Blog

Gestión de usuarios

Conceptos básicos sobre gestión de usuarios

Básicamente, la administración de privilegios es la práctica de controlar y administrar las identidades de varios usuarios de dispositivos informáticos dentro de una red para gestionar sus derechos a la hora de realizar acciones o utilizar recursos específicos.

Restringir el acceso a un determinado perfil de usuario, permite a las organizaciones proteger sus infraestructuras críticas y las aplicaciones, trabajar de manera más eficiente y mantener la confidencialidad de los datos sensibles.

Ejemplos de cuentas corporativas

Controlar quien puede acceder a la información de una empresa es un primer paso para protegerla. Es esencial decidir quién puede tener acceso a ciertas áreas y con qué finalidad.

También hay que tener en cuenta que las aplicaciones utilizadas no tienen por qué ubicarse de manera centralizada en las instalaciones de una empresa, sino que pueden estar diseminadas en equipos y redes remotas propias o de terceros.

Otro problema es que cada vez es más habitual el uso de dispositivos móviles en los centros de trabajo. En ocasiones estos dispositivos son propiedad del empleado y se desconoce su nivel de seguridad.

Estos son básicamente los tipos de cuenta que se suelen aplicar a los usuarios de un grupo de ordenadores en red que están controlados por (al menos) una máquina central.

Cuenta de superusuario

Cuenta utilizada normalmente por los administradores de sistemas de TI que se puede utilizar para realizar configuraciones en un sistema, agregar o eliminar usuarios, instalar aplicaciones o gestionar datos.

También suele proporcionar acceso privilegiado a todas las estaciones de trabajo y servidores dentro de un dominio de red.

Cuenta administrativa local

Esta cuenta se asigna a una sola estación de trabajo y utiliza una combinación de nombre de usuario y contraseña.

Acostumbra a servir para que un empleado pueda hacer su trabajo y realizar las acciones oportunas sobre la información a la que tiene acceso.

Los permisos otorgados concretarán que tipo de acciones puede realizar (creación, lectura, borrado, modificación, copia, ejecución, etc.).

Como norma general siempre se le otorgará el mínimo privilegio.

Tampoco es seguro utilizar contraseñas como única medida para evitar accesos no autorizados a la red y los sistemas.

  • Los ciberdelincuentes podrían obtenerlas, mediante campañas de phishing dirigido.
  • Los usuarios podrían caer en la tentación de usar las mismas contraseñas que utilizan en otros servicios ajenos a la organización (Google, Twitter etc)  alguna de las cuales podría haberse visto comprometidas por una fuga de datos.

Por ello, siempre que sea posible se debe utilizar un sistema de autenticación basado en doble o múltiple factor.

Usuario con privilégios

Es alguien que trabaja fuera de TI, pero que tiene acceso a datos confidenciales. Esto podría incluir a un profesional que necesite tener acceso a cuentas bancarias, recursos humanos o sistemas de marketing.

Revisión de privilégios

Muchas veces los permisos otorgados rara vez se revisan o revocan, lo que significa que los usuarios, a medida que cambian sus funciones laborales, pueden llegar a  acumular más privilegios y derechos de acceso de los estrictamente necesarios para llevar a cabo su trabajo.

Cuando un empleado cambia de grupo de usuarios no debería mantener los privilegios que tenía con el grupo anterior.

Esto puede volverse aún más complicado cuando se subcontratan servicios externos que requieren acceso a la red.

Por ello, el principio fundamental es que los usuarios solo deben tener la cantidad de privilegios que necesitan (que puede ser ninguno) solo en los sistemas que utilizan y durante el tiempo imprescindible.

No hay necesidad de otorgarle a nadie derechos de acceso persistentes o permanentes que pueden resultar ser muy peligrosos, ya que las cuentas de usuario que presentan niveles elevados de permisos son los objetivos más rentables para los ciberdelincuentes.

 Por otra parte, revisar el registro (log) de los accesos a los sistemas es determinante para analizar los incidentes de seguridad.

Usuarios domésticos

Todos los sistemas operativos requieren algún tipo de acceso sin restricciones para permitir la administración de los dispositivos y las aplicaciones instaladas en los mismos, como es el caso de los entornos de Microsoft Windows, incluso en una pequeña red doméstica.

Las cuentas de usuarios locales, están diseñadas para ordenadores compartidos o redes muy pequeñas, y se pueden dividir en dos categorías: usuarios y administradores.

Los usuarios pueden iniciar sesión en el sistema, ejecutar la mayoría de los programas, imprimir y realizar una amplia variedad de tareas.

También pueden guardar sus propios archivos, preferencias y configuraciones sin afectar a otras personas que utilicen la misma máquina mediante otras cuentas.

Sin embargo, lo que no pueden hacer es realizar cambios a nivel del sistema.

La mayoría de las veces, no pueden ni siquiera instalar nuevas aplicaciones.

Por ejemplo, un usuario normal podría conectar un teclado  USB y usarlo sin problemas. Sin embargo, si  este teclado requiere de controladores que no están en el sistema, se le solicitará acceso a nivel de administrador para poder instalarlos.

La cuenta de administrador se establece cuando Windows se utiliza por primera vez en la máquina

Un administrador es alguien que puede realizar cambios en un ordenador que afectarán a todos usuarios del dispositivo.

Puede cambiar la configuración de seguridad, instalar software y hardware, acceder a todos los archivos, solucionar problemas y gestionar otras cuentas de usuario.

Un usuario con una cuenta de administrador puede acceder a todo el sistema, y el malware puede utilizar los permisos de administrador para infectar, modificar o dañar cualquier archivo del sistema. Se debe conceder ese nivel de acceso solo cuando sea absolutamente necesario y a personas de confianza.

Si queremos crear una pequeña red doméstica debemos dirigirnos a la Configuración de Windows, y pulsar sobre la opción Redes e Internet.

Una vez hecho esto, es necesario configurar nuestro perfil como privado en lugar de público.

De esta manera, le estaremos indicando a Windows que nos encontramos dentro de una red doméstica o privada, de forma que nuestro PC aparecerá como visible al resto de equipos de nuestro hogar.

Una vez seleccionado el perfil de red adecuado debemos dirigirnos a  Estado ->Opciones de uso compartido, donde decidiremos qué elementos deseamos compartir con el resto de equipos de la red.

En Configuración de uso compartido avanzado podremos activar la detección de redes y el uso compartido de archivos e impresoras.

Desde la pestaña Todas las redes es posible modificar otros parámetros para afinar un poco más la cosa, pero las opciones que vienen por defecto, son suficientes para que la red funcione adecuadamente sin tener que tocar absolutamente nada.

¿Qué piensas?

¡Envianos tus comentarios!

También te puede interesar
Qué es la autenticación de doble o múltiple factor

Qué es la autenticación de doble o múltiple factor

Básicamente, se trata de una capa adicional de seguridad utilizada para...

Proveedores de correo electrónico gratuitos para proteger tu identidad

Proveedores de correo electrónico gratuitos para proteger tu identidad

Si deseas enviar correos electrónicos y mantener al mismo tiempo a salvo tu...

Qué es el bloatware y cómo puedes eliminarlo

Qué es el bloatware y cómo puedes eliminarlo

Cuando compras un nuevo dispositivo, esperas que esté en perfecto estado,...

Conceptos básicos de un ataque de sniffing

Conceptos básicos de un ataque de sniffing

Mediante herramientas de software o dispositivos de hardware se pueden...