¿Qué es el acceso privilegiado? Edgar Caballero

¿Qué es el acceso privilegiado?
Edgar Caballero

El acceso privilegiado representa la mayor amenaza a cualquier organización.
Una cuenta privilegiada tiene mayores privilegios para acceder a recursos comerciales críticos que otras cuentas. Las cuentas privilegiadas pueden ser cuentas de usuario individual, sistema operativo o cuentas de aplicación.

¿Por qué es tan importante proteger el acceso privilegiado?
Los atacantes están causando estragos en todo el mundo con avanzados ciberataques que son bien planificados, sofisticados y directamente dirigidos a los activos básicos más valiosos de una empresa. Cada vez más organizaciones están adoptando estrategias de “cloud first” y están implementando metodologías de DevOps, ampliando la superficie de ataque y proporcionando

a los atacantes con nuevos accesos privilegiados para explotar negocios desprotegidos.

Las cuentas privilegiadas no están limitadas a los usuarios de negocios, también incluyen cuentas como:
• Dispositivo de red
• Administrador del sistema
• Aplicaciones
• Bases de datos
• Controlador industrial
• Proveedor de servicios a terceros

¿Por qué las cuentas privilegiadas son vulnerables a los ataques?

El acceso privilegiado está en todas partes, en todos los dispositivos en red, en la base de datos, aplicaciones, en ambientes de nube y ICS, y a través de DevOps.
El acceso privilegiado es utilizado tanto por humanos como por no humanos/máquinas.
identidades que tienen un acceso todopoderoso a datos y sistemas confidenciales.
Las cuentas privilegiadas tienen un acceso administrativo compartido, lo que hace que sus usuarios anónimos.
Las cuentas privilegiadas otorgan derechos de acceso demasiado amplios, mucho más allá de lo que es necesario para que el usuario realice su función de trabajo.
Las cuentas privilegiadas no son supervisadas ni reportadas y, por lo tanto, sin garantía.

¿Qué pasa después de que el acceso privilegiado se vea comprometido?

Una vez que los atacantes entran, buscan acceso al corazón de la empresa con la intención
para causar daños costosos que pueden incluir reputaciones dañadas, pérdidas financieras y robos propiedad intelectual. También salen a la luz los que ya están dentro de la organización que han divulgado información sensible al público o han plantado semillas para causar daño. Forrester estima que el 80 por ciento de las violaciones de seguridad involucran a los privilegiados credenciales.
Solución.

CyberArk es el líder del mercado y un experto de confianza en la gestión de accesos privilegiados. Diseñado desde el principio para seguridad, la solución de seguridad de acceso privilegiado de CyberArk proporciona la solución más completa para todos los sistemas en las instalaciones y en la nube, desde cada punto final.

La Solución de Seguridad de Acceso Privilegiado es resistente a las manipulaciones, escalable y construida para entornos distribuidos complejos para proporcionar la máxima protección contra las amenazas externas e internas avanzadas.

CyberArk también tiene una oferta de SaaS, CyberArk® Privilege Cloud™, que proporciona los elementos fundamentales de cualquier proyecto PAM y proporciona un camino simplificado para asegurar almacenar, rotar y aislar las credenciales, supervisar las sesiones y ofrecer rápidamente la reducción de riesgos al negocio

Privilege Cloud elimina la necesidad de gestionar la infraestructura local y permite a los clientes la capacidad de comenzar rápidamente a proteger la infraestructura privilegiada cuentas, credenciales y secretos en las instalaciones, en la nube o en entornos híbridos.
La solución de CyberArk Core PAS combina la capacidad de:

• Descubrir y gestionar las credenciales
• Aislar las credenciales y las sesiones
• Grabar y auditar sesiones privilegiadas
• Vigilar la actividad privilegiada en curso
• Remediar el comportamiento arriesgado o anómalo si/cuando ocurre.

¿Necesitas apoyo para tu estrategia en el ciclo de Identidad?
Escribenos a info@infinyt.mx o mándanos un mensaje a 8123211919.

