5.3 Control de acceso
Es un factor esencial para proteger la confidencialidad, integridad y disponibilidad de la información, el activo más importante de una organización, pues permiten que los usuarios autorizados accedan solo a los recursos que ellos requieren e impide que los usuarios no autorizados accedan a recursos.
Los controles de acceso físico tienen gran importancia ya que si alguien que desee atacar un sistema tiene acceso físico al mismo, el resto de las medidas de seguridad implantadas se convierten en nulas. Otros ataques se simplifican enormemente, es más fácil obtener información copiando los ficheros o robando directamente los discos que los contienen, que acceder remotamente a los mismos. Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que permita cambiar las claves de los usuarios.
Tipos de control de acceso
Sistema de Control de Acceso Autónomo
Son sistemas que permiten controlar las puertas, sin estar conectados a un PC o un sistema central, por lo tanto, no guardan registro de eventos. Aunque esta es la principal limitante, algunos controles de acceso autónomos tampoco pueden limitar el acceso por horarios o por grupos de puertas, esto depende de la robustez de la marca. Es decir, los más sencillos solo usan el método de identificación (ya sea clave, proximidad o biometría) como una "llave" electrónica.
Son sistemas que se integran a través de un PC local o remoto, donde se hace uso de un software de control de acceso que permite llevar un registro de todas las operaciones realizadas sobre el sistema con fecha, horario, autorización, etc. Van desde aplicaciones sencillas hasta sistemas muy complejos y sofisticados según se requiera.
Control de Acceso Obligatorio MAC
Es quién protege los recursos, comparando las etiquetas del sujeto que accede frente al recurso accedido, o sea, la autorización para que un sujeto acceda a un objeto depende de los niveles de seguridad que tengan, ya que estos indican que permiso de seguridad tiene el sujeto y el nivel de sensibilidad del objeto. Todos los sujetos y objetos del sistema tienen una etiqueta de seguridad que se compone de:
- Una clasificación o nivel de seguridad como un número en un rango, o un conjunto de clasificaciones discretas.
- Una o más categorías o compartimentos de seguridad como Contabilidad, Ventas, I+D...etc.
Control de Acceso Discrecional DAC
En este modelo un usuario bien identificado, casi siempre el creador o propietario del recurso, decide cómo protegerlo estableciendo cómo compartirlo, mediante controles de acceso impuestos por el sistema, lo esencial es que el propietario del recurso lo ceda a un tercero.
En sus inicios estos sistemas eran excesivamente simples, al permitir un conjunto limitado de operaciones posibles sobre un recurso, grupo o resto de usuarios, pero rápidamente se añadieron las famosas listas de control de accesos de usuarios y grupos con sus permisos específicos.
Control de Acceso Basado en Roles RBAC
En este modelo a
los usuarios le son asignados uno o varios roles mientras que los permisos y
privilegios se asignan a estos roles, por tanto las políticas de control de
accesos basado en roles regulan el acceso de los usuarios a la información en
términos de sus actividades y funciones de trabajo (roles), representándose así
de forma natural la estructura de las organizaciones. Este modelo permite la
construcción jerárquica de estas políticas de acceso, por herencia o
especialización, por ello tiene el potencial de reducir la complejidad y el
coste de la administración de seguridad en entornos heterogéneos.
Dada la alta integración entre los roles y las responsabilidades de los usuarios, se pueden seguir los principios del mínimo privilegio y de la separación de responsabilidades. Estos principios son vitales para alcanzar el objetivo de integridad, al requerir que a un usuario no se le otorguen mayores privilegios que los necesarios para efectuar su trabajo.
Comentarios
Publicar un comentario