¿Qué es el control de acceso?

Un cliente llama pidiendo información sobre cómo está registrado en la base de datos de su empresa, para asegurarse de que sus datos están actualizados. Recibe una llamada de un colaborador de negocio que necesita contactar a su compañera y le pide que cheque su agenda para ver cuándo está libre. Aunque en esencia son bastante diferentes, ambos escenarios son solicitudes de acceso a datos personales.

Pero ¿y si la persona que solicita acceso a los datos personales no es quien dice ser? En general, hay dos cosas que debe tomar en cuenta cuando se le pide que facilite los datos personales de alguien: la identidad de la persona que solicita los datos y si tiene derecho a acceder a ellos. El término técnico es «control de acceso». En los sistemas de seguridad encontramos varios ejemplos de control de acceso: puertas codificadas con contraseña, puertas controladas por llaves remotas, tarjetas de identificación, sistemas biométricos, detectores de movimiento, etc.

El control de acceso, un componente clave de la seguridad de la información, permite agilizar el control de los movimientos por las instalaciones o redes. En otras palabras, restringe las zonas en las que se puede y no se puede entrar, ya se trate de una sala o una computadora. Antaño, la forma más sencilla de sistema de control de acceso habría sido una cerradura y una llave corrientes. Hoy en día, lo más probable que sea una «tarjeta de acceso» que le permita entrar en una zona protegida. A continuación, le explicamos cuál es la mejor forma de gestionar, monitorear y controlar quién tiene acceso a su puerta.

Índice

Enable Javascript to view table

Profundización en seguridad

Cuando se controla el acceso a la información privada de una organización, hay que abordar el acceso tanto físico como lógico. El acceso físico se refiere a edificios, dispositivos y documentos, mientras que el acceso lógico se refiere al acceso a computadoras o sistemas. Las tecnologías para abordar cada uno de ellos son bastante diferentes. El control de acceso físico utiliza llaves y tarjetas de identificación para conceder la entrada a un espacio protegido, mientras que el control de acceso lógico emplea avanzados programas de contraseñas y funciones de seguridad biométrica

En lugar de gestionar los derechos de usuario y acceso dentro de cada aplicación, las soluciones de gestión de identidades y accesos han introducido una forma centralizada y más sólida de gestionar las identidades y regular el nivel de acceso de cada usuario a un sistema determinado. A medida que proliferan los puntos finales en una organización, impulsados por las políticas de «llevar cada uno sus propios dispositivos» y una expansión en el uso de dispositivos de la Internet de las cosas (IdC), se necesita un mayor control. La solución es el control de acceso a la red (NAC, por sus siglas en inglés), que ofrece una forma de integrar políticas de seguridad de puntos finales y control de acceso en la infraestructura de red de una organización. Es decir, cuando un usuario intenta conectarse a una red, el sistema NAC retiene la conexión mientras realiza una evaluación de riesgos.

¿Por qué se utiliza el control de acceso?

Dada la gran cantidad de datos sensibles que se almacenan electrónicamente, la necesidad de proteger nuestros activos informativos nunca ha sido mayor. Las ciberamenazas evolucionan a diario y exigen medidas de seguridad cada vez más estrictas; las claves y contraseñas sencillas ya no valen. Lo que necesita ahora es un sólido sistema de control de acceso que le ayude a proteger los datos físicos y confidenciales, reducir los costos de administración y proteger a sus clientes y su personal.

El control de acceso también ayuda a las organizaciones a cumplir los requisitos normativos, como el DSS de PCI (Estándar de Seguridad de Datos de Payment Card Industry) y la HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros de Salud). A otro nivel, la norma ISO/IEC 27001 sobre seguridad de la información también exige a la dirección que audite, y luego mitigue, todas las vulnerabilidades y riesgos cibernéticos de su organización.

Suscríbase para recibir actualizaciones por correo electrónico

¡Regístrese para recibir más recursos y actualizaciones sobre TI y tecnologías relacionadas!

* Boletín de noticias en inglés
Cómo se utilizarán sus datos

Consulte nuestro aviso de privacidad. Este sitio está protegido por reCAPTCHA. Se aplican la Política de privacidad y las Condiciones del servicio de Google

¿Cómo funciona el control de acceso?

Proteger las identidades es el principal cometido de la gestión de identidades, que proporciona varias áreas de control de acceso para dejar claro qué tipo de acceso se está concediendo y a quién se concede. Esta es solo una definición del control de acceso superficial; veamos más a fondo cómo funciona todo. La gestión de identidades (IdM, por sus siglas en inglés) establece una distinción entre el control de acceso a los recursos dentro de un dominio y el control de acceso a la propia configuración de IdM.

Para que las reglas de control de acceso sean sencillas de implementar, la gestión de identidades divide las definiciones de control de acceso en tres categorías básicas:

  • Reglas de autoservicio, que definen qué operaciones puede realizar un usuario en su propia entrada personal
  • Reglas de delegación, que permiten a un grupo de usuarios específico realizar operaciones de escritura/edición en atributos específicos para usuarios de otro grupo de usuarios
  • Reglas basadas en roles, que crean grupos especiales de control de acceso que tienen una autoridad mucho más amplia sobre todo tipo de entidades

Diferentes tipos de control de acceso

Todas estas reglas se integran en una variedad de sistemas de control de acceso, que determinan cómo se asignan y controlan los permisos de acceso dentro de una organización. Algunos ejemplos son:

