Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
La protección de los recursos de una empresa, físicos y digitales, debe ser una de las prioridades de quienes forman parte de ella. En este sentido, limitar el acceso a estos recursos, otorgándolo sólo a quiénes lo requieren para cumplir sus funciones, es una medida básica para proteger información confidencial.
A continuación te explicamos qué son los controles de acceso y por qué debes utilizarlos para proteger tu empresa.
El control de acceso es un elemento fundamental de la seguridad de cualquier empresa que permite determinar quién tiene acceso a qué información y bajo cuáles circunstancias. Dicho de otra forma, se trata de un tipo de tecnología que puede permitir o denegar el acceso a un usuario a ciertos datos, plataformas o espacios físicos de la empresa.
Se relaciona estrechamente con la gestión de identidades y accesos (IAM por sus siglas en inglés), pues su finalidad es otorgar derechos de acceso a usuarios autenticados y autorizados, a la vez que impide que usuarios no autorizados tengan acceso a información confidencial o recursos de la empresa.
Por lo tanto, los sistemas de seguridad con control de accesos deben verificar la identidad del usuario y el nivel de acceso al que están autorizados antes de otorgarle acceso a un área de la empresa o a su información.
El control de acceso puede entenderse desde dos puntos de vista: uno relacionado con el acceso físico a las instalaciones de una empresa, y otro relacionado con el acceso a bases de datos y sistemas informáticos con información confidencial.
El control de acceso físico se refiere a las medidas que se toman para restringir el acceso a ciertas áreas de la empresa, como por ejemplo el departamento donde se almacenan registros físicos. Para ello, las empresas se valen de recursos como cerraduras, tarjetas de acceso con los datos de los empleados autorizados y torniquetes que se activan mediante huellas dactilares o el uso de documentos de identificación.
Por su parte, el control de acceso lógico o control de acceso a la información consiste en una serie de medidas de seguridad cibernética que regulan el acceso de usuarios o dispositivos a datos, redes y plataformas de la empresa. Para ello, se vale de elementos como credenciales de inicio de sesión (incluyendo el nombre de usuario), contraseñas y biometría (huellas digitales, reconocimiento facial o de voz, etc.).
El control de acceso se basa en 3 principios: identificación, autorización y autenticación. Sin embargo, actualmente se considera que un sistema de control de acceso debe abarcar otras fases para optimizar el nivel de seguridad que otorga.
Crear una identidad digital para el usuario es el primer paso a seguir. Este consiste en registrarlo dentro del sistema de la empresa; es decir, otorgarle un nombre de usuario y contraseña, registrar sus huellas dactilares o su rostro para reconocimiento facial, o cualquier otra medida que permita digitalizar su identidad, de forma que sea reconocible por los sistemas informáticos.
Con una identidad digital creada, el usuario es autorizado (o no) a acceder a los sistemas, redes y plataformas digitales de la empresa. Esta autorización debe hacerse con base en las políticas de seguridad y en el tipo de control de acceso establecido por la empresa, que determinan qué usuarios pueden o no acceder a cada espacio físico o digital de la empresa.
Dicho de otra forma, la autorización que se le otorga al usuario suele estar limitada a ciertos recursos o áreas, según la función que cumple dentro de la empresa. Así, por ejemplo, las bases de datos de transacciones financieras pueden estar restringidas para que sólo puedan acceder a ellas miembros del departamento de finanzas y contabilidad.
Una vez identificado y autorizado, el usuario puede acceder a los sistemas de la empresa mediante un proceso de autenticación. Este consiste en verificar que quien intenta acceder está registrado en la lista de control de acceso de la empresa y ha sido autorizado para acceder. Existen diferentes tipos de credenciales para realizar esta verificación:
Los sistemas de control de acceso, una vez que han verificado la identidad del usuario, le otorgan acceso al contenido preciso y de forma rápida, como si se tratara de un desbloqueo o de una puerta que se abre.
Todo sistema de control de acceso debe permitir que un administrador gestione los puntos de acceso para realizar las actualizaciones que sean necesarias. Esto incluye el onboarding (adición de nuevos usuarios), el offboarding (la eliminación de usuarios que se retiran de la empresa definitivamente) y la solución de problemas y vulnerabilidades informáticas.
Los cambios que se realizan durante la fase de gestión deben quedar registrados, incluyendo quién realizó el cambio y cuándo. De esta forma, al realizar auditorías o controles rutinarios de seguridad, se puede verificar que todo esté correctamente configurado.
