En el siglo XX, los ataques cibernéticos eran más difíciles de ejecutar porque la mayoría de los equipos no estaban conectados en red. Internet no existía realmente y solo unos pocos grupos de personas tenían acceso a los equipos. Más importante, no había grandes incentivos para atacar.
Tal no es el caso hoy en día. Se puede ganar mucho dinero robando datos o creando interrupciones del servicio. Un informe de la Universidad de Maryland afirma que, en promedio, se produce un nuevo ataque cibernético cada 39 segundos en todo el mundo. La mayoría de las organizaciones se limita a ponerse al día con los delincuentes informáticos tapando los agujeros a medida que aparecen. Sin embargo, debería estar ideando mejores formas de sellar sus bóvedas. El primer paso para esto es una buena política de control de acceso.
¿Qué es el control de acceso?
El control de acceso determina quién puede entrar en la red de la compañía y quién puede acceder a qué datos una vez dentro. Establece una jerarquía de niveles de acceso y permisos o restricciones a las personas, de modo que solo los usuarios autorizados puedan acceder a la información sensible.
Si su empresa fuera una discoteca, el control de accesos sería el portero. Comprueba los documentos de identidad en la puerta, se asegura de que no sean falsos y deja entrar a la gente. Una vez dentro, establece permisos adicionales dentro del club. Por ejemplo, la sección VIP probablemente necesite una sublista aparte. El personal de cocina puede necesitar acceder a la puerta lateral. La caja registradora solo puede confiarse a algunos de los empleados de mayor nivel. Las complejidades aumentan dependiendo de cuánto necesite proteger. Una política de control de acceso se encarga de crear y gestionar todos estos requisitos de acceso.
¿Por qué el control de accesos es vital para su negocio?
Mediante la aplicación de medidas de control de acceso, las organizaciones pueden proteger información sensible o confidencial frente a accesos, modificaciones o divulgaciones no autorizadas; cumplir los requisitos legales y normativos; y mitigar el riesgo de amenazas internas. Las medidas de control de acceso también pueden mejorar la rendición de cuentas y las investigaciones mediante el monitoreo y el registro de los intentos y las acciones de acceso.
Tipos de controles de acceso
Antes de implementar con éxito una política de control de acceso en su compañía, debe conocer los distintos tipos de modelos disponibles. Cada uno de los siguientes modelos responde a una necesidad específica.
∙ Control de acceso obligatorio (MAC): se da acceso cuando las etiquetas de seguridad de los datos coinciden con las del usuario. Si un usuario tiene una etiqueta de seguridad de alta confidencialidad, puede acceder a información de alta confidencialidad. Esto funciona mejor en entornos muy restringidos, como las agencias militares y de inteligencia.
∙ Control de acceso basado en roles (RBAC): este modelo se basa en el principio del menor privilegio, lo que significa que los usuarios solo tienen acceso a la información necesaria para su función laboral. Esto funciona mejor para empresas a gran escala, donde asignar el acceso individualmente puede ser un reto. Se puede conceder o denegar el acceso a todos los empleados con el mismo rol.
∙ Control de acceso discrecional (DAC): los propietarios de los datos pueden definir políticas de acceso y conceder o restringir el acceso según su criterio. Esto funciona mejor en negocios a pequeña escala, donde existe un mayor nivel de confianza entre los usuarios.
∙ Control de acceso basado en atributos (ABAC): el acceso a la información se basa en un conjunto de atributos dados a un usuario, como el rol, la función laboral, la hora del día o la ubicación. Esto funciona mejor en sectores como la salud o las finanzas, donde se necesitan políticas de control de acceso más granulares y flexibles.
¿Cómo puede aplicar la política de control de acceso que más le convenga?
Sea cual sea el modelo que elija, implementarlo y hacerlo cumplir implica los siguientes pasos:
∙ Definir el alcance e identificar el modelo: descubra qué datos son sensibles para su organización y deben protegerse de accesos no autorizados, modificaciones o divulgaciones. Elija uno de los modelos mencionados en función del cual elaborará su política de control de acceso.
∙ Desarrollar una política de control de acceso: desarrolle normas y procedimientos que controlen cómo se concede, modifica y revoca el acceso. Esto puede incluir autenticación, autorización y auditoría. Incluya políticas individuales que cubran todas sus necesidades de seguridad. Estas incluyen políticas de contraseñas, acceso físico, acceso remoto y auditoría.
∙ Implementar las medidas de control de acceso: ponga en marcha su política de control de acceso configurando cuentas de usuario, estableciendo permisos y activando la auditoría. Asegúrese de que todos los usuarios y administradores de la política reciban capacitación sobre sus roles y responsabilidades para cumplirlos y hacerlos cumplir.
∙ Monitorear y evaluar la política: un circuito de retroalimentación para determinar la efectividad siempre ayuda. Revise los logs de acceso, realice evaluaciones de seguridad e identifique las áreas en las que puede ser necesario actualizar o revisar la política.
El arte de agilizar la gestión del control de acceso
Tanto si se trata de un modelo DAC sencillo como de un modelo RBAC más complejo o un modelo ABAC detallado, crear y gestionar una política de acceso no es tarea fácil. Un poco de ayuda es muy útil. Ahí es donde entra ManageEngine DataSecurity Plus. Con esta herramienta, podrá localizar fácilmente incoherencias en los permisos, identificar archivos sobreexpuestos, verificar si se mantiene el principio del menor privilegio y mucho más. Obtenga más información sobre sus funciones de análisis de permisos aquí. Empiece a utilizar DataSecurity Plus hoy mismo con una prueba gratuita de 30 días.