El control de acceso es una técnica de seguridad que regula quién o qué puede ver o utilizar recursos en un entorno físico o informático. Es un concepto fundamental en seguridad que minimiza el riesgo para la empresa u organización.
Hay dos tipos de control de acceso: físico y lógico. El control de acceso físico limita el acceso a áreas, campus, edificios, salas y activos físicos. El control de acceso lógico limita las conexiones a las redes informáticas, los archivos del sistema y los datos.
Para proteger una instalación, las organizaciones utilizan sistemas de control de acceso electrónico que se basan en las credenciales de los usuarios, lectores de tarjetas de acceso, lectores biométricos y auditorías e informes para rastrear el acceso de los empleados a ubicaciones comerciales restringidas y áreas de propiedad, como centros de datos.
Algunos de estos sistemas incorporan paneles de control de acceso para restringir la entrada a habitaciones y edificios, así como capacidades de alarma y bloqueo, para evitar operaciones o accesos no autorizados.
Tipos de sistemas de Control de Acceso
Básicamente, los sistemas de control de acceso físicos se pueden categorizar o clasificar en dos tipos:
- Sistemas de Control de Acceso Autónomos o independientes
- Sistemas de Control de Acceso en Red
Sistemas de Control de Acceso Autónomos o Independientes
Los sistemas de control de acceso autónomos, independientes o «standalone» como se les dice en inglés, son sistemas que permiten controlar una o más puertas, sin estar conectados a un PC servidor central.
El control de acceso independiente suele ser una o dos unidades pequeñas conectadas directamente a un panel de puerta para controlar el acceso a la puerta.
No hay necesidad de una red de PC y no tiene que asegurar todas las puertas dentro de su edificio, solo aquellas que desee.
Los tokens de usuario se pueden agregar al sistema de control de acceso en segundos presentando una tarjeta de registro en la puerta. La administración es sencilla y se puede hacer en cuestión de minutos.
El personal y los visitantes reciben tokens electrónicos en lugar de llaves. Si alguien pierde su token, simplemente se puede excluir del sistema de control de acceso presentando una tarjeta oculta a un lector.
Esto garantiza que, si se encuentra el token, no se pueda usar para ingresar y comprometer la seguridad de su edificio.
Algunos controles de acceso autónomos no pueden limitar el acceso por horarios o por grupos de puertas, esto depende de cada fabricante en particular.
Sistemas de Control de Acceso en Red
Estos sistemas son aquellos en los cuales los controladores de acceso o controladores de puertas se conectan a un computador central o servidor a través de una conexión serial, o red IP ( cableada o inalámbrica)
Sistemas de Control de Acceso Lógico
Los sistemas de control de acceso lógico (también expresado como acceso sistema) realizan la autenticación de identificación y la autorización de usuarios y entidades al evaluar las credenciales de inicio de sesión requeridas que pueden incluir contraseñas, números de identificación personal, escaneos biométricos, tokens de seguridad u otros factores de autenticación.
La autenticación multifactor ( MFA ), que requiere dos o más factores de autenticación, suele ser una parte importante de una defensa en capas para proteger los sistemas de control de acceso.
¿Por qué es importante el control de acceso?
El objetivo del control de acceso es minimizar el riesgo de seguridad del acceso no autorizado a los sistemas físicos y lógicos.
El control de acceso es un componente fundamental de los programas de cumplimiento de seguridad que garantiza que la tecnología de seguridad y las políticas de control de acceso estén implementadas para proteger la información confidencial, como los datos de los clientes.
La mayoría de las organizaciones cuentan con infraestructura y procedimientos que limitan el acceso a redes, sistemas informáticos, aplicaciones, archivos y datos confidenciales, como información de identificación personal y propiedad intelectual.
Los sistemas de control de acceso son complejos y pueden ser difíciles de administrar en entornos de TI dinámicos que involucran sistemas locales y servicios en la nube.
Después de infracciones de alto perfil, los proveedores de tecnología han pasado de los sistemas de inicio de sesión único a la gestión de acceso unificado, que ofrece controles de acceso para entornos locales y en la nube.
¿Cómo funciona un sistema control de acceso?
Los controles de acceso identifican a una persona o entidad, verifican que la persona o la aplicación es quién o qué dice ser y autoriza el nivel de acceso y el conjunto de acciones asociadas con el nombre de usuario o la dirección IP.
