Compartir claves de usuario

Gracias a la pandemia de COVID-19, que nos hizo reflexionar sobre qué debemos hacer y qué debemos cambiar para mitigar el riesgo de contagio

En esta primer entrega, queremos hablar de compartir claves. En muchas oportunidades, distintos usuarios de una organización comparten la clave de algún software. En principio, puede ser algo habitual y a simple vista inocuo. Incluso, puede ser que el hecho de no compartir la clave sea penalizado en la cultura de una organización.

Sin meternos en el por qué se comparte la clave, queremos enfocarnos en cuándo este hábito se convierte en una vulnerabilidad. Y esto se da cuando una práctica habilita la ocurrencia de riesgos. Un riesgo es un suceso que puede suceder en el futuro, y que tiene un impacto en nuestra operatoria.

El primer aspecto a analizar es si compartiendo la clave incrementamos o el impacto o la probabilidad de ocurrencia de riesgos de seguridad. El hecho de tener que compartir la clave, y que no sea personal, implica desde el vamos que esa clave va a ser transmitida y/o almacenada, con lo cual la fortaleza (o debilidad) de los medios de transmisión y almacenamiento van a impactar en forma directa en la probabilidad de que esa clave sea vulnerada. Esto no sucede si la clave es personal y no se transmite.

Por otro lado, la organización pierde capacidades de auditoría y de control. Si todos los usuarios están identificados de la misma manera, cómo podemos saber quién hizo alguna modificación puntual? En muchos casos esto significa que no se pueden aprovechar todas las funcionalidades o capacidades de ese sistema.

El segundo aspecto es operativo. Qué sucede si un usuario de un sistema bloquea su clave, por los motivos que fuera? El usuario tiene que seguir un procedimiento para desbloquear su clave, y mientras tanto, su uso del sistema queda restringido. Este procedimiento puede ser más o menos complejo, dependiendo de las reglas de seguridad del sistema. En un caso de claves compartidas, si el usuario que bloquea la clave no es el usuario titular de la cuenta, tiene que contactar al usuario titular para recuperar el acceso. Esto significa que ademas de interrumpirse el trabajo del primer usuario, se interrumpe el trabajo del segundo usuario, para poder realizar la tarea de recuperación de clave. Además, alguien tendrá que ocuparse de avisar al resto de los usuarios interesados, etc.. Con lo cual, una contingencia que normalmente es menor, y que podría resolverse en forma rutinaria, termina robándose más tiempo del deseado.

Hay un último punto, que muchas veces no se valora apropiadamente, y que es el riesgo de impactos imprevistos en futuros proyectos de mejora. Muchas veces sucede que en la evolución de una organización, empiezan a generarse demandas más complejas. En algún punto de la evolución, puede suceder que una nueva necesidad a resolver requiera que previamente debía estar bien resuelto el tema de usuarios y permisos. Y no tenerlo resuelto puede terminar complejizando o incluso, en el peor de los casos, impidiendo, el avance hacia resolver la necesidad inmediata.

Por eso, nosotros desde ACSIS recomendamos analizar la política de usuarios desde el primer momento, e incorporar esa práctica como una función más dentro de la empresa. Esto implica definir un responsable, conocer los mecanismos para aplicar una política y comunicarlo. La evolución hacia un modelo más controlado puede realizarse en cualquier momento, pero siempre es mejor que se haga en forma planificada.


Santa Fe 2930 1º Piso Palermo, CABA

info@acsistec.com.ar

+54 11 4412 7898

+54 11 6357 5089

Lunes a Viernes de 9 a 18 horas