¿Qué es el control de acceso?
El control de acceso es un elemento básico de seguridad que formaliza quién tiene permiso para acceder a determinadas aplicaciones, datos y recursos y en qué condiciones.
Control de acceso definido
El control de acceso es un elemento esencial de seguridad que determina quién puede acceder a ciertos datos, aplicaciones y recursos, y en qué circunstancias. De la misma forma que las claves y listas de invitados con aprobación previa protegen los espacios físicos, las directivas de control de acceso protegen los espacios digitales. En otras palabras, permiten a las personas adecuadas entrar y mantener a las personas equivocadas fuera. Las directivas de control de acceso se basan en gran medida en técnicas como autenticación y autorización, que permiten a las organizaciones comprobar explícitamente que los usuarios son quienes dicen ser y que a estos usuarios se les concede el nivel adecuado de acceso en función del contexto, como el dispositivo, la ubicación, el rol y mucho más.
El control de acceso evita que la información confidencial, como los datos de los clientes y la propiedad intelectual, sea robada por delincuentes u otros usuarios no autorizados. También reduce el riesgo de filtrado de datos por parte de los empleados y mantiene a raya las amenazas web. En lugar de gestionar los permisos manualmente, la mayoría de las organizaciones impulsadas por la seguridad recurren a soluciones de gestión de identidades y accesos para implementar directivas de control de acceso.
Diferentes tipos de control de acceso
Hay cuatro tipos principales de control de acceso y cada uno administra el acceso a la información confidencial de manera única.
Control de acceso discrecional (DAC)
En los modelos DAC, todo objeto de un sistema protegido tiene un propietario, y los propietarios conceden acceso a los usuarios a su discreción. DAC proporciona control caso por caso sobre los recursos.
Control de acceso obligatorio (MAC)
En los modelos MAC, a los usuarios se les concede acceso en forma de autorización. Una autoridad central regula los derechos de acceso y los organiza en niveles que se expanden de manera uniforme dentro del ámbito. Este modelo es muy habitual en contextos gubernamentales y militares.
Control de acceso basado en roles (RBAC)
En los modelos RBAC, los derechos de acceso se conceden de acuerdo con funciones empresariales definidas, en lugar de basarse en la identidad o antigüedad de las personas. El objetivo es proporcionar a los usuarios únicamente los datos que necesitan para realizar su trabajo y nada más.
Control de acceso basado en atributos (ABAC)
En los modelos ABAC, el acceso se concede de manera flexible, a partir de una combinación de atributos y condiciones del entorno, como la hora y la ubicación. ABAC es el modelo de control de acceso más granular y ayuda a reducir el número de asignaciones de roles.
Funcionamiento del control de acceso
En su forma más sencilla, el control de acceso implica la identificación de un usuario en función de sus credenciales y, después, la autorización del nivel de acceso adecuado una vez autenticado.
Contraseñas, PIN, tokens de seguridad (e incluso escaneos biométricos) son credenciales que se utilizan comúnmente para identificar y autenticar a un usuario. La autenticación multifactor (MFA) agrega otra capa de seguridad al requerir que los usuarios sean verificados mediante más de un solo método de verificación.
Una vez que se ha autenticado la identidad de un usuario, las directivas de control de acceso otorgan permisos específicos y permiten al usuario proceder como desea.
El valor del control de acceso
El objetivo del control de acceso es evitar que la información confidencial entre en manos de actores malintencionados. Los Información sobre ciberataquesciberataques a datos confidenciales pueden tener consecuencias graves, incluidas fugas de propiedad intelectual, exposición de información personal de clientes y empleados e incluso pérdida de fondos corporativos.
El control de acceso es un componente fundamental de la estrategia de seguridad. También es una de las mejores herramientas para las organizaciones que desean minimizar el riesgo de seguridad del acceso no autorizado a sus datos, en particular a los datos almacenados en la nube.
Conforme crece la lista de dispositivos susceptibles al acceso no autorizado, también lo hace el riesgo en organizaciones sin directivas de control de acceso sofisticadas. Las soluciones de administración de identidad y acceso pueden simplificar la administración de estas directivas, sin embargo, el primer paso consiste en reconocer la necesidad de gobernar cómo y cuándo se accede a los datos.
Cómo implementar el control de acceso
Conectar los objetivos
Acuerda con los responsables de tomar decisiones por qué es importante implementar una solución de control de acceso. Hay muchos motivos para esto; reducir los riesgos para la organización es uno de los más importantes. Otras razones para implementar una solución de control de acceso pueden ser:
• Productividad: conceda acceso autorizado a las aplicaciones y los datos que los empleados necesitan para lograr sus objetivos, justo cuando los necesitan.
• Seguridad: proteja datos y recursos confidenciales y reduzca la fricción en el acceso de los usuarios con directivas receptivas que se intensifican en tiempo real cuando surgen amenazas.
