Siete pasos para realizar la gestión del

acceso privilegiado
Índice
Realidad actual: Cómo equilibrar violaciones y requisitos de compliance con la productividad del
usuario ............................................................................................................................................. 3
hacia una organización de seguridad más madura ........................................................................ 4
Un proceso de siete pasos para una gestión más efectiva de cuentas privilegiadas .................... 5
Paso 1: Mejorar la responsabilidad y el control sobre contraseñas com privilegios ............................... 5
Paso 2: Implementar menos privilegios (restricciones), control de aplicaciones para sistemas Windows &
Mac .......................................................................................................................................................... 7
Paso 3: Apalancar el riesgo de nivel de aplicación para tomar mejores decisiones de privilegios .......... 8
Paso 4: Implementar menos privilegios en ambientes Unix y Linux ....................................................... 9
Paso 5: Unificar gestión, política, información y analítica de amenazas en un único panel ................. 10
Paso 6: Integrar Unix, Linux y Mac en Windows ................................................................................... 12
Paso 7: Auditoría de cambios en tiempo real y recuperación para ambientes Windows ..................... 13
La diferencia de PowerBroker ...................................................................................................... 14
Diferenciador Nr. 1: La amplitud y profundidad de nuestra solución disminuye el costo total de la
propiedad .............................................................................................................................................. 14
Diferenciador Nr. 2: Valor obtenido de analítica profunda y percepciones de información ................. 14
Diferenciador Nr. 3: Mejor entendimiento de amenazas en el contexto por medio de la experiencia . 15
Reconocimiento del analista ........................................................................................................ 15
Conclusión: Entrega de valor de negocios ................................................................................... 16
Sobre BeyondTrust ....................................................................................................................... 18

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
2
Realidad actual: Cómo equilibrar violaciones y requisitos de compliance
con la productividad del usuario
Controlar, monitorear y auditar el acceso privilegiado es esencial para mitigar los riesgos presentados por
amenazas internas, evitar violaciones de datos y atender los requisitos de compliance. Pero los líderes de
seguridad y TI deben mantener un delicado equilibrio entre proteger los datos críticos de la organización y
asegurar la continuidad del negocio y permitir que los usuarios y administradores sean productivos.
¿Aumentar el nivel de seguridad? La frustración aumenta. Pero si se disminuye el nivel de seguridad puede
ser que tanto Ud. como la organización estén en los titulares de los periódicos.

Hay una brecha entre la protección del negocio y la habilitación del usuario. ¿Qué es lo que evita que los
líderes de seguridad y TI cierren esa brecha de privilegios? En primer lugar, los líderes de seguridad y sus
contrapartes de TI frecuentemente deben reunir múltiples y diferentes soluciones específicas que
solucionan tan solo parte del problema y no proporcionan total visibilidad para solucionarlo totalmente.
Después, se necesita una mejor inteligencia para tomar mejores decisiones de riesgo y compliance. La
información y la analítica deben entregarse a muchas y diferentes partes interesadas – desde seguridad y
operaciones hasta auditores de compliance. Y, finalmente, la última cosa que los líderes de seguridad y TI
necesitan es otra herramienta específica. ¿No preferiría Ud. tener soluciones contextuales entregadas por
un aliado estratégico que entendiera sus ambientes de seguridad?

Para complicar aún más estos desafíos está el hecho de que los líderes de seguridad y TI se deparan con
una falta de entendimiento sobre dónde comenzar. ¿Unix es la mayor área de riesgo? ¿O lo son las
contraseñas con privilegios? ¿Máquinas de usuario final?

Este white paper le ayudará a responder exactamente eso: por dónde comenzar un proyecto de gestión de
acceso a cuentas privilegiadas, cómo avanzar hacia un nivel más alto de madurez de seguridad y qué
resultados de negocio esperar. Para preparar el terreno, identificaremos primero los niveles de madurez de
seguridad y mapearemos los atributos de un programa de gestión de acceso privilegiado en esos niveles de
madurez.

En todo este documento Ud. encontrará diversos íconos que le ayudarán a seguir adelante. ¡Preste
atención a ellos!

Estadísticas Consejos y mejores

Los hechos y cifras prácticas
para respaldar sus Lo que hemos aprendido
conclusiones en el camino

Atributos técnicos Estudio de caso

Capacidades clave Lo que los clientes están
haciendo para solucionar
este problema

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
3
Hacia una organización de seguridad más madura
La falta de madurez – o más bien la falta de madurez de seguridad para usar una frase de Brian Krebs –
lleva a la brecha entre seguridad y productividad. Ser inmaduro en términos de seguridad no tiene por qué
ser culpa de nadie; tiene más que ver con hasta qué punto la seguridad está arraigada en su organización.
Organizaciones muy pequeñas y con pocos empleados pueden ser maduras, mientras que grandes
organizaciones con amplios recursos pueden ser inmaduras en términos de seguridad. Lo que importa es
que la organización esté tomando medidas para avanzar hacia su madurez en términos de seguridad. Pero
¿cómo pueden las organizaciones de seguridad y TI comenzar este cambio?

Nos referiremos a un modelo de seguridad simple desarrollado por el Enterprise Strategy Group (y citado
en el artículo de Krebs anteriormente mencionado) que le ayudará a evaluar en qué punto se encuentra en
este momento en su jornada para convertirse en una organización de seguridad más madura. Como
ejemplo, este modelo incorpora atributos comunes en el contexto de la gestión del acceso privilegiado a los
niveles en el modelo. Revise detalladamente las prácticas de gestión de acceso privilegiado de su
organización y determine en donde se encuentra.

