Índice:
¿Qué es el control de acceso?
El control de acceso es una técnica de seguridad que verifica el permiso que tiene una persona o dispositivo para entrar en un área y hasta qué punto. Esta función se encuentra dentro de la gestión de identidad y acceso de una empresa.
Existen 2 tipos de control de acceso:
- Físico
- Lógico
El físico consiste en recibir autorización para entrar a lugares concretos, como determinados departamentos o áreas de la empresa. El control de acceso lógico, sin embargo, permite el acceso al usuario o dispositivo a unas determinadas redes informáticas, archivos del sistema y datos. El acceso se realiza generalmente con ayuda de una credencial; ya sea en forma de tarjeta, con la huella del dedo, con reconocimiento de voz o visual, usuario y contraseña, etc.
Un tipo de empresas que realizan un control de acceso exhaustivo, tanto de físico como lógico, son los data centers . Estos centros proporcionan infraestructura TIC a otras empresas, por lo que tienen altos requistos de seguridad TIC. En el siguiente vídeo, Guillermo Benito, CTO del data center Nabiax, nos comenta las medidas de seguridad que toman:
Control de acceso en gestión documental
En el área de la gestión documental es vital representar y controlar el acceso a través de la asignación de metadatos , datos que proporcionan un contexto, descripción e información adicional sobre datos, cuya finalidad es la seguridad de los archivos de la empresa. Con ayuda de estos metadatos, la gestión de acceso determina hasta qué tipo de información tienen acceso los diferentes usuarios. Además, se concluye si un usuario del sistema puede consultar y/o también editar, subir o descargar estos archivos, ya sean documentos, archivos mp4, AutoCAD, etc. Por ello, tener el archivo digital bien estructurado puede ser de gran ayuda a la hora de gestionar los controles de acceso, ya que se verá de forma más clara cómo organizar el acceso. Por ejemplo: si un archivo tiene los informes financieros de diferentes épocas con las etiquetas (los metadatos) bien marcadas, serán más fáciles de encontrar y seleccionar quiénes pueden consultarlos. Aquí abajo se encuentra una imagen que sirve de ejemplo para ver qué documentos podrían consultar dos departamentos distintos de una misma empresa.
Control de acceso en recursos humanos
En el área de los recursos humanos , el control de acceso se suele realizar para el portal del empleado . Este portal permite, por ejemplo, que un trabajador pueda añadir o modificar sus contactos de emergencia y dirección, pero no que pueda cogerse vacaciones sin que el gerente lo valide en el autoservicio del mánager . Otras áreas de control de acceso en recursos humanos podrían ser la gestión de currículums o diferenciar la información a la que pueden acceder las distintas partes del departamento. Por ejemplo, los que gestionan las nóminas no tienen por qué tener acceso a lo que hacen en prevención de riesgos laborales, y viceversa. Este caso puede suceder también en la gestión de desempeño . Los mánagers deben tener acceso a la evaluación de sus compañeros, pero los empleados no deben poder consultar ni su evaluación ni la de sus compañeros.
Además del control de acceso en el software de recursos humanos, este también lo tiene con hardware. Muchas empresas les dan a sus empleados unas tarjetas para poder entrar en la empresa y, más concretamente, al área donde trabajan. De esta forma, solo los empleados de un departamento podrán acceder a dicha área del edificio. Otra función que tiene esta tarjeta es registrar la hora de entrada y salida del empleado. Sin embargo, este control de acceso no tiene por qué ser siempre con una tarjeta, también se puede realizar con identificación biométrica (por ejemplo, con un escáner de huellas o de ojo, o por reconocimiento de voz).
Control de acceso en otros tipos de software
A menudo, el control de acceso también se da en otro tipo de softwares aparte de los mencionados, como puede ser el caso de ERP y gestión de relaciones con el cliente (CRM) . La gestión de identidad y acceso se ve reforzada, por ejemplo, al determinar que un operario no tenga acceso a los archivos de finanzas que se encuentran dentro del ERP o a los datos personales de clientes.
¿Qué fases tiene el control de acceso?
El control de acceso es un sistema de seguridad bastante complejo. Tradicionalmente, se ha dicho que el control de acceso estaba compuesto por tres fases diferentes: identificación, autorización y autenticación. Actualmente le otorga un total de hasta cinco fases:
- Autorización
- Autenticación
- Acceso
- Gestión
- Auditoría
Autorización
La autorización es la fase durante la cual un externo (un posible cliente, proveedor o nuevo empleado) se convierte en miembro, es decir, esta persona consigue acceso a un sistema. El primer paso a hacer es definir la política de la empresa, determinando lo que la gente puede o no hacer. Esta política debe especificar quién tiene acceso a qué sitios, y si los miembros de la organización pueden compartir el acceso. Dentro de la autorización hay cuatro políticas diferentes que se pueden llevar a cabo:
- Control de acceso mandatorio o Mandatory Access Control (MAC): esta política está basada en regulaciones mandatorias determinadas por una autoridad central de la empresa. El MAC establece niveles de seguridad a todos los objetos de recurso del sitio (archivo del que se va a hacer uso o lugar al que se va a entrar). Estos niveles de seguridad contienen dos tipos de información: una clasificación (top secret o de alto secreto, confidencial, etc.) y una categoría (indicando el nivel de gestión, el departamento o proyecto al que tienen acceso ciertos usuarios). El control de acceso mandatorio es la política más segura, sin embargo, requiere una planificación enorme antes de poder ser implementada eficientemente.
