Los controles de acceso a la información es un elemento esencial de la seguridad y la protección de datos, que implica identificar quién puede acceder a la información, aplicaciones y recursos, hasta dónde y para qué, con base en elementos contextuales como el dispositivo, la ubicación y el rol, entre otros.
La idea del control de acceso es restringir, monitorizar y proteger el acceso a los dispositivos, sistemas, redes e información de la organización. Para ello será necesario identificar a los usuarios, quiénes son y qué se les permite hacer. El control de acceso exige un paso previo, que es el inventario de activos.
Hay diferentes tipos de control de acceso, por ejemplo:
-
Control de acceso discrecional (DAC)
El responsable del tratamiento concede acceso a los usuarios a su discreción, es decir, que se atiende caso a caso. Una crítica común a los sistemas DAC es la falta de control centralizado. -
Control de acceso obligatorio (MAC)
Los usuarios obtienen acceso en forma de autorización. El responsable del tratamiento, como autoridad central, regula los derechos de acceso y los organiza en niveles, que se expanden de manera uniforme dentro de la organización. -
Control de acceso basado en roles (RBAC)
Los derechos de acceso se conceden de acuerdo con funciones empresariales definidas, en lugar de basarse en la identidad o antigüedad de las personas. El objetivo es proporcionar a los usuarios únicamente los datos que necesitan para realizar su trabajo. -
Control de acceso basado en atributos (ABAC)
El acceso se concede de manera flexible, a partir de una combinación de atributos y condiciones del entorno, como la hora y la ubicación.
En su forma más simple, el control de acceso implica identificar al usuario, basándose en sus credenciales, y luego autorizar el nivel de acceso apropiado una vez autenticado. Las contraseñas, las OTP (One Time Password o contraseñas de un solo uso), los PIN, las passphrases, las claves criptográficas o la biometría son ejemplos de credenciales que se suelen usar para identificar y autenticar a un usuario. Cuando la información es confidencial se suele agregar una capa más de seguridad, al requerir que los usuarios usen más de un método de verificación.
Es importante que el protocolo de control de acceso acuerde limitar los accesos tras varios intentos fallidos, pudiendo bloquear el sistema de información hasta que se resuelva el incidente. Igualmente, es importante una adecuada gestión de las contraseñas, incluidas las altas y bajas de usuarios.
El control de acceso se puede ejercer de forma manual, si bien es recomendable el empleo de un software específico que incluya control de acceso, auditoría y cumplimiento. Este tipo de programas informáticos visibilizan el cumplimiento a través de informes periódicos.
Conclusión
Es importante tener claro que no todas las personas necesitan tener acceso a toda la información de la organización para poder realizar su trabajo.
Para controlar el acceso a la información es recomendable seguir el principio de mínimo conocimiento, conocido también como «need-to-know». Según este principio, los miembros de la organización tendrán acceso a lo que realmente necesitan saber para realizar sus funciones, ni más ni menos.
El control de acceso también ayuda a prevenir situaciones perjudiciales, como fugas de información por personal interno, borrado de información y otro tipo de acciones que ponen en riesgo el negocio como espionaje por parte de la competencia