Seguridad y Protección | Aplicando Controles de Acceso a Sistemas Tecnológicos. 4 Medidas a Seguir.

Seguridad y Protección
ssetups

Seguridad y Protección | El 10 de diciembre de 1948, la Asamblea General de las Naciones Unidas (ONU) adoptó y proclamó la Declaración Universal de Derechos Humanos, en la que declaraba: “Toda persona tiene derecho a la vida, la libertad y la seguridad de las personas”. Todos queremos sentirnos seguros. Todos queremos sentirnos seguros. Todos queremos saber que las cosas que valoramos están seguras y protegidas. El primer punto de llamada, la herramienta más eficaz y sencilla, es controlar quién tiene acceso a las personas, los lugares y las cosas que valoramos y nos importan más en este mundo. 

En el mundo laboral digital, el control de acceso es una técnica de seguridad que regula quién o qué puede ver o utilizar recursos en un entorno informático. Es un concepto fundamental en seguridad que minimiza el riesgo para una empresa u organización, un individuo o corporación.

Seguridad y Protección | Tipos de Controles de Acceso

Los dos tipos de controles de acceso son: físico y lógico.

El control de acceso físico limita el acceso a campus, edificios, salas y activos de TI físicos. El control de acceso lógico limita las conexiones a redes informáticas, archivos y datos del sistema.

Para asegurar una instalación, las organizaciones utilizan sistemas de control de acceso electrónico que dependen de las credenciales de los usuarios; lectores de tarjetas de acceso; revisión de cuentas; e informes para rastrear el acceso de los empleados a ubicaciones comerciales restringidas, como centros de datos. Algunos de estos sistemas utilizan paneles de control de acceso para restringir la entrada a habitaciones y edificios, así como alarmas y capacidades de cierre para evitar accesos u operaciones no autorizados.

Los sistemas de control de acceso pueden incluir contraseñas, números de identificación personal (PIN), escaneos biométricos, tokens de seguridad u otros factores para autenticar y autorizar a un usuario o entidad. La autenticación multifactorial, que requiere dos o más factores de autenticación, suele ser una parte importante de una defensa en capas .

Estos controles de seguridad funcionan identificando a una persona o entidad, verificando que la persona o aplicación sea quien o lo que dice ser, y autorizando el nivel de acceso establecido para el nombre de usuario o la dirección IP asociados. Las organizaciones utilizan diferentes modelos de control de acceso según sus requisitos de cumplimiento y los niveles de seguridad de la tecnología de la información que intentan proteger.

Seguridad y Protección | Principales Tipos de Control de Acceso

Control de acceso obligatorio (MAC): Un modelo de seguridad en el que los derechos de acceso están regulados por una autoridad central basada en múltiples niveles de seguridad. A menudo se utiliza en entornos gubernamentales y militares, las clasificaciones se asignan y el sistema operativo concede o niega el acceso según la autorización de seguridad del usuario o dispositivo.

Control de acceso discrecional (DAC): método de control de acceso en el que los propietarios o administradores de un sistema establecen quién o qué es el acceso autorizado.

Control de acceso basado en roles (RBAC): un mecanismo ampliamente utilizado que restringe el acceso a los recursos informáticos en base a individuos o grupos con funciones comerciales específicas: nivel ejecutivo, nivel de ingeniero, etc., en lugar de las identidades de usuarios individuales. El modelo de seguridad basado en roles se basa en una estructura compleja para regular el acceso de los empleados a los sistemas.

Control de acceso basado en reglas: un modelo de seguridad en el que el administrador del sistema define las reglas que dan acceso. A menudo, estas reglas se basan en cosas como la hora del día o la ubicación.

Control de acceso basado en atributos (ABAC): método que gestiona el acceso evaluando un conjunto de reglas, políticas y relaciones utilizando los atributos de los usuarios, los sistemas y las condiciones ambientales.

Cuando se agrega un usuario a un sistema de gestión de acceso, los administradores del sistema utilizan un sistema automatizado para configurar permisos basados ​​en marcos de control de acceso, responsabilidades laborales y flujos de trabajo. La mejor práctica del “privilegio mínimo” restringe el acceso solo a los recursos que un empleado necesita para realizar su trabajo. Uno de los problemas comunes con el control de acceso es la imposibilidad de revocar las credenciales y el acceso a los sistemas y datos cuando una persona pasa a un trabajo diferente internamente o deja la empresa.

Cuatro consejos de control de acceso

1. Establezca un proceso estricto para asignar y revocar derechos de acceso para todos sus tipos de usuarios y para todos sus sistemas y servicios. Esto ayuda a verificar la identidad de un usuario antes de emitir o restablecer una contraseña, por ejemplo.

2. Solo dé a los usuarios acceso a los recursos que necesitan para realizar su trabajo. Esto ayuda a limitar el daño que podría hacer un empleado descontento.

3. Al menos dos veces al año, revise los derechos de acceso de sus usuarios. ¿Jane ha cambiado de departamento o de trabajo? ¿Ha dejado su organización? ¿Se han actualizado los controles asociados en consecuencia?

4. Asegúrese de que todos sus datos más confidenciales (finanzas, PII y PHI) se mantengan de forma segura, con acceso estrictamente limitado según la “necesidad de saber” o el “privilegio mínimo”.

En SSETUPS, prestamos especial atención a que todos nuestros servicios tecnológicos cumplan con las máximas medidas de ciberseguridad.