Los servicios y protocolos de directorio, incluido el Protocolo ligero de acceso a directorios y el Lenguaje de marcado de aserción de seguridad, proporcionan controles de acceso para autenticar y autorizar a usuarios y entidades y permitirles conectarse a recursos informáticos, como aplicaciones distribuidas y servidores web.
Las organizaciones utilizan diferentes modelos de control de acceso según sus requisitos de cumplimiento y los niveles de seguridad de TI que intentan proteger.
Tipos de control de acceso
Los principales modelos de control de acceso son los siguientes:
- Control de acceso obligatorio ( MAC ). Este es un modelo de seguridad en el que los derechos de acceso están regulados por una autoridad central basada en múltiples niveles de seguridad. A menudo utilizadas en entornos gubernamentales y militares, las clasificaciones se asignan a los recursos del sistema y al sistema operativo o kernel de seguridad. MAC otorga o deniega el acceso a los objetos de recursos en función de la autorización de seguridad de la información del usuario o dispositivo. Por ejemplo, Linux con seguridad mejorada es una implementación de MAC en Linux.
- Control de acceso discrecional (DAC). Este es un método de control de acceso en el que los propietarios o administradores del sistema, datos o recursos protegidos establecen las políticas que definen quién o qué está autorizado para acceder al recurso. Muchos de estos sistemas permiten a los administradores limitar la propagación de los derechos de acceso. Una crítica común a los sistemas DAC es la falta de control centralizado.
- Control de acceso basado en roles ( RBAC ). Este es un mecanismo de control de acceso ampliamente utilizado que restringe el acceso a los recursos informáticos en función de individuos o grupos con funciones comerciales definidas, por ejemplo, nivel ejecutivo, nivel de ingeniero 1, etc., en lugar de las identidades de los usuarios individuales. El modelo de seguridad basado en roles se basa en una estructura compleja de asignaciones de roles, autorizaciones de roles y permisos de roles desarrollados mediante la ingeniería de roles para regular el acceso de los empleados a los sistemas. Los sistemas RBAC se pueden usar para hacer cumplir los marcos MAC y DAC.
- Control de acceso basado en reglas. Este es un modelo de seguridad en el que el administrador del sistema define las reglas que rigen el acceso a los objetos de recursos. Estas reglas a menudo se basan en condiciones, como la hora del día o la ubicación. No es raro usar alguna forma de control de acceso basado en reglas y RBAC para hacer cumplir las políticas y los procedimientos de acceso.
- Control de acceso basado en atributos. Esta es una metodología que gestiona los derechos de acceso mediante la evaluación de un conjunto de reglas, políticas y relaciones, utilizando los atributos de los usuarios, los sistemas y las condiciones ambientales.
Implementación de control de acceso
El control de acceso está integrado en el entorno de TI de una organización. Puede involucrar sistemas de administración de identidad y administración de acceso. Estos sistemas proporcionan software de control de acceso, una base de datos de usuarios y herramientas de gestión para políticas de control de acceso, auditoría y cumplimiento.
Cuando se agrega un usuario a un sistema de administración de acceso, los administradores del sistema usan un sistema de aprovisionamiento automatizado para configurar permisos basados en marcos de control de acceso, responsabilidades laborales y flujos de trabajo.
La mejor práctica de privilegio mínimo restringe el acceso solo a los recursos que los empleados necesitan para realizar sus funciones laborales inmediatas.
Desafíos del control de acceso
Muchos de los desafíos del control de acceso se derivan de la naturaleza altamente distribuida de la TI moderna. Es difícil hacer un seguimiento de los activos en constante evolución porque están dispersos tanto física como lógicamente. Los ejemplos específicos de desafíos incluyen los siguientes:
- Administrar dinámicamente entornos de TI distribuidos;
- fatiga de contraseña;
- visibilidad del cumplimiento a través de informes consistentes;
- centralizar directorios de usuarios y evitar silos específicos de aplicaciones; y
- Gobierno y visibilidad de datos a través de informes consistentes.
Muchas estrategias tradicionales de control de acceso, que funcionaron bien en entornos estáticos donde los activos informáticos de una empresa se encontraban en las instalaciones, son ineficaces en los entornos de TI dispersos de la actualidad.