Figura 1: Ejemplo de modelo de madurez de seguridad

Nivel modelo Atributos

de seguridad
Básico  Procesos manuales para la gestión de contraseñas con privilegios, incluyendo planillas, cajas
de seguridad físicas o wetware.
 Prácticamente todos los usuarios de la organización tienen acceso de administrador a sus
máquinas.
 Arreglos individuales, gestión y políticas inconsistentes por aplicación.
 Falta de auditoría y control sobre cuentas root y cuentas privilegiadas.
 No hay monitoreo de la sesión o registro de uso privilegiado.
 No hay una visión clara y singular de las amenazas o de lo que hacer en relación a ellas.
 Infraestructura de servicios de directorio desorganizada y caótica, que requiere múltiples
logons y política inconsistente.
 Sin visibilidad sobre los cambios realizados en los objetos de AD, configuraciones o
autorizaciones; siempre reaccionando.
En  Alguna automatización y algunos ciclos de algunas contraseñas con privilegios.
progreso  50% o menos de usuarios con credenciales de administrador en la organización.
 Escaneado más automatizado en los sistemas vulnerables.
 Uso común de la cuenta root, con alguna auditoría de uso, tal vez el programa sudo.
 Algún monitoreo de sesión con objetivos de compliance, visión instantánea.
 Analítica de amenazas principalmente de SIEMs.
 Pocos, pero no un único login para sistemas heterogéneos.
 Alguna auditoría de cambio, pero no tiene recuperación de cambios indeseados.
Avanzado  Contraseña automatizada y gestión de sesión de todas las cuentas compartidas.
 Menos privilegios con base en reglas implementadas en toda la organización, en todos los
sistemas y máquinas.
 Escaneado, arreglo e información automatizados de los sistemas vulnerables.
 Total control y responsabilidad sobre usuarios privilegiados en cualquier sistema, eliminado
el acceso root o métodos insuficientes como sudo.
 Registro automático de pulsación de teclas/video/actividades por encima del hombro.
 Analítica integrada de amenazas para mejorar la toma de decisiones.
 Autenticación única para sistemas heterogéneos apalancando la infraestructura familiar.
 Total auditoría y recuperación de cambios en todo el ambiente; Capacidad de conocer y
entregar proactivamente lo que los auditores están buscando.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
4
El camino hacia la madurez no es fácil. No es rápido. No hay atajos. Pero invirtiendo en las personas, los
procesos y la tecnología adecuada, Ud. puede alcanzar mayores niveles de automatización que finalmente
le permitirán mejorar la capacidad productiva de su seguridad de TI. Esto le ayudará a alinear sus esfuerzos
con sus prioridades. La próxima sección de este documento discute un abordaje de siete pasos para definir
un programa de gestión de acceso a cuentas privilegiadas más maduro y eficaz.

Un proceso de siete pasos para una gestión más efectiva de cuentas

privilegiadas
La implementación de una solución de gestión de acceso privilegiado de punta a punta debe seguir un
proceso definido para minimizar costos y distracciones y acelerar resultados. Esta sección de este white
paper identifica el plan de implantación en siete pasos para la gestión de acceso privilegiado. El resultado
de este proceso de siete pasos es que Ud. tendrá mayor control y responsabilidad sobre las cuentas,
activos, usuarios, sistemas y actividad que forman su ambiente privilegiado.

Un factor crítico de éxito para asegurar una trayectoria suave para la gestión de acceso privilegiado de punta
a punta es la centralización. Gestión, política, información, analítica, todo debe centralizarse para acelerar las
implantaciones, conseguir resultados rápidamente y mitigar los riesgos consistentemente. Esta capacidad se
discute detalladamente en el paso 5.

Durante todo el proceso de seleccionar e implantar su solución de gestión de acceso privilegiado, tenga
presente estos requisitos de negocios, porque ellos lo ayudarán a conseguir la aceptación de este programa
en los niveles más altos de la organización:

 Minimizar el costo total de la propiedad.

 Proporcionar rapidez para generar valor.
 Entregar la mejor información para tomar las mejores decisiones con base en riesgo.

Paso 1: Mejorar la responsabilidad y el control sobre contraseñas con privilegios

El punto inicial más lógico para conseguir mayor control sobre los privilegios es mejorando la
responsabilidad sobre las contraseñas con privilegios. No administrar eficazmente las cuentas compartidas
es un problema con escala y riesgos significativos. Ud. no necesita ir más allá de las violaciones recientes
para entender las implicaciones – o los desafíos. Algunos sistemas tienen contraseñas incorporadas o
almacenadas, abriendo oportunidades para uso indebido. Las contraseñas son necesarias para el acceso de
aplicación para aplicación y aplicación para base de datos. Las contraseñas suelen ser estáticas, por lo
tanto, debe haber protecciones para que las contraseñas no salgan de la organización. La rotación de
contraseñas es poco fiable y manual. La auditoría y la información sobre el acceso es algo complejo y que
consume tiempo.

En 2015 BeyondTrust realizó una encuesta con más de 700 profesionales de TI y de seguridad. Los resultados
de la encuesta, Privilege Gone Wild, mostraron claramente un problema en la gestión de las contraseñas con
privilegios. Algo más de la mitad (51%) de los que respondieron la encuesta declararon que las contraseñas
compartidas se administran “individualmente.” Eso puede incluir usuarios que comparten contraseñas en
bases ad hoc, o simplemente de memoria. El 35% indicó que las contraseñas compartidas se controlan
“localmente,” incluyendo planillas, cajas fuertes de contraseñas, SharePoint y Active Directory.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
5
¿Cómo las organizaciones aseguran la responsabilidad de cuentas privilegiadas compartidas para atender
los requisitos de compliance y seguridad sin causar impacto en la productividad del administrador?

La respuesta es automatización – automatizar la gestión de contraseña y sesión, proporcionando control de

acceso seguro, auditoría, alertas y grabación para cualquier cuenta privilegiada – desde el administrador
local o compartido por dominio hasta una cuenta administrativa personal del usuario (en el caso de cuentas
dobles), hasta cuentas de servicio, sistema operativo, dispositivo de red, base de datos (A2DB) y
aplicaciones (A2A) – incluso llaves SSH. Al mejorar la responsabilidad y el control sobre el acceso
privilegiado, las organizaciones de TI pueden reducir los riesgos de seguridad y alcanzar objetivos de
compliance.

