Control de acceso

Índice:

1. Definición
   1. Control de acceso en documentos
   2. Control de acceso en RRHH
   3. Control de acceso con otros softwares
2. Fases
   1. Autorización
   2. Autenticación
   3. Acceso
   4. Gestión
   5. Auditoría

¿Qué es el control de acceso?

El control de acceso es una técnica de seguridad que verifica el permiso que tiene una persona o dispositivo para entrar en un área y hasta qué punto. Esta función se encuentra dentro de la gestión de identidad y accesoLa gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores. de una empresa.

Existen 2 tipos de control de acceso:

• Físico
• Lógico

El físico consiste en recibir autorización para entrar a lugares concretos, como determinados departamentos o áreas de la empresa. El control de acceso lógico, sin embargo, permite el acceso al usuario o dispositivo a unas determinadas redes informáticas, archivos del sistema y datos. El acceso se realiza generalmente con ayuda de una credencial; ya sea en forma de tarjeta, con la huella del dedo, con reconocimiento de voz o visual, usuario y contraseña, etc.

Un tipo de empresas que realizan un control de acceso exhaustivo, tanto de físico como lógico, son los data centersUn data center, o centro de procesamiento de datos (CPD), es una infraestructura para el alojamiento de los servidores de una o varias empresas. Los servidores tienen que estar en unas condiciones óptimas para poder funcionar bien. Los data centers se dedican exclusivamente a mantener siempre la temperatura, humedad, electricidad, conectividad y energía adecuada para el funcionamiento de los servidores que tienen alojados.. Estos centros proporcionan infraestructura TIC a otras empresas, por lo que tienen altos requistos de seguridad TIC. En el siguiente vídeo, Guillermo Benito, CTO del data center Nabiax, nos comenta las medidas de seguridad que toman:

Control de acceso en gestión documental

En el área de la gestión documentalUn sistema de gestión documental, o document management system (DMS), por sus siglas en inglés, está diseñado para almacenar, administrar y controlar el flujo de documentos dentro de una organización. Se trata de una forma de organizar los documentos e imágenes digitales en una localización centralizada a la que los empleados puedan acceder de forma fácil y sencilla. es vital representar y controlar el acceso a través de la asignación de metadatosLos metadatos, o metadata en inglés, son los datos sobre datos. Por lo tanto, los metadatos, son los datos que proporcionan un contexto, descripción e información adicional sobre datos. Estos datos pueden encontrarse en una página web, imagen, vídeo, documento o carpeta. En el caso de las páginas webs, estos datos se encuentran en las “meta tags” o meta etiquetas de HTML o XHTML., datos que proporcionan un contexto, descripción e información adicional sobre datos, cuya finalidad es la seguridad de los archivos de la empresa. Con ayuda de estos metadatos, la gestión de acceso determina hasta qué tipo de información tienen acceso los diferentes usuarios. Además, se concluye si un usuario del sistema puede consultar y/o también editar, subir o descargar estos archivos, ya sean documentos, archivos mp4, AutoCAD, etc. Por ello, tener el archivo digitalTodas las empresas tienen una razón específica para querer archivar algunos documentos. Un archivo digital está bien diseñado cuando se puede acceder fácilmente. Un empleado puede buscar en el sistema a través de metadatos o contenido y, de esta forma, encontrará rápidamente el documento deseado. Por ejemplo, en una discusión sobre una duda de una herencia, un notario puede ver rápidamente los documentos que aclaran legalmente qué persona tiene el derecho respecto a algo. bien estructurado puede ser de gran ayuda a la hora de gestionar los controles de acceso, ya que se verá de forma más clara cómo organizar el acceso. Por ejemplo: si un archivo tiene los informes financierosUn informe financiero es el análisis de los datos económicos de una empresa. Estos informes son una representación del rendimiento financiero de una empresa en un periodo de tiempo determinado, tradicionalmente un año. De ahí que también se haga una referencia a menudo al término cuentas anuales. Los receptores de estos informes son externos (partes interesadas, también conocidas como “stakeholders”) como inversores y el legislador. Cada empresa española está obligada a elaborar las cuentas anuales y entregarlas en la Cámara de Comercio. de diferentes épocas con las etiquetas (los metadatos) bien marcadas, serán más fáciles de encontrar y seleccionar quiénes pueden consultarlos. Aquí abajo se encuentra una imagen que sirve de ejemplo para ver qué documentos podrían consultar dos departamentos distintos de una misma empresa.

