En seguridad informática, existen distintos controles y protocolos de seguridad. Siempre diseñados para poder brindar protección y ofrecer garantías frente a las distintas amenazas que surgen en la red. Hoy conocerás qué es un control de acceso en informática, qué tipos hay, y para qué sirven.
¿Qué es un control de acceso en Informática?
Un control de acceso consiste en la determinación de actividades que se pueden realizar y que no se pueden realizar, según el tipo de usuario. Siendo un mediador el individuo que quiere realizar la acción, y el recurso al cual quiere acceder. Entendiendo este concepto general, pasaremos a la idea de este en seguridad informática.
Primero debemos decir que en seguridad de la información, todo sistema contiene un conjunto de partes, elementos que tienen que funcionar en armonía. Si esto funciona, se evitan problemas, y se mantienen alejadas las amenazas que ponen en riesgo el funcionamiento del mismo.
Para evitar que el funcionamiento sea corrompido, con los años se han ido creando herramientas que evitan el peligro, que controlan el acceso seguro y fluido a las distintas acciones y recursos que ofrece el sistema.
Control de acceso en informática: definición
El control de acceso en informática es una forma de limitar el ingreso a un sistema o a ciertos recursos, tantos físicos como virtuales. Es un proceso mediante el cual los usuarios buscan obtener acceso a elementos, actividades o información.
Es una forma de compuerta que se levanta o desciende según los permisos que tenga el usuario respecto a la actividad que quiere realizar. Siempre funcionando a través de códigos, herramientas de autenticación, claves y contraseñas que trabajan para identificar exitosamente a la persona que ejecuta la acción.
Ejemplos de control de acceso
Para ilustrar más la situación, podemos mencionar algunos ejemplos. Una tarjeta clave puede funcionar como control de acceso. Permitiendo el acceso a cierta área según el nivel que tenga el portador de la misma.
Cuando hablamos específicamente del control de acceso en informática, tenemos distintas formas de llevarlo a cabo. Claves normales, alfanuméricas, aplicaciones como Google Auth, la cual genera claves aleatorias con Código QR cada vez que se ingresa, o distintos tipos de identificación biométrica.
Es en sí generar la autorización, autenticación, auditoría positiva o negativa de la entidad que busca ingresar al sistema. Los distintos modelos de control de accesos tienen siempre un objeto y un sujeto. El sujeto es la persona que intenta obtener acceso, el objeto es la herramienta, actividad o recurso al que la misma intenta llegar.
Tipos de control de acceso
A continuación, conocerás los tres tipos de acceso más utilizados.
Control de acceso discrecional (DAC)
Este tipo de control significa que el dueño de la empresa es quién decide cuáles son las personas que tienen derecho a acceder a cada área específica de cierto sistema o red.
Este es el modelo de control que menos restringe, debido a que los directores o dueños de organizaciones, no suelen ser expertos en ciberseguridad. Lo cual puede derivar en una proporción de acceso incorrecta, descuidada.
Control de acceso obligatorio (MAC)
Este modelo de control de acceso en informática es mucho más férreo, usado en organizaciones que necesitan gran confidencialidad y seguridad. Tiene a una autoridad central designada que clasifica cada acceso que se otorga, siempre teniendo en cuenta pautas establecidas con anterioridad.
Las grandes empresas de tecnología, tienen equipos de ciberseguridad dedicados a esto. Siempre comandados por un CISO, director de ciberseguridad que funciona como jefe de la sede dónde se esté trabajando. Teniendo todo esto planteando anteriormente, como políticas de ciberseguridad.
MAC permite tener prácticas sólidas de seguridad de información sin tener que modificar o comprometer prácticas de trabajo en el equipo informático.
Control de acceso basado en roles (RBAC)
Actualmente, este es uno de los más usados por las empresas que buscan segmentar el ingreso según los distintos títulos de trabajo.
La mayoría de las empresas actuales implementan este modelo para segmentar el acceso en función de los títulos de trabajo. La persona encargada de administrar el sistema utilizará prácticas como la segmentación de privilegio. Por ejemplo: “privilegio mínimo”. Siempre para garantizar que cada rol tenga acceso a las áreas que le competen.
Es un sistema muy usado para empresas con bases de datos extensas y segmentadas.
Este control de acceso en informática permite, también, poder crear distintas normas para los invitados que emplean dispositivos móviles y aparatos electrónicos que no pertenecen a la organización.
Este es el método de control más seguro, y es suficientemente fácil de aplicar. Debido a esto, se ha convertido en el preferido del momento.
Funcionamiento general de un control de acceso en informática
El mismo consiste en tres grandes pasos que atraviesan todos los sistemas de control.
Autenticación
Lo primero que se hace es autenticar la identificación. Esto se hace con alguna especie de credencial, ya sea de hardware o de software, de registro en la nube. Estos datos son contrastados con los que existen en el registro de ciberseguridad de la empresa.
Autorización
Luego de hacer esto, se determina si realmente el usuario está permitido para el ingreso. El usuario debe tener acceso registrado, utilizar una de las credenciales o claves permitidas y haber realizado la solicitud de ingreso en los horarios realmente permitidos por la organización, establecidos anteriormente.
Acceso
Una vez que se autentica y autoriza, el control de acceso envía un comando directo habilitando el ingreso a la otra etapa del sistema. Una vez adentro, se registra el dispositivo que ingresó, la hora y el periodo que se mantenga activo en sistema, además de todas las actividades que realice adentro.
Control de acceso en informática: Conclusión
El control de acceso en informática es un tópico vital en ciberseguridad para cualquier tipo de empresa. Poder tener los permisos sectorizados, con distintos niveles y accesos, es algo necesario para poder mantener un control sobre toda la información delicada y sobre el correcto funcionamiento de la empresa en general.
Una vez explicado los conceptos principales, y su funcionamiento general, esperamos que tus principales dudas hayan sido aclaradas. ¿Ya estás listo para aplicar un control de acceso en tu propia empresa?