Las 10 principales capacidades de gestión de contraseñas con privilegios incluyen lo siguiente:

1. Completo escaneado, descubrimiento y elaboración de perfil de red con auto-incorporación.

2. Construir dinámicamente conjuntos de permisos de acuerdo con los datos de los escáneres.
3. Hacer automáticamente la rotación de las llaves SSH y ciclo de contraseñas de acuerdo con una programación
definida.
4. Control, flujo de trabajo y auditoría de acceso granular.
5. Una interfaz de usuario limpia y desobstruida (HTML5) para usuarios finales que acelere la adopción.
6. Opciones con base en flujo de trabajo y un escenario de "romper el vidrio" para solicitar acceso.
7. Gestión de contraseña y sesión juntas en la misma solución – sin requisito de dos diferentes interfaces o de ser
cobrado separadamente por cada una.
8. Sin requisitos de herramientas de terceros o Java para gestión de sesión – en su lugar utilice herramientas
nativas (MSTSC, PuTTY).
9. Apalancar un almacén de datos integrado y analítica de amenazas en todo el escenario de privilegios.
10. Opciones de implantación flexible: dispositivos de hardware, dispositivos virtuales o software.

Con esta solución las organizaciones tendrán la capacidad de descubrir todas las cuentas en su ambiente,
colocar esas cuentas bajo gestión y satisfacer los pedidos del auditor de que ahora las cuentas están
administradas.

DCI es una empresa privada independiente con diversos clientes bancarios que actúan como propietarios,
miembros del consejo y líderes de grupos de usuarios. Al enfrentar el desafío de asegurar y administrar
cuentas privilegiadas para atender los requisitos de auditoría y compliance, DCI recurrió a BeyondTrust
PowerBroker Password Safe. Con el Password Safe, DCI tiene ahora rotación de contraseñas, capacidades de
delegación y auditoría, puede asegurar seguridad y responsabilidad sobre las contraseñas con privilegios y
tiene un flujo de trabajo eficiente de solicitudes con tiempo limitado.

PowerBroker Password Safe reduce el riesgo de mala utilización de los privilegios y atiende los requisitos de
compliance por medio de una gestión automatizada de contraseña y sesión. Con el Password Safe, las
organizaciones pueden asegurar, controlar, alertar y registrar el acceso a las cuentas privilegiadas. Esta
solución proporciona un bajo costo de propiedad (TCO) en comparación con otras alternativas del mercado,
debido al descubrimiento automático de cualquier aplicación que requiera privilegios, que la solución
incluye tanto gestión de contraseñas y de sesión y no requiere el uso de herramientas adicionales de
terceros para la gestión de sesión. El PowerBroker Password Safe proporcionará un sólido retorno de la
inversión (ROI) por medio del aumento de la productividad para usuarios y administradores de servidores.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
6
Paso 2: Implementar menos privilegios (restricciones), control de aplicaciones para
sistemas Windows & Mac
Una vez descubiertos los activos y las cuentas y estando bajo una gestión consistente, el próximo paso para
realizar la gestión completa de acceso privilegiado es implementar menos privilegios en las máquinas de los
usuarios finales. Recomendamos reducir el riesgo en los desktops antes que en los servidores (tales como
Windows, Unix o Linux conforme indicado en el paso 4) porque el extremo suele ser la recta final de la
seguridad. Asegure la recta final primero. Algunas organizaciones pueden elegir revertir este orden, por lo
tanto, dependiendo del ambiente empresarial específico y del riesgo, las prioridades para estos pasos
pueden perfeccionarse para igualar el nivel y el apetito de riesgo del negocio.

El proceso para que TI limite o permita privilegios a usuarios finales es complejo y demanda tiempo, pero
debe realizarse para dar soporte a normativas de auditoría o compliance. Y aunque los usuarios no reciban
privilegios de administrador local o de usuario avanzado en primer lugar, algunas veces determinadas
aplicaciones exigen privilegios elevados para funcionar.

La mayoría de las vulnerabilidades de sistema de Microsoft reveladas en 2014 - 80% - podrían haberse
mitigado retirando los derechos de administrador de los usuarios. Sin duda, esta es una brecha de seguridad
que puede llevar a una violación embarazosa, para no hablar de un problema de compliance.

¿Cómo las organizaciones de TI reducen el riesgo de usuarios privilegiados excesivos y de sujetar a la

organización a una potencial explotación o violaciones de compliance sin obstruir su productividad o
sobrecargar al Help Desk?

Solamente por medio de acceso con menos privilegios a las aplicaciones con una tecnología patentada y
con base en reglas para elevar los privilegios de la aplicación sin elevar los del usuario. Eliminando los
privilegios de administrador de Windows y Mac, simplificando el cumplimiento de políticas de menos
privilegios, manteniendo el control de acceso de la aplicación y registrando actividades privilegiadas, TI
cierra las brechas de seguridad, mejora la eficiencia operativa y obtiene más rápidamente los objetivos de
compliance.
Las 10 principales capacidades de los desktops con menos privilegios incluyen lo siguiente:

1. Predeterminar que todos los usuarios tengan privilegios estándar al mismo tiempo que permite privilegios
mayores para aplicaciones y tareas específicas sin requerir credenciales administrativas.
2. Imponer restricciones sobre instalación de software, uso y cambios en la configuración del OS.
3. Eliminar la necesidad de usuarios finales que requieran dos cuentas.
4. Gestión de aplicaciones con base en vulnerabilidad – tomar menos decisiones de privilegios para
aplicaciones basadas en la vulnerabilidad, el riesgo y el perfil de compliance de la aplicación.
5. Igualar automáticamente las aplicaciones con las reglas con base en políticas basadas en activos.
Apalancar reglas inteligentes para alertas y agrupación de dispositivos y eventos.
6. Informar sobre el acceso privilegiado a archivos del sistema para todos los usuarios y cambios de
documentos de sistema durante sesiones privilegiadas.
7. Monitorear sesiones, capturar pantallas y pulsaciones del teclado durante el acceso privilegiado.
8. Proporcionar una técnica para la utilización de un dominio real o de privilegios locales cuando requerido.
9. Integrar con otras soluciones privilegiadas para obtener una amplia gestión de acceso privilegiado.
10. Apalancar un almacén de datos integrado y analítica de amenazas en todo el escenario de privilegios.

