la información que esta procese.
Es muy aconsejable que se aplique este principio, obviamente siempre en un ambiente de pruebas en el cual se puedan realizar las definiciones sin impactar en las operaciones productivas, no solo privilegiando la funcionalidad (que no se debería afectar) sino también la seguridad de la información procesada, para luego transportarlo al ambiente productivo.
Por otro lado, y como potenciador de la implementación de este principio, su práctica favorece la aplicación de la Segregación de Funciones, otro pilar en la gestión de la Seguridad de la Información. Dado que los privilegios excesivos facilitan la ejecución de tareas que deberían segregarse.
Como les comentaba, al día de hoy puedo garantizar que el principio bien aplicado es totalmente transparente para el usuario y con un gran valor agregado.
Fuente: http://securetech-informacion.blogspot.com/2008/06/principio-de-mnimos-privilegios.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!