Control de acceso en recursos humanos

En el área de los recursos humanosEl software de recursos humanos se utiliza en empresas que disponen un departamento de RRHH o un responsable dedicado a planificar y administrar la gestión del personal. Dentro de las funciones de este departamento puede encontrarse la atención al personal, el registro de ausencias, bajas y horas trabajadas, la gestión de nóminas y salarios, la asignación de vacaciones y otras solicitudes directas del personal. Además, también pueden encargarse de los distintos procesos de selección para puestos vacantes, las evaluaciones de desempeño de trabajadores o la planificación de ascensos., el control de acceso se suele realizar para el portal del empleadoEl software de autoservicio del empleado, también conocido como portal del empleado, permite a los trabajadores de una empresa el acceso y modificación de su propia información. No se trata únicamente de información personal, también puede estar relacionada con la empresa. Entre las funcionalidades que permite están: añadir/modificar contactos de emergencia; añadir/modificar direcciones; solicitar vacaciones; gestionar una baja médica; añadir/modificar información bancaria; y visualización de nóminas.. Este portal permite, por ejemplo, que un trabajador pueda añadir o modificar sus contactos de emergencia y dirección, pero no que pueda cogerse vacaciones sin que el gerente lo valide en el autoservicio del mánagerEl módulo de autoservicio del mánager, también conocido como portal del mánager, está compuesto por características que facilitan el acceso rápido a la información y el control del personal de forma eficiente. Desde este portal, el mánager puede gestionar aspectos de personal como: aprobación de horarios; solicitar la contratación de personal; visualización de aspirantes; solicitud de formación; aprobación de aumentos, ascensos, horas extras, permisos; acceso a la información de los empleados; y visualización de recibos y pagos pendientes.. Otras áreas de control de acceso en recursos humanos podrían ser la gestión de currículumsEl proceso de reclutamiento y selección de personal es el primer proceso en el que se piensa cuando se habla de recursos humanos. Un 40% de las empresas en España disponen de un software de gestión de RRHH. Pero cuando se trabaja con software general, en ocasiones provoca que la empresa no encuentre la profundidad necesaria en algunos procesos concretos. Es por esto que, muchas empresas incluyen software o aplicaciones específicas. o diferenciar la información a la que pueden acceder las distintas partes del departamento. Por ejemplo, los que gestionan las nóminasUn software de nóminas sirve para generar las nóminas de los empleados. Con este software se puede: almacenar y gestionar los datos de los empleados; calcular y emitir las nóminas; elaborar e imprimir cheques; administrar impuestos; gestionar fechas clave y de otros trámites administrativos comunes; depositar directamente los cheques en la cuenta bancaria de los empleados; deducir automáticamente; gestionar planes de pensiones.; gestionar el finiquito; entre otras. no tienen por qué tener acceso a lo que hacen en prevención de riesgos laborales, y viceversa. Este caso puede suceder también en la gestión de desempeñoLa gestión del desempeño corporativo también es conocida por sus siglas anglosajonas CPM (Corporate Performance Management). Este concepto fue creado por Gartner Research quien lo describe como “un término general que describe las metodologías, parámetros, procesos y sistemas usados para monitorizar y gestionar el rendimiento comercial de una empresa” (traducción propia). Estos desempeños se miden con los indicadores de rendimiento (KPI, Key Performance Indicators). . Los mánagers deben tener acceso a la evaluaciónLa evaluación de desempeño, performance appraisal en inglés, consiste en la medición y valoración del desempeño de un empleado o equipo en su puesto de trabajo y de su contribución general a la empresa. Las evaluaciones pertenecen al área de la gestión de talento, ya que permite gestionar el equipo interno para retenerlo en la empresa y ayudarle a crecer. de sus compañeros, pero los empleados no deben poder consultar ni su evaluación ni la de sus compañeros.