Con esta solución, los clientes obtienen la habilidad de eliminar de forma eficaz los derechos de
administración local y de tomar decisiones de elevación de la aplicación basadas en la vulnerabilidad de
acuerdo con la tecnología patentada.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
7
 RWE Supply & Trading es una empresa líder de comercialización de energía y un actor clave en el sector
europeo de energía. Para enfrentar el desafío de reducir el alto número de llamadas al Help Desk de TI,
resultantes de descargas, al margen de la política, realizadas por empleados, RWE eligió BeyondTrust
PowerBroker for Windows. Con PowerBroker for Windows, RWE es capaz de eliminar los derechos de
administrador en todos los PCs de usuarios, así como permitir un control detallado de los privilegios en los
servidores Windows. La RWE puede ahora controlar los servidores, tanto cuando el acceso a ellos es realizado
por empleados locales, contratistas, empleados de otras divisiones o por grupos sub-contratados por RWE.

PowerBroker for Windows y PowerBroker for Mac determinan un acceso con menos privilegios y ayudan a
conseguir compliance de forma eficiente en todos los desktops y servidores Microsoft físicos y virtuales y
en los desktops Mac sin perjudicar la productividad del usuario ni comprometer la seguridad. Las soluciones
proporcionan menor TCO debido principalmente a las características del descubrimiento de reglas
automáticas y descubrimiento automático de todas las aplicaciones que requieran privilegios
administrativos.

Caso de uso: Cómo resolver desafíos de cambio de contraseña remoto y elevación de aplicaciones
para credenciales de usuario real.

Cómo actualizar contraseñas para sistemas intermitentes, remotos o móviles continúa siendo un
desafío para los clientes que necesitan realizar negocios durante sus desplazamientos. Sin
actualizaciones instantáneas, las capacidades y los beneficios de los gerentes de contraseñas de la
empresa son negados rápidamente. Y, en algunos casos, la única forma de que los productos de
gestión de privilegios eleven adecuadamente los privilegios de la aplicación es usar una combinación
de nombre de usuario y contraseña real con permisos de administrador. Después, este problema
requiere la distribución de esas credenciales a los usuarios, lo que hace fracasar el objetivo de las
políticas de menos privilegios.

Para superar estos obstáculos, el PowerBroker for Windows se integra con PowerBroker Password
Safe para crear un abordaje único en el sector para solucionar desafíos de cambio de contraseña
remoto y elevación de aplicaciones para credenciales de usuario real. Esto resulta en un proceso de
cambios de contraseña de cuentas en cualquier momento y en cualquier lugar y superar las
limitaciones de segmentación de la red. La integración puede procesar solicitudes de combinación de
nombre de usuario y contraseñas y comandos "Run As" sin intervención del usuario. Esta técnica
permite acceso instantáneo a las aplicaciones y nunca expone el nombre del usuario o la contraseña
al usuario final. El resultado es un acceso más rápido a aplicaciones críticas y riesgo reducido de
seguridad.

Paso 3: Apalancar el riesgo de nivel de aplicación para tomar mejores decisiones de

privilegios
Ahora que las credenciales compartidas están bajo gestión y los usuarios finales tienen los privilegios que
necesitan para realizar su trabajo, y nada más, Ud. puede tener un mejor entendimiento de las
vulnerabilidades para ayudar a tomar decisiones más informadas sobre elevación de privilegios. El desafío,
sin embargo, es que la mayor parte de las soluciones de gestión de vulnerabilidades hacen poco para
ayudar a los líderes de seguridad a colocar las informaciones de vulnerabilidad y riesgo en el contexto de los
negocios. Abrumados con volúmenes de datos rígidos e informes estáticos, al equipo de seguridad solo le
resta descubrir manualmente las amenazas reales y determinar cómo actuar para evitarlas.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
8
El BeyondTrust Retina CS es la única solución de software de gestión de vulnerabilidad proyectada desde
cero para proporcionar a las organizaciones evaluación de vulnerabilidad dentro del contexto y análisis de
riesgo. La arquitectura de Retina trabaja con los usuarios para identificar proactivamente exposiciones de
seguridad, analizar impacto sobre los negocios y planificar y dirigir la reparación a través de una
infraestructura heterogénea y dispar.

La gestión de aplicaciones con base en vulnerabilidad es una tecnología patentada que

automáticamente escanea aplicaciones buscando vulnerabilidades durante el tiempo de operación,
disparando alertas, reducciones de privilegios de aplicación o evitando lanzamiento, todo ello con
base en la política. Esta integración única en el sector viene como estándar en BeyondTrust
PowerBroker for Windows.

Paso 4: Implementar menos privilegios en ambientes Unix y Linux

En el ambiente actual, aplicaciones de nivel 1, críticas para el negocio, son blancos atractivos para los
adversarios. El acceso a credenciales de usuario privilegiadas para estos recursos puede proporcionar
acceso a datos de e-commerce, sistemas ERP que administran datos de los empleados, informaciones del
cliente y datos financieros sensibles. Tener contraseñas root, categoría de súper-usuario u otros privilegios
elevados es importante para que los usuarios realicen su trabajo. Pero desafortunadamente, esta práctica
presenta riesgos significativos de seguridad que surgen del mal uso intencional, accidental o indirecto de
tales privilegios compartidos – especialmente cuando esos privilegios compartidos tienen acceso a sistemas
de nivel 1 como los que corren en servidores Unix o Linux.

¿Recuerdan la encuesta Privilege Gone Wild que mencionamos en el Paso 1? Las contraseñas con
privilegios no eran las únicas debilidades percibidas. El 58% de los participantes creían que sus
controles actuales contra el mal uso de sistemas de nivel 1, crítico para el negocio, son inadecuados,
inmaduros o no existen. Sin duda, solucionar esta deficiencia debe ser una prioridad inmediata para
esas organizaciones.

Las respuestas tradicionales a este problema...