  • Control de acceso discrecional (DAC, por sus siglas en inglés): con los modelos DAC, el propietario de los datos decide conceder derechos de acceso basándose en reglas que él mismo especifica. El DAC es el tipo de control de acceso menos restrictivo y, por lo tanto, el menos recomendado para la seguridad comercial y empresarial.
  • Control de acceso obligatorio (MAC, por sus siglas en inglés): El MAC se desarrolló utilizando un modelo no discrecional en el que una persona (por ejemplo, un jefe de seguridad) tiene la discreción exclusiva sobre los permisos de acceso y las autorizaciones de seguridad. A los sujetos y objetos del sistema MAC se les asignan permisos y etiquetas, respectivamente, como «confidencial», «secreto» y «alto secreto». Este tipo de control de acceso es el más adecuado para las organizaciones que requieren un alto grado de seguridad y confidencialidad.
  • Control de acceso basado en roles (RBAC, por sus siglas en inglés): según este modelo, el acceso se concede en función del cargo de la persona y de los recursos que necesita para hacer su trabajo. Se emplean principios clave de seguridad, como el «mínimo privilegio» y la «separación de privilegios», para dar a los usuarios el nivel mínimo de acceso necesario para el desempeño de su función. RBAC es un sistema de control de acceso fácil de usar, que permite a los administradores agrupar usuarios y ajustar los permisos desde una base de datos central.
  • Control de acceso basado en atributos (ABAC, por sus siglas en inglés): a diferencia del método de control de acceso basado en roles (RBAC), ABAC es una estrategia compleja que asigna o deniega el acceso a usuarios en función de un conjunto de atributos asignados por el propietario o administrador. Aunque es más complicado que el RBAC, ofrece a los administradores la flexibilidad necesaria para tomar decisiones en función del contexto y de la evolución de los niveles de riesgo.
  • Control de acceso basado en reglas (RuBAC, por sus siglas en inglés): El RuBAC implica la definición de las reglas que rigen el acceso a un recurso; estas suelen basarse en condiciones como «solo los usuarios del departamento de finanzas pueden acceder a los datos financieros».

Elegir el software adecuado

Entonces, ¿cómo saber qué sistema de control de acceso es el más adecuado para su espacio? El control de acceso a la red es un segmento de mercado en rápido crecimiento que ofrece numerosas soluciones de software para los tipos de control de acceso. Algunos le conectan directamente a un panel de control y otros no; otros utilizan un servidor y otros no. El que elija dependerá del tamaño de su organización, del número de dispositivos que opere y de los niveles de protección requeridos.

Desglosémoslo en aras de simplificar. A simple vista, en el mercado actual existen tres softwares diferentes para los tipos de control de acceso: basado en servidor, integrado y alojado, y cada uno ofrece sus propias características y aplicaciones.

  • Control de acceso basado en servidor: estos sistemas de control de acceso in situ, que suelen encontrarse en las grandes organizaciones, dependen de servidores locales para alojar y ejecutar el software. Los sistemas de control de acceso en una red local solo están disponibles in situ y no ofrecen la flexibilidad del acceso remoto. En este caso, el servidor se encuentra en una red cerrada a la que solo pueden acceder otros dispositivos dentro de esa red. Aunque es muy seguro, puede resultar inconveniente, ya que requiere un equipo informático completo para adquirir y renovar las licencias de software y mantener los servidores.
  • Control de acceso basado en la web: también conocido como control de acceso integrado, las soluciones basadas en navegador incluyen una aplicación web. Para que la aplicación funcione, no es necesario tener acceso a Internet; se conecta a la LAN (red de área local) y se puede acceder a ella desde cualquier dispositivo dentro de la LAN. No obstante, sigue siendo mejor disponer de una conexión confiable a Internet, ya que este tipo de sistema de control de acceso permite la programación y el mantenimiento desde cualquier navegador de Internet, lo que evita costosas instalaciones de software in situ.
  • Control de acceso basado en la nube: a diferencia de los otros dos tipos de control de acceso, el software basado en la nube se aloja en centros de datos remotos (normalmente gestionados por terceros) y se accede a él a través de software y aplicaciones móviles. Con este enfoque, puede controlar todo su campus, incluso si tiene múltiples edificios, desde un único panel de administración. Dado que el sistema se sincroniza en la nube, se necesita una conexión a Internet para revisar el panel de administración y realizar actualizaciones o cambios. Los sistemas de control de acceso basados en la nube aumentan la seguridad y la escalabilidad de sus operaciones, a la vez que reducen los gastos generales y operacionales.

Control de acceso: perspectivas de futuro

La forma en que vivimos y trabajamos está cambiando rápidamente, lo que obliga a las organizaciones a hacer cambios drásticos para cumplir sus requisitos de seguridad de la información y cumplimiento normativo. Hasta hace poco, la convergencia de la seguridad se centraba sobre todo en la fusión de los sistemas de control de acceso virtuales y físicos; hoy en día, sin embargo, los modelos de trabajo remoto e híbrido están impulsando nuevas demandas de seguridad. Al haber menos personas físicamente en los edificios de oficinas y más flexibilidad en la forma de acceder a los activos del lugar de trabajo, es probable que el futuro del control de acceso esté marcado por el desarrollo continuo de nuevas tecnologías.

A medida que pase el tiempo, es posible que veamos el uso de identificadores biométricos más sofisticados o de tecnologías como la IdC y sistemas basados en la IA. Sin embargo, lo más importante será permitir que los sistemas de control de acceso se conecten a toda una red de dispositivos, lo que proporcionará a los equipos informáticos un enfoque más global y coordinado de la seguridad. En lo que respecta al control de acceso, nos aguarda un futuro apasionante: inteligente, adaptable y confiable a la vez.

  2. Perspectivas y actualidad
  3. Perspectivas
  4. Todos los artículos
  5. ¿Qué es el control de acceso?