“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Controles de acceso: ¿qué son y por qué son importantes para proteger tu empresa?
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
La protección de los recursos de una empresa, físicos y digitales, debe ser una de las prioridades de quienes forman parte de ella. En este sentido, limitar el acceso a estos recursos, otorgándolo sólo a quiénes lo requieren para cumplir sus funciones, es una medida básica para proteger información confidencial.
A continuación te explicamos qué son los controles de acceso y por qué debes utilizarlos para proteger tu empresa.
¿Qué es el control de acceso?
El control de acceso es un elemento fundamental de la seguridad de cualquier empresa que permite determinar quién tiene acceso a qué información y bajo cuáles circunstancias. Dicho de otra forma, se trata de un tipo de tecnología que puede permitir o denegar el acceso a un usuario a ciertos datos, plataformas o espacios físicos de la empresa.
Se relaciona estrechamente con la gestión de identidades y accesos (IAM por sus siglas en inglés), pues su finalidad es otorgar derechos de acceso a usuarios autenticados y autorizados, a la vez que impide que usuarios no autorizados tengan acceso a información confidencial o recursos de la empresa.
Por lo tanto, los sistemas de seguridad con control de accesos deben verificar la identidad del usuario y el nivel de acceso al que están autorizados antes de otorgarle acceso a un área de la empresa o a su información.
Control de acceso físico vs. lógico
El control de acceso puede entenderse desde dos puntos de vista: uno relacionado con el acceso físico a las instalaciones de una empresa, y otro relacionado con el acceso a bases de datos y sistemas informáticos con información confidencial.
El control de acceso físico se refiere a las medidas que se toman para restringir el acceso a ciertas áreas de la empresa, como por ejemplo el departamento donde se almacenan registros físicos. Para ello, las empresas se valen de recursos como cerraduras, tarjetas de acceso con los datos de los empleados autorizados y torniquetes que se activan mediante huellas dactilares o el uso de documentos de identificación.
Por su parte, el control de acceso lógico o control de acceso a la información consiste en una serie de medidas de seguridad cibernética que regulan el acceso de usuarios o dispositivos a datos, redes y plataformas de la empresa. Para ello, se vale de elementos como credenciales de inicio de sesión (incluyendo el nombre de usuario), contraseñas y biometría (huellas digitales, reconocimiento facial o de voz, etc.).
Fases del control de accesos
El control de acceso se basa en 3 principios: identificación, autorización y autenticación. Sin embargo, actualmente se considera que un sistema de control de acceso debe abarcar otras fases para optimizar el nivel de seguridad que otorga.
Identificación
Crear una identidad digital para el usuario es el primer paso a seguir. Este consiste en registrarlo dentro del sistema de la empresa; es decir, otorgarle un nombre de usuario y contraseña, registrar sus huellas dactilares o su rostro para reconocimiento facial, o cualquier otra medida que permita digitalizar su identidad, de forma que sea reconocible por los sistemas informáticos.
Autorización
Con una identidad digital creada, el usuario es autorizado (o no) a acceder a los sistemas, redes y plataformas digitales de la empresa. Esta autorización debe hacerse con base en las políticas de seguridad y en el tipo de control de acceso establecido por la empresa, que determinan qué usuarios pueden o no acceder a cada espacio físico o digital de la empresa.
Dicho de otra forma, la autorización que se le otorga al usuario suele estar limitada a ciertos recursos o áreas, según la función que cumple dentro de la empresa. Así, por ejemplo, las bases de datos de transacciones financieras pueden estar restringidas para que sólo puedan acceder a ellas miembros del departamento de finanzas y contabilidad.
Autenticación
Una vez identificado y autorizado, el usuario puede acceder a los sistemas de la empresa mediante un proceso de autenticación. Este consiste en verificar que quien intenta acceder está registrado en la lista de control de acceso de la empresa y ha sido autorizado para acceder. Existen diferentes tipos de credenciales para realizar esta verificación:
- Nombre de usuario y contraseña.
- Control de acceso biométrico (huella digital, reconocimiento facial, reconocimiento de voz, escaneo de retina, etc.).
- Firma digital.
Acceso
Los sistemas de control de acceso, una vez que han verificado la identidad del usuario, le otorgan acceso al contenido preciso y de forma rápida, como si se tratara de un desbloqueo o de una puerta que se abre.
Gestión
Todo sistema de control de acceso debe permitir que un administrador gestione los puntos de acceso para realizar las actualizaciones que sean necesarias. Esto incluye el onboarding (adición de nuevos usuarios), el offboarding (la eliminación de usuarios que se retiran de la empresa definitivamente) y la solución de problemas y vulnerabilidades informáticas.