Además del control de acceso en el software de recursos humanos, este también lo tiene con hardware. Muchas empresas les dan a sus empleados unas tarjetas para poder entrar en la empresa y, más concretamente, al área donde trabajan. De esta forma, solo los empleados de un departamento podrán acceder a dicha área del edificio. Otra función que tiene esta tarjeta es registrar la hora de entrada y salida del empleado. Sin embargo, este control de acceso no tiene por qué ser siempre con una tarjeta, también se puede realizar con identificación biométrica (por ejemplo, con un escáner de huellas o de ojo, o por reconocimiento de voz).

Control de acceso en otros tipos de software

A menudo, el control de acceso también se da en otro tipo de softwares aparte de los mencionados, como puede ser el caso de ERPUn sistema ERP (Enterprise Resource Planning) o sistema de planificación de recursos empresariales se hace cargo de distintas operaciones internas de una empresa, desde producción a distribución o incluso recursos humanos. Por tanto, este software gestiona los distintos procesos empresariales de una misma empresa. Existen muchos tipos de ERP: horizontales (generales) y verticales (sectoriales); para pequeñas, medianas y grandes empresas; nube, híbrido o en local; entre otros. y gestión de relaciones con el cliente (CRM)La gestión de relaciones con el cliente (Customer Relationship Management, CRM) se centra en almacenar, analizar y usar toda la información relevante de los clientes. Lo que se considera información relevante de los clientes, depende naturalmente del tipo de empresa y de clientes. En algunas empresas consiste en mantener una estructura de los datos de contacto o de las acciones que se llevan a cabo en relación con los clientes. Otras empresas requieren tener funcionalidades más avanzadas e inteligencia de negocios (BI) dentro del CRM para comprender bien al cliente.. La gestión de identidad y acceso se ve reforzada, por ejemplo, al determinar que un operario no tenga acceso a los archivos de finanzas que se encuentran dentro del ERP o a los datos personales de clientes.

¿Qué fases tiene el control de acceso?

El control de acceso es un sistema de seguridad bastante complejo. Tradicionalmente, se ha dicho que el control de acceso estaba compuesto por tres fases diferentes: identificación, autorización y autenticación. Actualmente le otorga un total de hasta cinco fases:

1. Autorización
2. Autenticación
3. Acceso
4. Gestión
5. Auditoría

Autorización

La autorización es la fase durante la cual un externo (un posible cliente, proveedor o nuevo empleado) se convierte en miembro, es decir, esta persona consigue acceso a un sistema. El primer paso a hacer es definir la política de la empresa, determinando lo que la gente puede o no hacer. Esta política debe especificar quién tiene acceso a qué sitios, y si los miembros de la organización pueden compartir el acceso. Dentro de la autorización hay cuatro políticas diferentes que se pueden llevar a cabo:

