¿Qué es el control de acceso?

El control de acceso es un elemento clave de la seguridad que formaliza quién tiene permiso para tener acceso a ciertos datos, aplicaciones y recursos y en qué condiciones.

Control de acceso definido

El control de acceso es un elemento esencial de la seguridad que determina quién tiene permiso para tener acceso a determinados datos, aplicaciones y recursos y en qué circunstancias. De la misma forma que las claves y listas de invitados con aprobación previa protegen los espacios físicos, las directivas de control de acceso protegen los espacios digitales. En resumen: permiten que la gente adecuada entre y que la que no lo es se quede fuera. Las directivas de control de acceso dependen en gran medida de técnicas como la autenticación y la autorización, que permiten a las organizaciones verificar de forma explícita que los usuarios son quienes dicen ser y que cuentan con el nivel adecuado de acceso con base en elementos contextuales como el dispositivo, la ubicación, el rol y mucho más.

El control de acceso impide que los infiltrados u otros usuarios no autorizados se hagan con la información confidencial (como los datos de clientes y la propiedad intelectual). También reduce el riesgo de filtrado de datos por parte de los empleados y mantiene a raya las amenazas web. En vez de manejar los permisos de forma manual, las organizaciones con mayor seguridad dependen de soluciones de administración de identidad y acceso para implementar directivas de control de acceso.

Distintos tipos de control de acceso

Hay cuatro tipos principales de control de acceso y cada uno administra el acceso a la información confidencial de manera única.

  • Control de acceso discrecional (DAC)

    En los modelos DAC, todo objeto de un sistema protegido tiene un propietario, y los propietarios conceden acceso a los usuarios a su discreción. DAC proporciona control de recursos caso a caso.

  • Control de acceso obligatorio (MAC)

    En los modelos MAC, los usuarios obtienen acceso en forma de autorización. Una autoridad central regula los derechos de acceso y los organiza en niveles que se expanden de manera uniforme dentro del ámbito. Este modelo es muy habitual en contextos gubernamentales y militares.

  • Control de acceso basado en roles (RBAC)

    En los modelos RBAC, los derechos de acceso se conceden de acuerdo con funciones empresariales definidas, en lugar de basarse en la identidad o antigüedad de las personas. El objetivo es proporcionar a los usuarios únicamente los datos que necesitan para realizar su trabajo y nada más.

  • Control de acceso basado en atributos (ABAC)

    En los modelos ABAC, el acceso se concede de manera flexible, a partir de una combinación de atributos y condiciones del entorno, como la hora y la ubicación. ABAC es el modelo de control de acceso más granular y ayuda a reducir el número de asignaciones de roles.

Cómo funciona el control de acceso

En su forma más simple, el control de acceso implica identificar a un usuario basándose en sus credenciales y luego autorizar el nivel de acceso apropiado una vez autenticado.

Las contraseñas, los PIN, los tokens de seguridad (e incluso los exámenes biométricos) son credenciales que se suelen usar para identificar y autenticar a un usuario. autenticación multifactor (MFA) agrega una capa más de seguridad al requerir que los usuarios usen más de un método de verificación.

Una vez que se haya autenticado la identidad de un usuario, las directivas de control de acceso conceden permisos específicos y permiten que el usuario continúe como estaba previsto.

Valor del control de acceso

El objetivo del control de acceso es evitar que la información confidencial caiga en manos de infiltrados. Los ataques a datos confidenciales pueden tener consecuencias severas, entre las que se incluyen la filtración de propiedad intelectual e industrial, la exposición de la información personal de clientes y empleados e incluso la pérdida de fondos corporativos.

El control de acceso es un componente esencial de la estrategia de seguridad. También se trata de una de las mejores herramientas para las organizaciones que quieran minimizar los riesgos de seguridad causados por el acceso no autorizado a sus datos, en particular, a los almacenados en la nube.

Conforme crece la lista de dispositivos susceptibles al acceso no autorizado, también lo hace el riesgo en organizaciones sin directivas de control de acceso sofisticadas. Las soluciones de administración de identidad y acceso pueden simplificar la administración de estas directivas, sin embargo, el primer paso consiste en reconocer la necesidad de gobernar cómo y cuándo se tiene acceso a los datos.

