Control de acceso: tipos e implementación

¿Qué es el control de acceso?

El control de acceso es el proceso de identificar a una persona y determinar su nivel de acceso de seguridad a sistemas electrónicos o sitios físicos en base a las políticas y procedimientos establecidos por la organización. Los sistemas de control de acceso modernos identifican a una persona, la autentican mirando su identificación y luego le dan a esa persona solo la llave de la puerta o recurso digital al que necesita acceder.

El acceso se otorga mediante un conjunto de pasos para asegurarse de que este usuario pueda acceder a los recursos solicitados. Estos pasos suelen ser:

1. Identificación
2. Autenticación
3. Autorización

Tipos de control de acceso

Los tipos de control de acceso incluyen los siguientes tres que veremos uno a la vez.

1. Control de acceso administrativo

El control de acceso administrativo establece las políticas y los procedimientos de control de acceso para toda la organización, define los requisitos de implementación del control de acceso tanto físico como técnico, y cuáles serán las consecuencias del incumplimiento. Algunos ejemplos incluyen estructura de supervisión, controles de personal y contratistas, clasificación de información, capacitación, auditoría y pruebas.

2. Control de acceso físico

El control de acceso físico es fundamental para la seguridad de una organización y se aplica al acceso o restricción de acceso a un lugar como una propiedad, un edificio o una habitación. Algunos ejemplos son vallas, portones, puertas, torniquetes, etc., que utilizan cerraduras, insignias, biometría (reconocimiento facial, huellas dactilares), cámaras de videovigilancia, guardias de seguridad, detectores de movimiento, trampillas para personas, etc. para permitir el acceso a determinadas áreas. .

3. Control de acceso técnico o lógico

El control de acceso técnico o lógico limita las conexiones a redes de computadoras, archivos del sistema y datos. Hace cumplir restricciones sobre aplicaciones, protocolos, sistemas operativos, cifrados, mecanismos, etc.

En el mundo cada vez más digital de hoy, los sistemas de control de acceso modernos combinan el control de acceso administrativo, físico y técnico para limitar el acceso a datos confidenciales y ubicaciones físicas, proporcionando un nivel de seguridad mucho más alto. Algunos ejemplos son listas de control de acceso, sistemas de detección de intrusos y software antivirus.

Esta figura que aparece aquí ilustra algunas de las ventajas de los controles de acceso:

Modelos de control de acceso

¿Cómo concede alguien el nivel adecuado de permiso a una persona para que pueda desempeñar sus funciones? Los modelos de control de acceso definen cómo se asignan los permisos.

Los modelos de control de acceso tienen cuatro sabores:

• Control de acceso obligatorio (MAC)
• Control de acceso basado en roles (RBAC)
• Control de acceso discrecional (DAC)
• Control de acceso basado en reglas (RBAC)

La siguiente figura muestra lo que implica cada uno de estos modelos:

Implementación del control de acceso

Un plan de control de acceso válido incluye las siguientes consideraciones:

• Objetivos de seguridad: identifique los recursos y procesos que desea autorizar
• Riesgos de seguridad: identifique las vulnerabilidades de la organización e identifique las lagunas de seguridad. Éstas incluyen:
  
  • Prevención de pérdidas físicas o de datos
  • Acceso y modificación no autorizados
  • Permisos configurados incorrectamente que podrían dar lugar a violaciones de seguridad o incapacidad para realizar tareas (permisos insuficientes para el rol)
• Estrategias de seguridad
• Descripciones de grupos de seguridad
• Políticas de seguridad
• Estrategias de seguridad de la información
• Políticas administrativas

El siguiente es un proceso de control de acceso típico:

• Identificación del sujeto (por ejemplo, persona, recurso digital, vehículo)
• Autentique ese sujeto haciendo coincidir las credenciales que se encuentran en la solicitud con las almacenadas
• Autorización al establecer los privilegios que se otorgarán mediante listas de control de acceso (ACL) para permitir el acceso a los recursos para los que el sujeto tiene permiso y evitar el acceso a los recursos para los que no tiene permiso.
• Auditoría y verificación mediante auditorías periódicas de los procesos y verificación de los controles de acceso

Esta última figura muestra los componentes críticos de control de acceso en una instalación de almacén:

Resumen de la lección

Muy bien, tomemos un momento para revisar lo que hemos aprendido. El control de acceso es un elemento crítico de cualquier implementación de seguridad. El proceso de control de acceso típico incluye identificación, autenticación, autorización y auditoría. Los tres tipos de control de acceso son:

1. Administrativo , que establece las políticas y procedimientos de control de acceso para toda la organización, define los requisitos de implementación del control de acceso tanto físico como técnico, y cuáles serán las consecuencias del incumplimiento.
2. Técnico , que limita las conexiones a redes informáticas, archivos del sistema y datos.
3. Físico , que es fundamental para la seguridad de una organización y se aplica al acceso o restricción de acceso a un lugar como una propiedad, un edificio o una habitación.

Los modelos de control de acceso incluyen control de acceso obligatorio (MAC), control de acceso basado en roles (RBAC), control de acceso discrecional (DAC) y control de acceso basado en reglas (RBAC), que definen el nivel de permisos. En conjunto, este proceso garantiza que solo los usuarios de confianza tengan acceso a recursos importantes.