• Son ineficientes e incompletas (tales como opciones de OS nativo) y carecen de la habilidad de

delegar autorización sin revelar las contraseñas
• No son lo suficientemente seguras (tal como el sudo de código abierto) para enfrentar el riesgo o
los requisitos de compliance y carecen de la capacidad de registrar sesiones y pulsaciones de
teclado para auditoría
• No registran la actividad dentro de los scripts y aplicaciones de terceros, abriendo un atajo para
aplicaciones no aprobadas
• No ofrecen un paso de migración eficiente del sudo, caso se esté utilizando

¿Cómo las organizaciones de TI limitan quien tiene acceso a cuentas root para reducir el riesgo de
compromisos sin perjudicar la productividad?

Las organizaciones deben ser capaces de delegar eficientemente los privilegios y autorizaciones de Unix y
Linux sin revelar las contraseñas para las cuentas root u otras cuentas. Registrar todas las sesiones
privilegiadas para fines de auditoría, incluyendo información de pulsaciones en el teclado, ayuda a alcanzar
los requisitos de control de acceso privilegiado sin tener que confiar en herramientas nativas o sudo

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
9
 Las principales 10 capacidades de gestión de privilegios de servidor Unix y Linux incluyen las
siguientes:

1. Soporte de Pluggable Authentication Module (PAM) para permitir la utilización de sistemas

de autenticación estándares del sector.
2. Control y auditoría avanzados sobre comandos en el nivel de sistema.
3. Lenguaje de política potente y flexible para permitir una vía de migración de sudo.
4. Amplio soporte para muchas plataformas Unix y Linux.
5. Registrar y catalogar todas las sesiones para descubrimiento rápido durante las auditorías.
6. Gestionar los permisos de forma transparente, asegurando la productividad y compliance
del usuario.
7. Gestión de cambio de todos los parámetros y configuración de política, permitiendo
auditoría total de quién cambió el qué, control de versión y retorno de todos los archivos de
configuración existentes.
8. REST API para una fácil integración con productos de terceros.
9. Integrar todas las políticas, papeles y datos de registro vía una consola con base en la web.
10. Apalancar un almacén de datos integrado y analítica de amenazas en todo el escenario de
privilegios.

Con esta capacidad, Ud. obtendrá el más completo control sobre el acceso root a los sistemas Unix y Linux y
obtendrá lo máximo posible de sudo.

Con base en Alemania, XING es la red social para profesionales de negocios. XING descubrió que su antiguo
proceso de elevación de privilegios demandaba mucho tiempo y no permitía un conjunto consistente de derechos
de acceso. La compañía buscaba mejorar el comando de la elevación de un punto de vista administrativo, así
como determinar mejores características de auditoría para su uso y el uso de sus colegas como gerentes. Al elegir
BeyondTrust PowerBroker for Unix & Linux, XING ha mejorado la seguridad total, dado soporte a un aumento en
el nivel de cuentas privilegiadas y permitió un proceso que demandara menos tiempo.

El PowerBroker Unix & Linux le ayudan a alcanzar el control sobre los privilegios de cuentas root Unix con
informaciones y analítica centralizada y registro de pulsaciones de teclado. Con él, Ud. puede reducir el
riesgo y alcanzar compliance más rápidamente que con las herramientas nativas o sudo. El producto
proporciona un menor costo total de propiedad (TCO) en comparación a otras alternativas, debido a la
centralización de la gestión de cuentas privilegiadas en un único panel y demora menos tiempo para
conseguir los objetivos de seguridad y auditoría. El PowerBroker for Unix & Linux proporcionará un sólido
retorno de la inversión (ROI) por medio de aumento de la productividad para usuarios y administradores de
servidores, sin el riesgo de sudo de código abierto.

Paso 5: Unificar gestión, política, información y analítica de amenazas en un único

panel
No es ningún secreto que los profesionales de TI y seguridad están sobrecargados con informaciones sobre
privilegios, vulnerabilidad y ataques. Infelizmente, amenazas persistentes avanzadas (APTs) suelen no
detectarse debido a que las soluciones tradicionales de analítica de seguridad son incapaces de
correlacionar diversos datos para descubrir riesgos ocultos. Eventos aparentemente aislados se descartan
como excepciones, se filtran o se pierden en un mar de datos. El intruso continúa recorriendo la red y el
daño sigue multiplicándose.

¿Cómo los equipos de operaciones de seguridad y TI consiguen un entendimiento sobre de dónde vienen
las amenazas, cómo priorizarlas y mitigar los riesgos rápidamente?

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
10
La analítica avanzada de amenazas permite que los profesionales de seguridad y TI identifiquen las
amenazas de violación de datos que por lo general otras soluciones de analítica de seguridad no consiguen.
Las soluciones señalan usuarios y activos específicos y de alto riesgo, correlacionando datos de privilegios
de bajo nivel, vulnerabilidad y amenazas de una variedad de soluciones de terceros.

Las principales 10 capacidades de gestión y amenazas incluyen lo siguiente:

1. Correlacionar datos de bajo nivel de una variedad de soluciones de terceros para descubrir amenazas
críticas.
2. Correlacionar la actividad del sistema contra una base de datos de malware actualizada contantemente.
3. Informar sobre compliance, benchmarks, analítica de amenazas, escenarios posibles, requisitos de
recursos y más.
4. Ver, ordenar y filtrar datos históricos desde perspectivas múltiples.
5. Localizar red (local y remota), web, móvil, nube y activos virtuales, así como cuentas privilegiadas.
6. Perfilar IP, DNS, OS, dirección de Mac, usuarios, cuentas, antigüedad de las contraseñas, puertas,
servicios, software, procesos, hardware, registros de eventos y más.
7. Agrupar, evaluar e informar sobre activos por rango de IP, denominación de convención, OS, dominio,
aplicaciones, función de negocios, Active Directory y más.
8. Importar de Active Directory o establecer permisos personalizados.
9. Flujo de trabajo, billetaje y notificación para coordinar los equipos de TI y seguridad.
10. Compartir datos con los principales SIEM, GRC, NMS y soluciones de help desk.