Cómo implementar el control de acceso

  • Conecta los objetivos

    Acuerda con los responsables de tomar decisiones por qué es importante implementar una solución de control de acceso. Hay muchos motivos para esto; reducir los riesgos para la organización es uno de los más importantes. Entre otros motivos para implementar una solución de control de acceso, se incluyen:

     

    • Productividad: Concede acceso autorizado a las aplicaciones y los datos que necesiten los empleados para cumplir sus objetivos, en el momento en que los requieran.
    • Seguridad: Protege los recursos y datos confidenciales y reduce la fricción de acceso de los usuarios mediante directivas dinámicas que escalan en tiempo real cuando se producen amenazas.
    • Autoservicio: Delega la administración de identidades, los restablecimientos de contraseñas, la supervisión de la seguridad y las solicitudes de acceso para ahorrar tiempo y energía.

  • Selecciona una solución

    Elige una solución de administración de identidad y acceso que te permita proteger los datos y garantizar una excelente experiencia de usuario final. La solución ideal debe proporcionar un servicio de máxima calidad a los usuarios y al departamento de TI, desde asegurar un acceso remoto fluido a los empleados y hasta ahorrar tiempo a los administradores.

  • Establece directivas sólidas

    Tras iniciar la solución elegida, decide quién puede tener acceso a tus recursos, qué recursos pueden utilizar y en qué condiciones. Las directivas de control de acceso se pueden diseñar para conceder acceso, limitarlo mediante controles de sesión o incluso bloquearlo: todo depende de las necesidades de la empresa.

    Estas son algunas preguntas que deberías formularte:

    • ¿Qué usuarios, grupos, roles o identidades de cargas de trabajo quedarán incluidos o excluidos de la directiva?
    • ¿A qué aplicaciones se aplica esta directiva?
    • ¿Qué acciones de usuarios se verán sujetas a esta directiva?

  • Sigue los procedimientos recomendados

    Configura cuentas de acceso de emergencia para evitar bloqueos en caso de que configures incorrectamente una directiva, aplica directivas de acceso condicional a todas las aplicaciones, prueba directivas antes de aplicarlas al entorno, establece normas para denominar todas las directivas y haz planes para casos de interrupción. Una vez que se apliquen las directivas, tendrás mayor tranquilidad.

Soluciones de control de acceso

El control de acceso es una medida de seguridad fundamental que cualquier organización puede implementar como medida de seguridad frente al filtrado y la vulneración de datos.
 

Las soluciones de administración de identidad y acceso de seguridad de Microsoft garantizan que tus activos estén protegidos de forma continua, incluso con el paso de cada vez más operaciones cotidianas a la nube.
 

Protege lo que importa.

Más información sobre la seguridad de Microsoft

Preguntas más frecuentes

|

En el campo de la seguridad, se llama sistema de control de acceso a cualquier tecnología que modere de forma intencional el acceso a activos digitales como, por ejemplo, redes, sitios web y recursos en la nube.

 

Los sistemas de control de acceso aplican principios de ciberseguridad como la autenticación y autorización para garantizar que los usuarios son quienes dicen ser y que tienen derecho a tener acceso a ciertos datos basándose en las directivas predeterminadas de identidad y acceso.

La tecnología de control de acceso basada en la nube aplica el control sobre todo el espacio digital de una organización, y opera con la eficiencia de la nube y sin el costo de ejecutar y mantener caros sistemas de control de acceso en las instalaciones.

El control de acceso ayuda a proteger contra el robo, la corrupción o filtración de datos garantizando que solo los usuarios cuyas identidades y credenciales se hayan verificado puedan tener acceso a determinada información.

El control de acceso regula de forma selectiva quién tiene permitido visualizar y usar determinados espacios o información. Existen dos tipos de control de acceso: físico y lógico.

  • El control de acceso físico se refiere a la restricción de acceso a una ubicación física. Se lleva a cabo mediante el uso de herramientas como cerraduras y llaves, puertas protegidas con contraseña y vigilancia por parte del personal de seguridad.
  • El control de acceso lógico se refiere a la restricción de acceso a los datos. Se lleva a cabo mediante técnicas de ciberseguridad como la identificación, autenticación y autorización.

El control de acceso es una característica de la filosofía de la seguridad moderna Confianza cero, que aplica técnicas como la verificación explícita y el acceso con menos privilegios para ayudar a proteger la información confidencial e impedir que caiga en malas manos.

El control de acceso depende en gran medida de dos principios clave; la autenticación y la autorización:

  • La autenticación implica la identificación de un usuario en particular basándose en sus credenciales de inicio de sesión como nombres de usuario y contraseñas, exámenes biométricos, PIN o tokens de seguridad.
  • La autorización hace referencia a la concesión del nivel apropiado de acceso a un usuario tal y como determinan las directivas de control de acceso. Estos procesos suelen estar automatizados.