• Control de acceso mandatorio o Mandatory Access Control (MAC): esta política está basada en regulaciones mandatorias determinadas por una autoridad central de la empresa. El MAC establece niveles de seguridad a todos los objetos de recurso del sitio (archivo del que se va a hacer uso o lugar al que se va a entrar). Estos niveles de seguridad contienen dos tipos de información: una clasificación (top secret o de alto secreto, confidencial, etc.) y una categoría (indicando el nivel de gestión, el departamento o proyecto al que tienen acceso ciertos usuarios). El control de acceso mandatorio es la política más segura, sin embargo, requiere una planificación enorme antes de poder ser implementada eficientemente.
• Control de acceso discrecional o Discretionary Access Control (DAC): está basada en la identidad del solicitante y en los niveles de acceso que estipulan lo que dicho solicitante tiene permitido o no hacer. DAC es el típico mecanismo de acceso por defecto para la mayoría de los sistemas operativos. En vez de los niveles de seguridad como en MAC, en el DAC cada objeto de recurso está asociado a una lista de control de acceso, o Access Control List (ACL) por su nombre en inglés, y cada lista de control contiene una lista de usuarios y grupos a la cual el usuario tiene permiso acceder junto con el nivel de acceso de cada usuario o grupo. Por ejemplo, un gimnasio tiene una lista de control de acceso con los usuarios que pueden acceder y en ella está establecido el horario en el que puede acceder cada usuario. El control de acceso discrecional ofrece un entorno mucho más flexible, pero también aumenta el riesgo de que los datos estén a disposición de usuarios que no necesariamente deberían tener acceso a ellos. Es decir, por tener un mismo rango, uno puede acceder a información que no le incumbe. Por ejemplo, el gerente de proyectos puede tener acceso a la información que solo debería estar destinada para el gerente de finanzas.
• Control de acceso basado en funciones o Role Based Access Control (RBAC): también conocido con el nombre inglés Non discretionary Access Control, esta política se basa en la función del trabajo del usuario dentro de la organización. El RBAC asigna permisos a determinados roles dentro de una organización. Después, a los usuarios se les asigna determinados roles. Esto ofrece una facilidad para el usuario ya que los administradores pueden gestionar de forma central y administrar los roles ellos mismos. De esta forma, un director de proyecto no puede acceder a los mismos datos que un administrador del departamento de finanzas y contabilidad.
• Control de acceso basado en normas o Rule Based Access Control (RBAC): aunque las siglas coincidan con el de control de acceso en base a funciones, no hay que confundirlos. El acceso a los objetos de recurso es otorgado o denegado dependiendo de una serie de normas definidas por un sistema administrador. Como con el DAC, las propiedades de acceso son almacenadas en listas de control de acceso asociadas cada una a un objeto de recurso. Sin embargo, el DAC se centra en el usuario y sus niveles de acceso, mientras que el RBAC, solo en las normas. Cuando un usuario o grupo intenta acceder a un recurso, el sistema operativo comprueba las normas que la lista de control de acceso tiene para dicho objeto. Por ejemplo, este tipo puede permitir que un usuario o grupo pueda tener conexión a una red a ciertas horas del día o sólo algunos días de la semana.

Autenticación

La autenticación va un poco más allá que la autorización. En esta fase, los miembros presentan unas credenciales que se le adjudicaron cuando fueron autorizados. Estas credenciales pueden ser de tres tipos:

1. Identificación con token, firma digitalEl término firma digital se usa para referirse a una forma electrónica de firma. Esto puede ser una firma electrónica ordinaria o una firma electrónica cualificada. A veces, sólo la segunda forma recibe la definición de digital. Una firma electrónica ordinaria se parece a la firma tradicional. Con ayuda de un bolígrafo electrónico o de una firma escaneada pueden firmarse los documentos electrónicos y los e-mails. La firma confirma la identidad del firmante. Mientras que, con la firma electrónica cualificada, se adjuntará al certificado cualificado un documento o acción de autorización. Este certificado confirma la identidad del firmante y su autoridad para firmar. Además, garantiza que nada ha cambiado en el documento o acción a firmar. Finalmente, el certificado también hace que la firma sea legalmente válida. o dispositivo de seguridad (una tarjeta identificativa o llave de acceso)
2. Contraseña
3. Medición biométrica (huella dactilar, voz, retina, etc.)

El lector del sistema comprobará la validación de dicho miembro para determinar si debería permitirle el acceso a cierta área física o virtual o no.