Figure 2: Analítica y gestión integradas de amenazas para privilegios y vulnerabilidades externas

Al unificar las soluciones de gestión de vulnerabilidad y de acceso privilegiado de BeyondTrust, el

BeyondInsight proporciona a los equipos de TI y seguridad una lente simple y contextual por medio de la
cual visualizar y solucionar el riesgo de los activos y usuarios.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
11
Paso 6: Integrar Unix, Linux y Mac en Windows
Volver a pensar en el Paso 4 durante un momento. Una vez que Ud. tenga mayor control sobre los accesos
privilegiadas en los ambientes Unix y Linux, el próximo paso lógico es colocar esos sistemas bajo gestión
consistente, política y autenticación única. Unix, Linux y Mac han sido administrados tradicionalmente
como sistemas aislados – cada uno de ellos un silo con su propio conjunto de usuarios, grupos, políticas de
control de acceso y contraseñas a memorizar. La gestión de un ambiente heterogéneo que contenga esos
silos – además del ambiente Microsoft – lleva a una administración inconsistente de TI, complejidad
innecesaria para los usuarios finales y riesgo para los negocios.

¿Cómo pueden las organizaciones de TI alcanzar una configuración de política consistente para atender los
requisitos de compliance, proporcionar una experiencia más simple para los usuarios y administradores y
tener menos riesgo de un sistema administrado inadecuadamente?

La solución ideal es centralizar la autenticación para los ambientes Unix, Linux y Mac ampliando la
autenticación Kerberos del Microsoft Active Directory y las capacidades de autenticación única para esas
plataformas. Al ampliar la Política de Grupo para esas plataformas no-Windows, Ud. consigue una gestión
de configuración centralizada, reduciendo el riesgo y la complejidad de administrar un ambiente
heterogéneo.

Las 7 principales capacidades de conexión de Active Directory incluyen lo siguiente:

1. Ningún requisito para modificar el esquema de Active Directory para añadir los sistemas Linux, Unix o
Mac OS X a la red.
2. Proporcionar una estructura conectable con una interfaz como el Management Console de Microsoft en
Linux o Mac OS X; El soporte total para la aplicación Workgroup Manager de Apple permitirá una
gestión transparente y control de los parámetros de sistema de Mac.
3. Autenticación única para cualquier aplicación de la empresa compatible con Kerberos o LDAP.
4. Proporcionar un único conjunto de herramientas familiar para administrar tanto el sistema Windows
como el Unix (ej.: Active Directory Users and Computers, ADUC).
5. Permitir a los usuarios utilizar sus credenciales de Active Directory para conseguir el acceso a Unix, Linux
y Mac, consolidando diversos archivos de contraseñas, repositorios NIS y LDAP en el Active Directory y
retirando la necesidad de administrar las cuentas de usuario separadamente.
6. Historial comprobado de instalaciones exitosas y soporte al usuario.
7. Parte de una amplia familia de soluciones de gestión de accesos privilegiadas.

Esto permitirá una gestión de configuración simplificada y política para sistemas no-Windows y ayudará a
mejorar la seguridad y la experiencia del usuario. La solución le ayudará a ser más eficiente, reduciendo el
número de logins (y las correspondientes llamadas al help desk cuando se olvidan) y el número de
diferentes sistemas, configuraciones y políticas a administrar.
Una empresa norteamericana proveedora de telecomunicaciones, incluida en el listado de las 500 mayores de la
Revista Fortune había descubierto por medio de una auditoría interna de seguridad que no estaba en
conformidad con la Ley Sarbanes-Oxley; necesitaban una estructura de gestión de identidad más moderna. La
compañía tenía un proceso muy ineficiente de usuario interno y externo debido al tamaño y a la complejidad del
ambiente. Al utilizar BeyondTrust PowerBroker Identity Services, esta compañía fue capaz de cumplir los
estándares de seguridad organizacional y compliance, reducir la carga de trabajo del servidor y del administrador
de identidad, racionalizar los procesos de logon para los usuarios y consolidar más de 100 dominios NIS en una
única celda.

El PowerBroker Identity Services amplía la gestión de la autenticación de Microsoft Active Directory, la

autenticación única y la configuración de Política de Grupo para los sistemas Unix, Linux y Mac para mejorar
la eficiencia, simplificar compliance y reducir el riesgo. La solución proporciona un bajo costo total de la
propiedad (TCO) comparado con otras alternativas, debido principalmente a la centralización de la gestión
de logins y configuraciones y porque le permite apalancar su infraestructura de Windows Active Directory y

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
12
le ayuda a demorar menos tiempo para alcanzar los objetivos de seguridad y auditoría. El PowerBroker
Identity Services proporcionará un sólido retorno sobre la inversión (ROI) por medio del aumento de la
productividad para usuarios y administradores de servidor.

Paso 7: Auditoría de cambios en tiempo real y recuperación para ambientes

Windows
Una vez que tiene sus sistemas no-Windows integrados en Active Directory, el paso siguiente es auditar la
actividad de usuario para obtener una percepción adicional en los cambios de AD que pueden impactar el
negocio. Pero intentar mantenerse al día con todos los cambios realizados en Active Directory es un
proceso extremadamente complejo y lento, con retrasos en el descubrimiento y solución de cambios
llevando posiblemente a la interrupción de los negocios, para no mencionar las implicaciones de tales
cambios para seguridad y compliance.

Cuando Ud. incluye Exchange, Windows File Systems, SQL y NetApp en la combinación, entender el “Quién,
Qué, Cuándo y Dónde” de los cambios en toda la infraestructura Windows es todavía más complejo.

¿De qué forma las organizaciones de TI pueden entender mejor los cambios, tener la capacidad de volver
atrás si fuera necesario y determinar los derechos correctos en primer lugar a través de una compleja
infraestructura Windows de tal forma que puedan proteger sus negocios más eficazmente?