Los entornos de TI modernos consisten en múltiples implementaciones híbridas y basadas en la nube, que distribuyen los activos en ubicaciones físicas y en una variedad de dispositivos únicos, y requieren estrategias dinámicas de control de acceso.
Sistemas de control de acceso para personas
Las organizaciones a menudo luchan por comprender la diferencia entre autenticación y autorización. La autenticación es el proceso de verificar que las personas son quienes dicen ser mediante identificación biométrica y MFA. La naturaleza distribuida de los activos brinda a las organizaciones muchas vías para autenticar a un individuo.
La autorización es el acto de otorgar a las personas el acceso correcto a los datos en función de su identidad autenticada. Un ejemplo de dónde la autorización a menudo se queda corta es si una persona deja un trabajo, pero aún tiene acceso a los activos de esa empresa.
Esto crea agujeros de seguridad porque el activo que la persona usó para el trabajo (un teléfono inteligente con el software de la empresa, por ejemplo) todavía está conectado a la infraestructura interna de la empresa, pero ya no se monitorea porque la persona ya no está en la empresa.
Si no se controla, esto puede causar importantes problemas de seguridad para una organización. Si el dispositivo del exempleado fuera pirateado, por ejemplo, el atacante podría obtener acceso a datos confidenciales de la empresa, cambiar contraseñas o vender las credenciales del empleado o los datos de la empresa.
Una solución a este problema es la supervisión estricta y la generación de informes sobre quién tiene acceso a los recursos protegidos para que, cuando se produzca un cambio, se pueda identificar de inmediato y se puedan actualizar las listas de control de acceso y los permisos para reflejar el cambio.
Otro desafío del control de acceso que a menudo se pasa por alto es la experiencia del usuario. Si una tecnología de administración de acceso es difícil de usar, los empleados pueden usarla incorrectamente o eludirla por completo, creando agujeros de seguridad y brechas de cumplimiento.
Si una aplicación de informes o monitoreo es difícil de usar, los informes pueden verse comprometidos debido a un error del empleado, lo que daría lugar a una brecha de seguridad debido a que no se informó un cambio de permisos importante o una vulnerabilidad de seguridad.
¿Qué es un sistema de control horario?
Software de control de acceso
Un sistema de control horario, también conocido como sistema de tiempo y asistencia, es una herramienta o software que permite rastrear y monitorizar las horas de trabajo de los empleados.
Estos sistemas registran datos esenciales como la hora de inicio y fin de la jornada laboral, las pausas realizadas, las horas extra y las ausencias. También pueden proporcionar informes detallados que ayudan a la administración a entender mejor las tendencias laborales y a asegurarse de que se están cumpliendo las regulaciones laborales.
Los sistemas de control horario son importantes para garantizar que los empleados son retribuidos de manera justa por su tiempo de trabajo y para evitar conflictos relacionados con el pago de salarios. También son herramientas útiles para aumentar la eficiencia y la productividad en el lugar de trabajo.
Estos sistemas de control horario a menudo vienen como módulos adicionales o extras dentro de los sistemas de control de acceso.
Existen muchos tipos de software y tecnología de control de acceso y, a menudo, se utilizan varios componentes juntos como parte de una estrategia más amplia de administración de acceso e identidad (IAM).
Las herramientas de software se pueden implementar en las instalaciones, en la nube o en ambos. Pueden centrarse principalmente en la gestión de acceso interno de una empresa o externamente en la gestión de acceso para los clientes. Los tipos de herramientas de software de administración de acceso incluyen los siguientes:
- Aplicaciones de informes y seguimiento
- herramientas de administración de contraseñas
- herramientas de aprovisionamiento
- repositorios de identidad
- herramientas de aplicación de políticas de seguridad
Microsoft Active Directory es un ejemplo de software que incluye la mayoría de las herramientas enumeradas anteriormente en una sola oferta. Otros proveedores de IAM con productos populares incluyen IBM, Idaptive y Okta.
La verdad es importante desarrollar la tecnología con el sistemas de control de acceso facilitando el tiempo el dinero de las empresas. Un cordial saludos Felipe a seguir cosechando triunfo.
Oscar,
Muchas gracias por tu comentario.
Saludos.