Auditoría
Los cambios que se realizan durante la fase de gestión deben quedar registrados, incluyendo quién realizó el cambio y cuándo. De esta forma, al realizar auditorías o controles rutinarios de seguridad, se puede verificar que todo esté correctamente configurado.
Así mismo, si fuese necesario investigar algún comportamiento inusual, falla o acceso no autorizado, los miembros del departamento de tecnología de la información (TI) pueden aprovechar el registro para comparar el evento con datos históricos.
Adicionalmente, en los casos en que se maneja información personal y sensible, como en los registros de pacientes de un hospital o los registros de una tarjeta de crédito, llevar un historial fidedigno permite que las instituciones cumplan con los requisitos de leyes y normas relacionadas a la seguridad de la información.
Tipos de control de acceso
Existen cuatro tipos de control de acceso, los cuales se definen según el criterio que utilizan para delimitar o restringir el acceso a la información de la empresa.
Control de acceso discrecional (DAC)
El modelo de control de acceso discrecional o Discretionary Access Control (DAC) se caracteriza porque el propietario de un sistema informático establece las políticas que determinan los niveles de acceso que debe tener cada usuario con base en su rango dentro de la empresa. Este es, usualmente, el mecanismo de control de acceso que poseen los sistemas operativos.
Este tipo de control de acceso es bastante flexible en comparación a los demás, pero esto significa que ofrece un menor nivel de seguridad, pues personas que no necesariamente necesitan ciertos datos podrían tener acceso a ellos. Por ejemplo, el gerente de marketing, por ser gerente, podría tener acceso a información que sólo debería estar disponible para el gerente de finanzas.
Control de acceso obligatorio o mandatorio (MAC)
El control de acceso obligatorio o Mandatory Access Control (MAC) es muy común en ambientes gubernamentales o militares, donde se requiere un control más estricto. En este, una autoridad central determina y organiza los derechos de acceso según distintos niveles de seguridad que se aplican a todos los recursos de la institución.
Estos niveles de seguridad dependen de dos elementos: el tipo de información (general, confidencial, clasificada, etc.) y de qué departamento o nivel de gestión depende (por ejemplo, si se trata de información del departamento de finanzas, o de la gerencia). Es el modelo que ofrece mayor seguridad, pero requiere una planificación cuidadosa para ser implementado de manera correcta.
Control de acceso basado en roles (RBAC)
El control de acceso basado en roles o Role Based Access Control (RBAC) funciona bajo la premisa de permitirle acceso a los usuarios dependiendo de la función que cumplen dentro de una organización o empresa. En este modelo se le asignan permisos de acceso a un rol, y posteriormente se le asignan estos roles a los distintos empleados.
Este modelo ofrece la ventaja de que los gerentes o administradores pueden administrar los roles como autoridades centrales, de manera que dentro de un mismo proyecto, el personal del área de contabilidad no puede acceder a la misma información que el personal de tecnología de la información.
Control de acceso basado en atributos (ABAC)
En el caso del control de acceso basado en atributos o políticas, o Attribute-Based Access Control (ABAC), el acceso se otorga de manera más flexible y dinámica, pues el acceso depende de una serie de factores o atributos, como el entorno, la ubicación y la hora. Este modelo permite reducir la asignación de roles y provee un control de acceso individualizado.
Importancia del uso de controles de acceso
El control de acceso es sumamente importante en el contexto de la ciberseguridad. Su principal objetivo es evitar que la información de la empresa caiga en manos de ciberdelincuentes, pues las acciones de estos pueden llevar a la exposición de datos personales de empleados y clientes, la pérdida de fondos monetarios, la disminución de la confianza de los clientes en la empresa, entre otros.
Por otra parte, no sólo es importante porque evita que usuarios no autorizados accedan a datos confidenciales, sino porque además permite auditar los accesos para saber exactamente quién consultó qué información, y en qué momento. Este tipo de registro facilita la identificación de errores y la corrección de vulnerabilidades.
Los sistemas de control de acceso tienen la bondad adicional de funcionar como excelentes herramientas organizativas, pues facilitan la distribución del trabajo. Esto es especialmente cierto en el contexto del trabajo remoto, en el que se requiere de buenas estrategias de organización y seguridad en la nube.
Te ayudamos a implementar y gestionar controles de acceso en tu empresa
Tener un buen sistema de control de acceso es una de las bases fundamentales de la ciberseguridad actual. Sin embargo, establecer las políticas y la estructura organizativa necesaria para que sean sistemas eficientes puede ser complejo.
Por eso, en Delta Protect ofrecemos un servicio de CISO, que le permite a tu empresa tener asesorías de expertos en materia de ciberseguridad para crear u optimizar su políticas de control de acceso.
Contacta a nuestros expertos y descubre cómo podemos ayudarte a optimizar los controles de acceso de tu empresa para reforzar su ciberseguridad y prevenir ataques cibernéticos.
Conclusiones
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