Las organizaciones necesitan auditoría centralizada de cambios en tiempo real para Active Directory, File
Servers, Exchange, SQL y NetApp, la capacidad de restaurar objetos o atributos de Active Directory y
determinar los derechos y hacer que se cumplan en toda la infraestructura Windows. Por medio de una
administración más simple, las organizaciones de TI pueden remediar los riesgos de cambios indeseados y
entender mejor la actividad del usuario para atender los requisitos de compliance.
Las 5 principales capacidades de auditoría y protección incluyen lo siguiente:

1. Auditar los cambios y volver atrás por medio de un único producto - sin necesidad de dos soluciones
diferentes para conseguirlo.
2. Restaurar de la papelera de AD sin tener que extraer backups – proporcionando un back up continuo.
3. Auditar, informar y recuperar a través de un ambiente Windows complejo o heterogéneo – AD,
Windows File System, Exchange, SQL, NetApp – desde una única consola.
4. Acceso con un único clic a la información de buzón de correo no-propietario en Exchange.
5. Parte de una amplia familia de soluciones de gestión de accesos privilegiadas.

Con esta capacidad, Ud. obtiene auditoría detallada en tiempo real de ambiente AD y la habilidad de
restaurar cambios indeseados.

Ameritas Life Insurance enfrentaba los desafíos de reducir el riesgo de violaciones de seguridad y de
atender las regulaciones de compliance especialmente las de HIPAA. Al utilizar BeyondTrust
PowerBroker Management Suite, esta compañía consiguió atender los estándares organizacionales
de compliance y seguridad, puesto que PowerBroker les proporcionó datos que no tenían antes.

El PowerBroker Management Suite audita y vuelve atrás en los cambios realizados en Active Directory en
tiempo real, determina y hace cumplir los derechos en toda la infraestructura Windows y ayuda a alcanzar
los requisitos de compliance en menos tiempo que con las herramientas nativas. La solución proporciona
un bajo costo de la propiedad (TCO) comparado con otras alternativas, debido principalmente a la
centralización de la gestión en un único panel y porque ayuda a que se demore menos tiempo para
conseguir los objetivos de seguridad y auditoría. El PowerBroker Management Suite proporcionará un
sólido retorno sobre la inversión (ROI) por medio del aumento de la productividad para administradores.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
13
La diferencia de PowerBroker
¿Por qué seleccionar un único proveedor para conseguir una gestión completa de acceso privilegiado? ¿Por
qué BeyondTrust? Creemos que nuestra diferenciación en el mercado de gestión de acceso privilegiado
reside en la amplitud y profundidad ofrecida por nuestra solución, el valor que Ud. obtiene de la analítica y
de las percepciones de información y el contexto que Ud. consigue con nuestras soluciones. Cada
diferenciador se explora a continuación.

Diferenciador No. 1: La amplitud y profundidad de nuestra solución disminuye el

costo total de la propiedad
BeyondTrust entrega lo que los especialistas del sector consideran ser el
espectro completo de las soluciones de gestión de acceso privilegiado
disponibles en el mercado. Desde determinar y asegurar menos privilegios
en los sistemas Windows, Mac, Unix y Linux; hasta automatizar la gestión
de contraseñas y sesión; hasta integrar los sistemas Unix, Linux y Mac OS X
con Microsoft Active Directory; hasta auditar la actividad de usuario y
administrador, BeyondTrust unifica estas capacidades en una única
plataforma integrada que actúa como una gestión central de política y
principal interfaz de información.

En su Guía de Mercado para Gestión de Acceso privilegiado de 2016, la empresa de investigación Gartner
cita BeyondTrust como un proveedor representativo para todas las categorías de soluciones en el mercado
PAM. Lo que nosotros creemos que nos diferencia de otros proveedores en este escenario es que
BeyondTrust es la única compañía que ofrece estas capacidades a partir de una plataforma de gestión e
información única e integrada.

Esta amplitud y flexibilidad permite que Ud. maneje los escenarios de amenazas actuales y se prepare para
las posibilidades del futuro. Ejemplos de esta amplitud incluyen:

 Proteger los desktops Windows y Mac de uso indebido y ataques APT.

 Proteger los servidores internos Windows, Unix y Linux que abrigan aplicaciones clave y datos
sensibles.
 Reducir el riesgo de acceso de terceros a los servidores, dispositivos de red y otros activos.
 Controlar y auditar el acceso a la nube, aplicaciones virtuales y SaaS por empleados privilegiados,
contratistas y otros terceros.
 Implementar inteligencia de amenazas que va más allá de la detección para incluir aislamiento y
reparación.

Este modelo incluyente entrega el máximo de percepciones, simplifica la gestión y disminuye el costo total
de la propiedad. También, BeyondTrust adopta un abordaje modular e integrado para los clientes con
inversiones ya existentes en soluciones de punto.

Diferenciador No. 2: Valor obtenido de analítica profunda y percepciones de

información
Las soluciones BeyondTrust ayudan tanto a los equipos de operaciones de seguridad como a los de TI a
tomar decisiones fundadas. Como un problema de privilegio tiende a envolver más de un departamento de

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
14
la organización, nuestras soluciones atienden las necesidades de información, auditoría y gestión de
múltiples partes interesadas desde operaciones, hasta seguridad y compliance.

La BeyondInsight IT Risk Management Platform proporciona a los equipos de operaciones y TI una visión
única de todos los activos y actividad de usuario. Con analítica comportamental para entender anomalías,
información para satisfacer de la misma forma a seguridad, operaciones y auditores y la capacidad de
exportar datos para otras soluciones de seguridad, BeyondInsight reduce los riesgos al mismo tiempo que
ayuda a maximizar el valor de las inversiones en seguridad existentes.

Diferenciador No. 3: Mejor entendimiento de amenazas en el contexto por medio

de la experiencia
Pensamos que la última cosa que Ud. necesita es otra solución de punto de seguridad con enfoque de silos.
BeyondTrust proporciona un entendimiento completo del panorama de amenazas moderno, tanto en
relación al riesgo interno como al externo. Nuestra solución incorpora datos relevantes de seguridad –
amenazas disponibles, actividades privilegiadas arriesgadas, sistemas y aplicaciones vulnerables, requisitos
de compliance, reparaciones etc. – para ayudar a nuestros clientes a tomar más y mejores decisiones
fundamentadas sobre seguridad.

