¿Qué es el principio del menor privilegio?

El Principio de Mínimo Privilegio (PoLP) es un concepto de ciberseguridad que garantiza que un usuario u otra entidad sólo tenga acceso a los datos y aplicaciones necesarios para completar su función o tareas. Las organizaciones que contratan usuarios con privilegios excesivos tienen más probabilidades de sufrir una violación de datos, y en caso de que un agente de amenazas obtenga acceso ilegal a la cuenta de un usuario, podrá moverse con mayor libertad para robar datos confidenciales. 

Principio de mínimos privilegios Tipos de cuenta

Cuentas de usuario

Un ejemplo es cuando a un empleado se le concede acceso a una base de datos específica para permitirle introducir nuevos registros. Si este usuario hace clic en un enlace de un correo electrónico de phishing, el atacante no tendrá acceso root a todo el sistema. 

Cuentas MySQL

El Privilegio Mínimo también puede aplicarse a una configuración MySQL, con algunas cuentas a las que sólo se les conceden privilegios de clasificación. Esto significa que si un atacante obtiene acceso no autorizado a una cuenta de este tipo, no puede eliminar una base de datos ni manipular su contenido.

Privilege Creep

Privilege Creep es cuando un usuario acumula permisos innecesarios con el tiempo. Esto puede ocurrir cuando un empleado cambia de función dentro de una organización, conservando sus privilegios anteriores mientras se le conceden otros nuevos. Esto puede dar lugar a perfiles de usuario que presentan un riesgo significativo para la ciberseguridad. 

Cómo aplicar el principio del menor privilegio

A la hora de aplicar una estrategia de PdLP, deben seguirse muchas buenas prácticas: 

1. Lleve a cabo una auditoría exhaustiva para documentar los privilegios de red, incluidos los concedidos a cuentas de usuario de empleados, contratistas externos, proveedores externos y cualquier acceso no humano. Esto debe abarcar tanto a los usuarios in situ como a los remotos.

2. Establezca el mínimo privilegio por defecto para todas las cuentas nuevas, concediendo sólo el acceso y los permisos mínimos para que los empleados puedan realizar su trabajo. 

3. Separe las cuentas administrativas privilegiadas de las cuentas de usuario estándar y aísle las sesiones de usuario privilegiadas. Cualquier función del sistema de nivel superior también debe concederse al nivel mínimo requerido. 

4. Introduzca un control de acceso basado en funciones con privilegios limitados en el tiempo para evitar cualquier interrupción de los flujos de trabajo. 

5. Sustituya las credenciales codificadas por credenciales de un solo uso.

6. Supervise y analice el acceso privilegiado y cree un registro de autenticaciones y autorizaciones en toda la red. Esto garantizará que se puedan rastrear las acciones individuales. 

7. Revise periódicamente los privilegios, revoque el acceso cuando sea necesario y cierre las cuentas inactivas. 

Principio del menor privilegio frente a confianza cero

Aunque el objetivo final es similar, PoLP y Zero Trust funcionan de forma diferente para proteger a una organización. PoLP limita el control de acceso, mientras que Zero Trust se centra en la autorización. Zero Trust puede considerarse una estrategia más completa, ya que tiene en cuenta quién solicita el acceso, a qué está intentando acceder y el nivel de riesgo si se concede el acceso.

BlackBerry Ciberseguridad para una confianza cero

La seguridad de confianza cero debería ser el objetivo de todo equipo de seguridad. La metodología está preparada para abordar la flexibilidad y los retos del trabajo híbrido moderno. Evaluar e implementar Zero Trust implica contar con un socio tecnológico experto, razón por la cual las organizaciones eligen ^BlackBerry® Cybersecurity powered by Cylance^® AI para proteger a sus personas, datos y redes.

Más información

Más recursos