Los controles de acceso a la información constituyen un pilar fundamental de la seguridad de la información y la protección de datos. Consiste en definir quién puede acceder a qué recursos, en qué condiciones, durante cuánto tiempo y con qué propósito.
La idea del control de acceso es restringir, monitorear y proteger el acceso a los dispositivos, sistemas, redes e información de la organización. Para lograrlo, es necesario identificar a los usuarios (autenticación), por ejemplo, mediante contraseñas, PIN, tokens o datos biométricos, y determinar qué acciones pueden realizar (autorización). El control de acceso exige un paso previo: el inventario de activos y recursos.
Métodos de control de acceso
Hay diferentes métodos, cada uno con sus ventajas y limitaciones. Veamos:
-
Control de acceso discrecional (DAC)
El responsable del tratamiento decide de forma discrecional quién accede y con qué permisos. Se gestiona caso por caso. Este modelo ofrece flexibilidad, pero carece de control centralizado, pudiendo generar privilegios o inconsistencias. -
Control de acceso obligatorio (MAC)
Los usuarios obtienen acceso en forma de autorización. El responsable del tratamiento, como autoridad central, asigna accesos por niveles de seguridad, por ejemplo, confidencial, sensible, crítico, etc. Este modelo es muy rígido y se usa habitualmente en entornos de alta seguridad. -
Control de acceso basado en roles (RBAC)
Los permisos se asignan a roles específicos, por ejemplo, administrador de sistemas, responsable de RRHH, asesor jurídico, etc. Los usuarios heredan los permisos de su rol asignado. Es escalable y sencillo de gestionar en organizaciones con roles y jerarquías bien definidos. -
Control de acceso basado en atributos (ABAC)
El acceso se decide evaluando una combinación de atributos del usuario, del recurso y el entorno (ubicación, hora, dispositivo). Ofrece adaptabilidad, pero es más complejo de gestionar. -
Control de acceso basado en políticas (PBAC)
Medidas de seguridad
El sistema de control de acceso debe bloquear el acceso tras varios intentos fallidos para mitigar los ataques de fuerza bruta.
También es importante una adecuada gestión del ciclo de vida de las credencias, incluidas las altas y bajas de usuarios.
El control se puede ejercer de forma manual, si bien es recomendable el empleo de un software específico que incluya control de acceso, auditoría y cumplimiento. Este tipo de programas informáticos visibilizan el cumplimiento a través de informes periódicos.
Conclusión
No todas las personas de la organización necesitan tener acceso total a la información para poder realizar su trabajo. Para controlar el acceso a la información es recomendable seguir el principio de «mínimo privilegio» (Principle of Least Privilege – PoLP) o «necesidad de conocer» (Need-To-Know): cada usuario, proceso o cuenta solo debe tener los permisos estrictamente necesarios para sus funciones, ni más ni menos.
El control de acceso también ayuda a prevenir situaciones perjudiciales: fugas de información por errores o acciones maliciosas internas; borrado, modificación o robo de información; espionaje industrial; entre otros.