- Control de acceso discrecional o Discretionary Access Control (DAC): está basada en la identidad del solicitante y en los niveles de acceso que estipulan lo que dicho solicitante tiene permitido o no hacer. DAC es el típico mecanismo de acceso por defecto para la mayoría de los sistemas operativos. En vez de los niveles de seguridad como en MAC, en el DAC cada objeto de recurso está asociado a una lista de control de acceso, o Access Control List (ACL) por su nombre en inglés, y cada lista de control contiene una lista de usuarios y grupos a la cual el usuario tiene permiso acceder junto con el nivel de acceso de cada usuario o grupo. Por ejemplo, un gimnasio tiene una lista de control de acceso con los usuarios que pueden acceder y en ella está establecido el horario en el que puede acceder cada usuario. El control de acceso discrecional ofrece un entorno mucho más flexible, pero también aumenta el riesgo de que los datos estén a disposición de usuarios que no necesariamente deberían tener acceso a ellos. Es decir, por tener un mismo rango, uno puede acceder a información que no le incumbe. Por ejemplo, el gerente de proyectos puede tener acceso a la información que solo debería estar destinada para el gerente de finanzas.
- Control de acceso basado en funciones o Role Based Access Control (RBAC): también conocido con el nombre inglés Non discretionary Access Control, esta política se basa en la función del trabajo del usuario dentro de la organización. El RBAC asigna permisos a determinados roles dentro de una organización. Después, a los usuarios se les asigna determinados roles. Esto ofrece una facilidad para el usuario ya que los administradores pueden gestionar de forma central y administrar los roles ellos mismos. De esta forma, un director de proyecto no puede acceder a los mismos datos que un administrador del departamento de finanzas y contabilidad.
- Control de acceso basado en normas o Rule Based Access Control (RBAC): aunque las siglas coincidan con el de control de acceso en base a funciones, no hay que confundirlos. El acceso a los objetos de recurso es otorgado o denegado dependiendo de una serie de normas definidas por un sistema administrador. Como con el DAC, las propiedades de acceso son almacenadas en listas de control de acceso asociadas cada una a un objeto de recurso. Sin embargo, el DAC se centra en el usuario y sus niveles de acceso, mientras que el RBAC, solo en las normas. Cuando un usuario o grupo intenta acceder a un recurso, el sistema operativo comprueba las normas que la lista de control de acceso tiene para dicho objeto. Por ejemplo, este tipo puede permitir que un usuario o grupo pueda tener conexión a una red a ciertas horas del día o sólo algunos días de la semana.
Autenticación
La autenticación va un poco más allá que la autorización. En esta fase, los miembros presentan unas credenciales que se le adjudicaron cuando fueron autorizados. Estas credenciales pueden ser de tres tipos:
- Identificación con token, firma digital o dispositivo de seguridad (una tarjeta identificativa o llave de acceso)
- Contraseña
- Medición biométrica (huella dactilar, voz, retina, etc.)
El lector del sistema comprobará la validación de dicho miembro para determinar si debería permitirle el acceso a cierta área física o virtual o no.
Acceso
Una vez que las credenciales han sido autenticadas, las herramientas de acceso disponibles en esta etapa se aseguran de que el usuario acceda al contenido correcto en el momento adecuado, de forma rápida y sencilla. Para ello, se realiza de tres formas diferentes:
- Desbloqueo (Unlock): en la validación, el solicitante puede desbloquear aquello a lo que quiere acceder y para lo cual tenga permiso. Esto ocurre al presentar la credencial que requiere el acceso.
- Trigger: una vez concedido el acceso por el sistema de control de acceso, se activa el acceso, normalmente en forma de una “puerta” que se desbloquea.
- Infraestructura: si se desbloquea, una gran variedad de acciones son monitorizadas a la vez: el usuario fue autenticado correctamente, lo que desencadenó el desbloqueo y pudo acceder.
Gestión
Esta fase ayuda al administrador a cumplir con distintos retos. Entre estos retos se encuentran: añadir nuevos puntos de acceso, agregar nuevos usuarios (onboarding ) y quitar los que se van de la empresa (offboarding ); mantener la seguridad; y solucionar posibles problemas o complicaciones que puedan surgir.
Auditoría
Durante esta fase, se registran las modificaciones con el propósito de mantener un registro de auditoría que guarde cada programa ejecutado y el usuario que los usó, para que se puedan deshacer los cambios. De esta forma, en sus controles rutinarios, las empresas pueden asegurarse de que todo está configurado correctamente. Debido a que muchos puntos de acceso son rastreados durante el acceso, los agentes de seguridad pueden aprovecharse de esto cuando investiguen cualquier comportamiento inusual, ya que los datos pueden mostrar o señalar si hay algún comportamiento extraño y/o analizarlo comparándolo con datos históricos. También puede avisar sobre si se ha mantenido en el sistema sin querer a alguien que ya no pertenece a la empresa.
Además, esta función ayuda a ciertos sectores a cumplir con sus requisitos especiales. Por ejemplo, para aquellas empresas que tienen que procesar datos sensibles como la información sanitaria del paciente, informes financieros o pagos con la tarjeta de crédito. Este tipo de organizaciones deben tratar con los requisitos de auditoría en el tema de control de acceso cuando rellenan los informes de conformidad de acuerdo con ley de protección de datos . Algunas categorías especiales también requieren un acceso auditable de acceso, como por ejemplo las certificaciones ISO o la ciberseguridad .