Geolocalización en aplicaciones bancarias en México

Geolocalización en aplicaciones bancarias en México

La situación actual por la que atraviesa el planeta entero “gracias” a la pandemia del Covid-19 ha acelerado drásticamente la adopción de tecnologías que si bien no son tan nuevas han venido a ser clave en la transformación digital en diversos sectores, gracias a esta transformación el comercio electrónico y la banca digital han tenido un aumento exponencial donde su porcentaje de adopción el cual se esperaba en años ha venido a ser en meses.

Dada esta acelerada adopción las autoridades en México llevaron a cabo el año pasado un cambio al artículo 115 de la Ley de Instituciones de Crédito (y que recién entro en vigor) cuyo objetivo es proteger al usuario de la banca y a las a las instituciones bancarias, dicha modificación exige (entre otras cosas)

a los bancos solicitar los datos de la geolocalización de los dispositivos  desde donde el usuario bancario esta aperturando una cuenta y/o transaccionando, a continuación, un extracto de la ley con las menciones: Artículo 115:

XVI. Geolocalización, a las coordenadas geográficas de latitud y longitud en que se encuentre el Dispositivo…”

4 ª Ter.- Las Entidades que abran una cuenta o celebren un contrato a través de Dispositivos de forma no presencial, conforme a las disposiciones de carácter general que al efecto emita la Comisión, además de los datos de identificación a que se refiere la 4 ª de las presentes Disposiciones, según sea el caso, deberán requerir y obtener de sus Clientes, previo consentimiento de estos, la Geolocalización del Dispositivo desde el cual éstos abran la cuenta o celebren el contrato…”.

VII. Tratándose de los Beneficiarios, las Entidades deberán recabar los datos previsto en la 4, fracción VIII de las presentes Disposiciones”.

“Las Entidades no deberán llevar a cabo la apertura de la cuenta o la celebración del contrato de forma n o presencial con los Clientes, cuando no recaben el dato relativo a la Geolocalización”.

16 ª Bis.- Las Entidades podrán recabar los datos y la documentación de sus Usuarios en términos de la 16 ª de las presentes Disposiciones de forma no presencial y a través de medios electrónicos, ópticos o de cualquier otra tecnología, conforme a las disposiciones de carácter general que al efecto emita la Comisión.

Las Entidades que opten por integrar el expediente de identificación del Usuario en los términos previstos en el párrafo anterior, adicional a lo previsto en la 16 ª de las presentes Disposiciones, deberán requerir y obtener de sus Usuarios, previo su consentimiento, la Geolocalización del Dispositivo desde el cual el Usuario celebre la Operación, así como su correo electrónico.

Las Entidades no deberán celebrar Operaciones con Usuarios de forma no presencial, cuando no recaben el dato relativo a la Geolocalización.”

Si desea ver la modificación completa al articulo puede encontrarla en el siguiente enlace:

https://www.dof.gob.mx/nota_detalle.php?codigo=5554909&fecha=22/03/2019

En este artículo de ley se pueden distinguir tres grandes entidades, por un lado esta las entidades regulatorias que dictan el “que” pero no el “como”, por otro lado se encuentra el usuario (entidad clave) de la banca quien debe dar consentimiento para la obtención de sus datos de geolocalización a través de la aplicación en su dispositivo, de no hacerlo no podrá usar los canales mencionados para transaccionar y por último se encuentran las instituciones bancarias quienes deberán definir el “cómo” a través de las diversas tecnologías ya existentes, en realidad obtener la información de geolocalización del dispositivo no es difícil y no debería escandalizarnos si el banco nos pide la geolocalización de hecho, todos los días entregamos nuestros datos de geolocalización a diversas aplicaciones para obtener un claro beneficio por ejemplo, las aplicaciones de mapas, o de solicitud de transporte o comida o las que registran el número de pasos, 

para las instituciones bancarias no es diferente, los datos de geolocalización es relevante ya que aunada a otra información pueden crear perfiles para conocer mejor a sus clientes (KYC) o potenciales clientes y con ello ofrecer una mejoría en los servicios digitales y móviles bancarios así, como una reducción en el riesgo de fraude por estos canales, con lo que el banco tendrá una alta tasa de adopción y una baja tasa de abandono y los usuarios obtendrán servicios digitales con baja fricción.

En Infinyt contamos con soluciones con las que podrá obtener los datos necesarios para el cumplimiento de la regulación y ofrecer una experiencia de seguridad de baja fricción para los usuarios de sus canales web y móviles.