Acceso

Una vez que las credenciales han sido autenticadas, las herramientas de acceso disponibles en esta etapa se aseguran de que el usuario acceda al contenido correcto en el momento adecuado, de forma rápida y sencilla. Para ello, se realiza de tres formas diferentes:

• Desbloqueo (Unlock): en la validación, el solicitante puede desbloquear aquello a lo que quiere acceder y para lo cual tenga permiso. Esto ocurre al presentar la credencial que requiere el acceso.
• Trigger: una vez concedido el acceso por el sistema de control de acceso, se activa el acceso, normalmente en forma de una “puerta” que se desbloquea.
• Infraestructura: si se desbloquea, una gran variedad de acciones son monitorizadas a la vez: el usuario fue autenticado correctamente, lo que desencadenó el desbloqueo y pudo acceder.

Gestión

Esta fase ayuda al administrador a cumplir con distintos retos. Entre estos retos se encuentran: añadir nuevos puntos de acceso, agregar nuevos usuarios (onboardingEl onboarding o incorporación de nuevos empleados comprende algo más que darles la bienvenida. También, es algo más que poner en marcha asuntos prácticos tales como el acceso al software o el uniforme. Durante la incorporación, no sólo se pretende que el trabajador se familiarice con su ambiente de trabajo y su papel dentro de la empresa, sino que también se intenta hacerle sentir cómodo e involucrado en las actividades empresariales.) y quitar los que se van de la empresa (offboardingEl offboarding es el nombre que recibe el conjunto de procesos relacionados con la salida de un empleado. Unos ejemplos de estos procesos pueden ser las cartas de renuncia firmadas o las compensaciones respectivas realizadas. El offboarding es algo más que la resolución de los asuntos prácticos. También hay que tomar medidas para cesar el trabajo conjunto sin que haya repercusiones o sensaciones negativas.); mantener la seguridad; y solucionar posibles problemas o complicaciones que puedan surgir.

Auditoría

Durante esta fase, se registran las modificaciones con el propósito de mantener un registro de auditoría que guarde cada programa ejecutado y el usuario que los usó, para que se puedan deshacer los cambios. De esta forma, en sus controles rutinarios, las empresas pueden asegurarse de que todo está configurado correctamente. Debido a que muchos puntos de acceso son rastreados durante el acceso, los agentes de seguridad pueden aprovecharse de esto cuando investiguen cualquier comportamiento inusual, ya que los datos pueden mostrar o señalar si hay algún comportamiento extraño y/o analizarlo comparándolo con datos históricos. También puede avisar sobre si se ha mantenido en el sistema sin querer a alguien que ya no pertenece a la empresa.

Además, esta función ayuda a ciertos sectores a cumplir con sus requisitos especiales. Por ejemplo, para aquellas empresas que tienen que procesar datos sensibles como la información sanitaria del paciente, informes financieros o pagos con la tarjeta de crédito. Este tipo de organizaciones deben tratar con los requisitos de auditoría en el tema de control de acceso cuando rellenan los informes de conformidad de acuerdo con ley de protección de datosDesde el 25 de mayo de 2018 se aplica el Reglamento general de protección de datos (GDPR, General Data Protection Regulation) en toda la Unión Europea. Esta ley uniforme transpone las leyes nacionales de protección de datos, como la Ley Orgánica de Protección de Datos (LOPD). El objetivo final de la nueva legislación es la protección de los derechos básicos de privacidad de los implicados. . Algunas categorías especiales también requieren un acceso auditable de acceso, como por ejemplo las certificaciones ISOLas normas ISO son normativas internacionales para la optimización de los procesos empresariales, fueron elaboradas por la Organización Internacional de la Estandarización (ISO, International Standard Organization). Los miembros de ISO son representantes de los institutos de normalización nacionales, como la UNE en España (Una Norma Española). Estos representantes establecen las normativas ISO en consenso. Las estandarizaciones establecidas por consenso se escriben en un documento en inglés y se facilita su adquisición a través de la plataforma ISO. Las organizaciones nacionales también ofrecen traducciones de dichas normas. o la ciberseguridadLa seguridad TIC, o Information Technology Security (IT security) en inglés, se encarga de implementar las medidas de seguridad para proteger la información usando diferentes tipos de tecnología. La seguridad TIC protege los datos empresariales, que comprenden tanto los de formato electrónicos como en papel..