¿A quién va dirigido?
A todo tipo de organizaciones, públicas y privadas (grandes empresas o PYMES), que quieran estar preparadas para prevenir y protegerse de manera efectiva ante incidentes de seguridad en su red, que puedan afectar a la información e impactar en su actividad con el consiguiente perjuicio económico, reputacional o de otra índole.
¿Qué es?
El control de accesos es el conjunto de mecanismos y procedimientos que permiten a los gestores de la seguridad controlar y restringir el uso de los recursos del sistema de información y el comportamiento de los usuarios con relación al mismo. Estos mecanismos especifican qué pueden hacer los usuarios en el sistema, los recursos que pueden acceder y qué operaciones pueden realizar. Son las contramedidas para garantizar que solo los usuarios con las necesidades y la autoridad adecuada puedan tener acceso, un uso limitado de la ejecución de programas, y de leer, editar, agregar y borrar la información pertinente
El control del acceso a los recursos de la organización es uno de los factores principales en la protección de esta. Lo mismo que se dispone de puertas con cerraduras para acceder de forma física, debemos de realizar lo mismo de forma lógica con los datos y la información.
Funciones del control de accesos
La función del control de accesos se puede resumir en la triple A:
Authentication: Comprobación de la identidad del usuario
Authorizarion: Autorización del alcance de uso para usuarios identificados
Accountability: Seguimiento de las acciones del usuario en el sistema.
Adicionalmente para poder mapear las autorizaciones, se recomienda hacerlo en base a la separación de responsabilidades y el principio del mínimo privilegio:
La separación de responsabilidades implica que, para cada tarea, se separan los diferentes pasos, y estos deben ser realizados por personas diferentes con el objetivo que nadie tenga control absoluto del sistema.
El principio del mínimo privilegio establece que solo se debe autorizar a un usuario aquellos recursos de información (y operaciones sobre ellos) que sean imprescindibles para su trabajo.
Autenticación
Dentro de la parte de la identificación del usuario, hay distintos mecanismos que se pueden utilizar para conocer que el usuario es legítimo. Estos son algunos de los parámetros que se utilizan:
¿Qué sé?: Una contraseña, una respuesta a una pregunta o un PIN
¿Qué tengo? Una tarjeta con un chip (DNIe) un token USB, un certificado digital, un número que cambia cada 30 segundos, una app en el móvil de confirmación.
¿Qué soy? Una huella dactilar, reconocimiento facial, patrones de voz o escáner de retina
Se recomienda que al menos se usen simultáneamente dos de estas categorías para entender que un mecanismo de autenticación es seguro. A esto hoy en día se le conoce como 2FA o segundo factor de autenticación.
Otro procedimiento de autenticación muy utilizado es el que se conoce como “Single Sign-On”. Este procedimiento ofrece al usuario una forma más cómoda de acceder a distintos recursos, ya que, al iniciar sesión en un sistema, el usuario ya puede acceder al resto de contenidos a los que tenga acceso autorizado, sin tener que estar constantemente introduciendo sus credenciales.
Autorización
La autorización permite el acceso a los distintos recursos disponibles en base a determinadas reglas a los usuarios correctamente identificados.
Hay distintos métodos para definir los tipos de accesos como el DAC o Discrecional, El MAC u obligatorio y el RBAC basado en roles.
DAC
El método de control de acceso discrecional es un medio para restringir el acceso a los objetos en función de la identidad de los sujetos y/o grupos a los que pertenecen. Los controles son discrecionales en el sentido de que un sujeto con un permiso de acceso es capaz de transmitir ese permiso, como el sistema de permisos de Linux.
MAC
Con el control de acceso obligatorio, la política de seguridad está controlada por un administrador. Desde el punto de vista de la seguridad, un esquema DAC implica que un intruso que consigue acceso al núcleo de un sistema operativo tiene acceso a todo el sistema. En el caso de un esquema MAC, esto no tiene por qué ser así, dado que permite definir una política central de seguridad que se comprueba cuando una determinada aplicación quiere realizar ciertas acciones. La política de acceso MAC limita el acceso desde un nivel jerárquico superior al DAC.
Muchos sistemas implementan DAC y MACa la vez, DAC es el mecanismo para transferir los privilegios y MAC un mecanismo simultáneo para controlar esa transferencia.
RBAC
Los sistemas de acceso basados en roles se basan en la idea de dar los permisos a roles predefinidos y nunca a los usuarios directamente. Esto hace más fácil la gestión de los permisos, dado que hay un proceso de clasificación previa de los niveles de acceso que se materializa en roles, que pueden relacionarse en jerarquías, formando árboles o más en general, grafos. Las aplicaciones o usuarios se asignan a roles determinados, y son estos roles los que tienen asociados ciertos permisos sobre ciertas operaciones.
En un sistema RBAC la gestión se hace a alto nivel, como por ejemplo dar de alta un puesto de trabajo y que se le asignen todos los permisos necesarios al usuario.
Auditoría
La Auditoría o contabilidad (accountability) hace referencia a la posibilidad de registrar las sesiones y transacciones de los usuarios del sistema, de cara a obtener información de estos con propósitos de auditoría de seguridad. Actualmente, se suele hablar de auditoría como término más general, que incluye la contabilidad. Un aspecto fundamental de esta auditoría es el mantenimiento de logs y lógicamente, éstos no puedan alterarse o ser accedidas por usuarios no legítimos.
Referencias
https://docs.oracle.com/cd/E24842_01/html/E22521/ugintro-14.html
https://docs.oracle.com/cd/E24842_01/html/E23286/rbac-1.html
