Territorio Móvil

¿Deberían los administradores de TI permitir que los usuarios se ejecuten como administradores locales de macOS?

En 2022, la seguridad es una prioridad principal para todas las organizaciones, incluidas las empresas y las escuelas que usan Mac. Aunque las Mac son muy seguras, siguen siendo vulnerables a las amenazas, incluidos los ataques de phishing y el malware. La seguridad ya no es una cuestión de tecnología. Ahora es un interés comercial. La mayor parte de la discusión sobre la seguridad de macOS gira en torno a las actualizaciones de software, el software de seguridad de puntos finales y otros temas generales. Lo que no se aborda lo suficiente son los derechos de los usuarios. Cada CISO debe preguntar a sus equipos de TI si los usuarios finales están ejecutando sus Mac como administradores locales. Si este es el caso, deben preguntarle al equipo si esto es necesario en comparación con los riesgos críticos que pueden presentar los privilegios elevados. Esta es la conclusión: los usuarios de Mac no necesitan privilegios de administrador las 24 horas del día, los 7 días de la semana. Desde la perspectiva de TI de macOS, la corrección de esta parte de su implementación y la administración continua pueden contribuir en gran medida a mantener sus Mac seguras. Especialmente en un entorno de trabajo remoto e híbrido, es posible que los administradores de TI no tengan control sobre la red local como lo tienen en un entorno de oficina tradicional. El nuevo modelo de trabajo significa que las mejores prácticas de seguridad deben evolucionar. En lugar de centrarse en la seguridad de la red corporativa, el punto final (también conocido como el dispositivo) ahora es fundamental para su enfoque de seguridad. Es posible que esté pensando: «Bueno, por supuesto, mis usuarios necesitan acceso de nivel de administrador en su computadora local. No estoy allí para ayudarlos si se encuentran en una situación en la que necesitan una cuenta de administrador”. Puede que tenga razón, pero esta forma de pensar también tiene posibles ramificaciones de seguridad. Los administradores pueden crear y administrar otras cuentas de usuario, instalar software, cambiar la configuración del sistema, desactivar funciones de seguridad importantes, acceder a todos los archivos en la Mac y más. En última instancia, un administrador local puede cambiar cualquier configuración, instalar cualquier cosa y hacer prácticamente lo que quiera. Con eso en mente, las cuentas de administrador son los mejores objetivos para los piratas informáticos porque una vez que una Mac se ve comprometida mientras el usuario se ejecuta como administrador, el malware (y el pirata informático) hereda la misma capacidad para realizar cualquier acción que esté disponible como administrador. Es equivalente a llevar toda su cuenta de ahorros en efectivo en su bolsillo cuando solo tiene $10 para gastar. Sólo estás buscando problemas. Como puede ver, si decide ejecutar como usuario administrativo, tiene mucha responsabilidad. La respuesta inmediata para comprender esta realidad es simplemente obligar a los usuarios a utilizar una cuenta estándar con acceso limitado al sistema. Por lo tanto, ejecutar como usuario estándar ayuda a proteger su Mac de daños graves cuando se infecta con malware. Además, menos privilegios de usuario significan menos posibilidades de cambios no deseados y configuraciones incorrectas. En un mundo perfecto, los usuarios siempre deberían ejecutarse como la opción de usuario con menos privilegios en el dispositivo. Es posible que el usuario deba instalar una aplicación en su Mac que requiera privilegios administrativos o realizar cambios en el sistema de archivos, pero estos requisitos son raros. Seamos honestos, ¿cuántas aplicaciones nuevas instala manualmente cada mes? Los requisitos de administración son aún más innecesarios en el entorno empresarial si se tiene en cuenta que las aplicaciones y las configuraciones normalmente se implementan automáticamente a través de una solución MDM, lo que elimina la necesidad de acciones manuales por parte del usuario final. Sin embargo, en ciertos casos, el usuario puede tener una necesidad legítima de permisos de nivel de administrador para solucionar un problema potencial, cambiar los permisos de la aplicación, tener un mejor control sobre las actualizaciones de software y más. Después de una extensa investigación, Mosyle descubrió que el usuario promedio de Mac necesita alrededor de cinco minutos de privilegios administrativos por mes. No, no por hora, no por día – POR MES. Y debido a esos extraordinarios cinco minutos por mes, a los usuarios se les otorgan privilegios administrativos de forma permanente, lo que representa un riesgo de seguridad significativo fuera de proporción con las necesidades comerciales reales. Entonces, ¿cómo lidiar con este dilema? ¿Cómo puede asegurarse de que los usuarios solo tengan derechos de administrador cuando los necesiten y durante el período de tiempo que realmente los necesiten? A principios de 2022, Mosyle finalmente resolvió este problema. La empresa ha desarrollado una nueva solución «Admin On-Demand» que permite que TI permita que sus usuarios se ejecuten como administradores durante un período de tiempo preestablecido y vuelvan automáticamente a ser un usuario estándar. Admin On-Demand de Mosyle brinda a los usuarios acceso administrativo completo cuando lo necesitan. Mosyle Admin On-Demand convierte automáticamente a los usuarios administradores en usuarios estándar y solo permite a los usuarios autorizados escalar temporalmente sus derechos de usuario solo cuando sea necesario. Durante el período de escalada, Admin On-Demand de Mosyle recopila registros detallados del sistema y cambia automáticamente al usuario a un nivel de seguridad predeterminado al final del período. Con Admin On-Demand, los administradores de TI pueden controlar la cantidad de escaladas de privilegios por día, la duración permitida y solicitar que el usuario justifique la actualización. Mosyle Admin On-Demand ofrece a los equipos de TI el equilibrio perfecto entre proteger las Mac y garantizar que los empleados puedan utilizar sus dispositivos al máximo. Admin On-Demand está disponible en Mosyle Fuse, una solución innovadora que revoluciona el mercado de seguridad y administración empresarial de Apple. Mosyle Fuse combina el MDM de Apple más completo del mercado, sofisticadas herramientas de seguridad de punto final, las únicas soluciones de seguridad y privacidad de Internet creadas para dispositivos Apple, inicio de sesión único a nivel de dispositivo y administración automatizada de aplicaciones para macOS, iOS y iPadOS. FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Visite 9to5Mac en YouTube para obtener más noticias de Apple:

MÁS SOBRE APPLE
T-Mobile está renunciando al descuento de AutoPay para Apple Pay a pesar de los problemas de seguridad anteriores
La autoridad de competencia francesa inicia una investigación sobre el ATT de Apple
iOS 17 Beta 4: Esto es nuevo
Cuarta beta para desarrolladores de iOS 17 y iPadOS 17 implementada por Apple
Encuesta: ¿Seguirá valiendo la pena la Apple Card en 2023? [Video]
El iPhone 15 podría tener una lente de cámara mejorada y una mayor apertura

Deja una respuesta

Tu dirección de correo electrónico no será publicada.