Reconocimiento del analista

El abordaje de BeyondTrust’s para solucionar desafíos de gestión de acceso privilegiado ha sido reconocido
por el sector y también por nuestros clientes. Lea lo que algunos de nuestros influyentes especialistas del
sector dicen:

 Gartner: BeyondTrust se cita como un proveedor representativo en la Guía de Mercado para Gestión de
Acceso privilegiado de Gartner.1

Ovum: “Instalar la plataforma BeyondTrust ... proporciona un abordaje único e integrado a PAM ... uno
de tan solo un pequeño grupo de proveedores de PAM que ofrecen cobertura de punta a punta.” 2

TechNavio: “BeyondTrust es un excelente actor en el mercado global de gestión de identidad
privilegiadas y mantiene una posición significativa en el mercado.” 3
 Frost & Sullivan: “Frost & Sullivan aprueba PowerBroker Password Safe.“4

Forrester: “BeyondTrust es un líder.” “BeyondTrust se supera con sus capacidades de gestión de sesión
privilegiadas.” 5
 IDC: BeyondTrust es un “Actor Importante” en la gestión de acceso privilegiado. 6

Kuppinger Cole: “BeyondTrust es un proveedor en el que se puede confiar.” 7

451 Research: “BeyondTrust es uno de los más antiguos estadistas del sector.” 8

Network World: "El producto PowerBroker Unix & Linux lleva PIM a los sistemas Linux y Unix en donde
es tan necesitado.”9

SC Magazine: "Por la calidad tradicional de BeyondTrust y completa integración en la plataforma
BeyondTrust hemos hecho de este nuestro producto recomendado.” 10

1. Gartner, “Market Guide for Privileged Access Management,” Felix Gaehtgens, Anmol Singh, 2 de agosto, 2016.
2. Ovum, “SWOT Assessment: BeyondTrust Privileged Identity Management Portfolio,” Enero, 2016.
3. TechNavio, “Global Privileged Identity Management Market 2015-2019,” 2014.
4. Frost & Sullivan, “PowerBroker Password Safe – a Frost & Sullivan Product Review,” 2014.
5. Forrester Wave: Privileged Identity Management, Q3 2016.
6. IDC, “IDC MarketScape: Worldwide Privileged Access Management 2014 Vendor Assessment,” Marzo, 2015.
7. Kuppinger Cole, “Executive View: BeyondTrust PowerBroker Auditor Suite,” Marzo 2015.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
15
8. 451 Research, BeyondTrust looks to platform plan to make the most of its privileged management assets, 18 de junio, 2015.
9. Network World, “Stop insider attacks with these 6 powerful tools,” John Breeden, 9 de noviembre, 2015.
10. SC Magazine, Privileged Access Management Group Test, Marzo 2016.

Gartner no avala ningún proveedor, producto o servicio que aparece en sus publicaciones de investigación y no aconseja a los
usuarios de tecnología a que seleccionen solamente los proveedores con las mayores clasificaciones u otra designación. Las
publicaciones de los analistas de investigación están formadas por las opiniones de sus organizaciones de investigación y no deben
considerarse como declaraciones de hecho. Los analistas renuncian a todas las garantías, expresas o implícitas, con relación a su
investigación, incluyendo cualquier garantía de comerciabilidad o de adecuación a un propósito específico.

Conclusión: Entrega de valor de negocios

BeyondTrust ha definido cómo debe ser una solución completa de gestión de acceso privilegiado, creando
un programa holístico y uniéndolo con BeyondInsight. Este white paper explicó la instalación empresarial
de las soluciones de gestión de acceso privilegiado de BeyondTrust utilizando BeyondInsight, demostrando
cómo Ud. puede solucionar completamente los desafíos relacionados al acceso privilegiado en la
organización y crecer para convertirse en una organización más madura. Para conseguirlo, hemos
diagramado una instalación de la solución completa en siete pasos progresivos. Ver la figura 3 a
continuación.

El resultado de esta instalación es que Ud. entenderá:

 Sistema PAM, perfeccionado y uniforme (repositorio central).

 Visibilidad en todo el ambiente (analítica sobre quién hace el qué) independientemente de
plataforma.
 Base firme, independientemente de cuál es la plataforma de la que vienen los usuarios (aplicación,
sistema operativo o base de datos).

El principal valor que BeyondTrust puede entregar es reducir el riego y perfeccionar la gestión de privilegios
de usuario y aplicación por medio de una instalación simplificada, fácil de usar y priorización de riesgos de
seguridad y compliance.

Por medio de una gestión de vulnerabilidad bien integrada, tecnología patentada y 30 años de experiencia
en el mercado de gestión de acceso privilegiado, BeyondTrust es el único proveedor de soluciones que
proporciona una visibilidad sin brechas en todos los activos físicos, virtuales y de la nube, además de en
todos los desktops y servidores tradicionales.

Para entender el beneficio total de las soluciones de gestión de acceso privilegiado de BeyondTrust, utilice
la plataforma BeyondTrust IT Risk Management, y con ella asuma el control de activos, usuarios, sistemas y
actividad.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
16
Figura 3: Proceso integrado de siete pasos para realizar la gestión de acceso privilegiado

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
17
Sobre BeyondTrust

BeyondTrust® es una empresa global de seguridad que cree que evitar violaciones de datos
requiere la correcta visibilidad para permitir el control sobre los riesgos internos y externos.

Le proporcionamos la visibilidad para reducir con total confianza los riesgos y el control para
realizar acciones proactivas y fundamentadas contra las amenazas de violación de datos. Y como
las amenazas pueden venir de cualquier parte, construimos una plataforma que une las más
efectivas tecnologías para enfrentar tanto el riesgo interno como el externo: Gestión de acceso
privilegiado y Gestión de vulnerabilidad. Nuestras soluciones crecen con sus necesidades,
asegurando que Ud. mantenga el control, no importa hacia donde se dirija su organización.

Las soluciones de seguridad de BeyondTrust son reconocidas por más de 4.000 clientes en todo el
mundo, incluyendo la mitad de las empresas que constan en la Lista de las 100 Mayores de la
Revista Fortune. Para mayores informaciones sobre BeyondTrust, visite www.beyondtrust.com.

Siete pasos para realizar la gestión del acceso privilegiado © 2017 BeyondTrust Software
18