• Autoservicio: delegue la gestión de identidades, el restablecimiento de contraseñas, la supervisión de la seguridad y las solicitudes de acceso para ahorrar tiempo y energía.
Seleccionar una solución
Elija una solución de administración de identidades y acceso que le permita proteger los datos y garantizar una excelente experiencia del usuario final. Lo ideal debería proporcionar un servicio de primer nivel tanto a sus usuarios como a su departamento de TI, desde garantizar un acceso remoto fluido para los empleados hasta ahorrar tiempo a los administradores.
Establecer directivas seguras
Una vez que haya lanzado la solución elegida, decida quién debe acceder a sus recursos, a qué recursos deben acceder y bajo qué condiciones. Las directivas de control de acceso se pueden diseñar para otorgar acceso, limitar el acceso con controles de sesión o incluso bloquear el acceso; todo depende de las necesidades de su negocio.
Algunas preguntas que se pueden formular a lo largo del proceso pueden ser:
• ¿Qué usuarios, grupos, roles o identidades de carga de trabajo se incluirán o excluirán de la directiva?
• ¿A qué aplicaciones se aplica esta directiva?
• ¿Qué acciones de usuario estarán sujetas a esta directiva?
Seguir los procedimientos recomendados
Configura cuentas de acceso de emergencia para evitar bloqueos en caso de que configures incorrectamente una directiva, aplica directivas de acceso condicional a todas las aplicaciones, prueba directivas antes de aplicarlas al entorno, establece normas para denominar todas las directivas y haz planes para casos de interrupción. Una vez que se implementen las directivas adecuadas, podrá estar un poco más tranquilo.
Soluciones de control de acceso
El control de acceso es una medida de seguridad fundamental que cualquier organización puede implementar para protegerse contra filtraciones y filtraciones de datos.
Las soluciones de administración de identidad y acceso de la Seguridad de Microsoft garantizan que sus activos estén continuamente protegidos, incluso cuando más operaciones diarias se trasladan a la nube.
Proteja lo que importa.
Obtenga más información sobre la Seguridad de Microsoft
Control de acceso para usuarios individuales
Habilite el inicio de sesión sin contraseña y evite el acceso no autorizado con la aplicación Microsoft Authenticator.
Control de acceso para empresas
Proteja lo que importa con soluciones integradas de administración de acceso e identidad de Seguridad de Microsoft.
Control de acceso para centros educativos
Proporcione una experiencia de inicio de sesión sencilla para estudiantes y cuidadores y mantenga seguros sus datos personales.
Microsoft Entra ID
Proteja su organización con administración de identidades y acceso (anteriormente conocido como Azure Active Directory).
Administración de permisos de Microsoft Entra
Obtenga visibilidad en toda la empresa de los permisos de identidad y supervise los riesgos para cada usuario.
Preguntas más frecuentes
-
En el campo de la seguridad, un sistema de control de acceso es cualquier tecnología que modera intencionalmente el acceso a activos digitales, por ejemplo, redes, sitios web y recursos en la nube.
Los sistemas de control de acceso aplican principios de ciberseguridad como autenticación y autorización para garantizar que los usuarios sean quienes dicen ser y que tengan derecho a acceder a ciertos datos, según directivas de identidad y acceso predeterminadas.
-
La tecnología de control de acceso basada en la nube impone el control sobre todo el patrimonio digital de una organización, operando con la eficiencia de la nube y sin el coste de ejecutar y mantener costosos sistemas de control de acceso locales.
-
El control de acceso ayuda a proteger contra el robo, la corrupción o la exfiltración de datos al garantizar que solo los usuarios cuyas identidades y credenciales hayan sido verificadas puedan acceder a determinada información.
-
El control de acceso regula selectivamente quién puede ver y utilizar determinados espacios o información. Hay dos tipos de control de acceso: físico y lógico.
- El control de acceso físico hace referencia a la restricción de acceso a una ubicación física. Esto se logra mediante el uso de herramientas como cerraduras y llaves, puertas protegidas con contraseña y la observación del personal de seguridad.
- El control de acceso lógico se refiere a la restricción de acceso a los datos. Esto se logra mediante técnicas de ciberseguridad como identificación, autenticación y autorización.
-
El control de acceso es una característica de la moderna filosofía de seguridad de Confianza cero, que aplica técnicas como la verificación explícita y el acceso con privilegios mínimos para ayudar a proteger la información confidencial y evitar que caiga en las manos equivocadas.
El control de acceso se basa en gran medida en dos principios clave: autenticación y autorización:
- La autenticación implica la identificación de un usuario en particular basándose en sus credenciales de inicio de sesión como nombres de usuario y contraseñas, exámenes biométricos, PIN o tokens de seguridad.
- La autorización hace referencia a la concesión del nivel apropiado de acceso a un usuario tal y como determinan las directivas de control de acceso. Estos procesos suelen estar automatizados.
Seguir a Seguridad de Microsoft