Así mismo, si fuese necesario investigar algún comportamiento inusual, falla o acceso no autorizado, los miembros del departamento de tecnología de la información (TI) pueden aprovechar el registro para comparar el evento con datos históricos.
Adicionalmente, en los casos en que se maneja información personal y sensible, como en los registros de pacientes de un hospital o los registros de una tarjeta de crédito, llevar un historial fidedigno permite que las instituciones cumplan con los requisitos de leyes y normas relacionadas a la seguridad de la información.
Existen cuatro tipos de control de acceso, los cuales se definen según el criterio que utilizan para delimitar o restringir el acceso a la información de la empresa.
El modelo de control de acceso discrecional o Discretionary Access Control (DAC) se caracteriza porque el propietario de un sistema informático establece las políticas que determinan los niveles de acceso que debe tener cada usuario con base en su rango dentro de la empresa. Este es, usualmente, el mecanismo de control de acceso que poseen los sistemas operativos.
Este tipo de control de acceso es bastante flexible en comparación a los demás, pero esto significa que ofrece un menor nivel de seguridad, pues personas que no necesariamente necesitan ciertos datos podrían tener acceso a ellos. Por ejemplo, el gerente de marketing, por ser gerente, podría tener acceso a información que sólo debería estar disponible para el gerente de finanzas.
El control de acceso obligatorio o Mandatory Access Control (MAC) es muy común en ambientes gubernamentales o militares, donde se requiere un control más estricto. En este, una autoridad central determina y organiza los derechos de acceso según distintos niveles de seguridad que se aplican a todos los recursos de la institución.
Estos niveles de seguridad dependen de dos elementos: el tipo de información (general, confidencial, clasificada, etc.) y de qué departamento o nivel de gestión depende (por ejemplo, si se trata de información del departamento de finanzas, o de la gerencia). Es el modelo que ofrece mayor seguridad, pero requiere una planificación cuidadosa para ser implementado de manera correcta.
El control de acceso basado en roles o Role Based Access Control (RBAC) funciona bajo la premisa de permitirle acceso a los usuarios dependiendo de la función que cumplen dentro de una organización o empresa. En este modelo se le asignan permisos de acceso a un rol, y posteriormente se le asignan estos roles a los distintos empleados.
Este modelo ofrece la ventaja de que los gerentes o administradores pueden administrar los roles como autoridades centrales, de manera que dentro de un mismo proyecto, el personal del área de contabilidad no puede acceder a la misma información que el personal de tecnología de la información.
En el caso del control de acceso basado en atributos o políticas, o Attribute-Based Access Control (ABAC), el acceso se otorga de manera más flexible y dinámica, pues el acceso depende de una serie de factores o atributos, como el entorno, la ubicación y la hora. Este modelo permite reducir la asignación de roles y provee un control de acceso individualizado.
El control de acceso es sumamente importante en el contexto de la ciberseguridad. Su principal objetivo es evitar que la información de la empresa caiga en manos de ciberdelincuentes, pues las acciones de estos pueden llevar a la exposición de datos personales de empleados y clientes, la pérdida de fondos monetarios, la disminución de la confianza de los clientes en la empresa, entre otros.
Por otra parte, no sólo es importante porque evita que usuarios no autorizados accedan a datos confidenciales, sino porque además permite auditar los accesos para saber exactamente quién consultó qué información, y en qué momento. Este tipo de registro facilita la identificación de errores y la corrección de vulnerabilidades.
Los sistemas de control de acceso tienen la bondad adicional de funcionar como excelentes herramientas organizativas, pues facilitan la distribución del trabajo. Esto es especialmente cierto en el contexto del trabajo remoto, en el que se requiere de buenas estrategias de organización y seguridad en la nube.
Tener un buen sistema de control de acceso es una de las bases fundamentales de la ciberseguridad actual. Sin embargo, establecer las políticas y la estructura organizativa necesaria para que sean sistemas eficientes puede ser complejo.
Por eso, en Delta Protect ofrecemos un servicio de CISO, que le permite a tu empresa tener asesorías de expertos en materia de ciberseguridad para crear u optimizar su políticas de control de acceso.
Contacta a nuestros expertos y descubre cómo podemos ayudarte a optimizar los controles de acceso de tu empresa para reforzar su ciberseguridad y prevenir ataques cibernéticos.