Control de acceso
El control de acceso consiste en la verificación de si una entidad (una persona, vehículo, ordenador, etc.) solicitando acceso a un recurso tiene los derechos necesarios para hacerlo.[1]
Un control de acceso ofrece la posibilidad de acceder a recursos físicos (por ejemplo, a un edificio, a un local, a un país) o lógicos (por ejemplo, a un sistema operativo o a una aplicación informática específica).[1][2]
Política de control de acceso
editarUna política de control de acceso específica los derechos de acceso que regulan si una petición de acceso realizada debería permitirse o no.[3] Las peticiones de acceso son realizada por lo que se llama un principal, el cual puede ser: un usuario (humano), un sujeto (un proceso que se ejecuta en nombre de un usuario) y un objeto (un dato o un recurso)[3]
Podemos clasificar la políticas de control de acceso en distintos tipos, cada una con sus ventajas y con sus inconvenientes:[3][4]
- Control de acceso discrecional o DAC (siglas del inglés Discretionary Access Control). Los derechos de acceso sobre un recurso son especificados por reglas que dictamina el propietario del recurso. Típicamente cada objeto de recurso está asociado a una lista de control de acceso (ACL) que contiene una lista de usuarios y grupos que tienen permiso acceder junto con el nivel de acceso de cada usuario o grupo que establcecen como pueden acceder. Por ejemplo, el modelo de permisos de acceso a ficheros implementado en UNIX sigue este tipo de políticas. Por ejemplo, si un fichero tiene los permisos "... rwxr-xr-x ... file.txt", lo que se indica es que el propietario del fichero quiere poder leer, escribir y ejecutar, y que el resto de usuarios solo puedan leer o ejecutar. Otro ejemplo, un gimnasio tiene una lista de control de acceso con los usuarios que pueden acceder. El uso de grupos de usuario es peligroso ya que, por ejemplo, el gerente de proyectos puede tener acceso a la información que solo debería estar destinada para el gerente de finanzas.
- Control de acceso obligatorio o MAC (siglas del inglés Mandatory Access Control). Los derechos de acceso son establecidos por una autoridad central. La filosofía subyancente es que la información pertenece a la organización (en lugar de los miembros individuales de ella), y es la organización la que controla la política de seguridad.
- Control de acceso basado en roles o RBAC (siglas de inglés Role-Based Access Control). En el mundo real los derechos de acceso es habitual que cambien dinámicamente según las responsabilidades del principal cambian. Lo que hace esta política de control de acceso es establecer roles (conjunto de acciones y responsabilidades asociadas a una actividad particular de trabajo) y declara la política de control de acceso estableciendo relaciones entre roles, recursos y derechos (asignación de derechos). A partir de ellos los principales se asignan a uno o más roles (asignación de roles). Finalmente en los roles se puede establcer una jerarquía, incluyendo los de nivel superior los derechos de los de nivel inferior. Casi todos los sistemas del mundo real implementan alguna forma de RBAC. Se pueden crear políticas discrecionales u obligatorias utilizando RBAC como modelo subyacente.
- Control de acceso basado en normas, en inglés Rule Based Access Control (RBAC). Aunque las siglas coincidan con el de control de acceso basado en roles, no hay que confundirlos. El acceso a los objetos de recurso es otorgado o denegado basándose en una serie de normas definidas por un sistema administrador, sin poder ser cambiados por los usuarios. Como con el DAC, las propiedades de acceso son almacenadas en listas de control de acceso (ACL) asociadas a cada recurso. Cuando un usuario o grupo intenta acceder a un recurso se comprueban las normas que la lista de control de acceso para dicho objeto que han sido definidas por el sistema administrador. Por ejemplo, estas reglas pueden permitir el acceso a la red solo desde ciertas IP, o permitir el acceso desde una IP específica a menos que provenga de un puerto determinado, o restringir el acceso a los datos solo en el horario comercial.[5]
Componentes
editarEl control de acceso generalmente incluye tres componentes o técnicas:
- Un mecanismo de autenticación de la entidad, que es el proceso de verificar su identidad antes de permitirle el acceso. Se utilizan diversos métodos, como contraseñas, tarjetas inteligentes o biometría, para verificar la identidad de la entidad y asegurarse de que es quien dice ser. Este mecanismo no es útil en sí mismo, pero es esencial para el funcionamiento de los dos siguientes:[6]
- Un mecanismo de autorización. Una vez autenticada, la entidad debe ser autorizada para acceder a este recurso o servicio en un momento dado. La autorización se encarga de definir los privilegios y permisos que cada entidad tiene sobre los recursos. Se establecen reglas y políticas que determinan qué acciones puede realizar una entidad y qué recursos puede utilizar. Esto permite controlar de manera precisa y granular el acceso.
- Un mecanismo de trazabilidad. Es una técnica utilizada en el control de acceso que permite registrar y rastrear las acciones realizadas por la entidad. A veces, el mecanismo de autorización por sí solo puede ser insuficiente para garantizar que la entidad tiene el derecho de acceso a un recurso específico (respecto a un procedimiento, a las horas trabajadas, ...). Es aquí donde la trazabilidad entra en juego para compensar esa limitación.
- La trazabilidad actúa como una espada de Damocles, es decir, una medida de responsabilidad, al responsabilidar a las entidades por sus acciones. A través de la trazabilidad, se capturan y almacenan datos detallados sobre las actividades realizadas, lo que permite identificar a posteriori al responsable de una acción en caso de ser necesario. Esto resulta especialmente útil para llevar a cabo investigaciones forenses, identificar comportamientos inusuales o maliciosos, y tomar medidas correctivas en caso de amenazas o violaciones de seguridad.
- Es importante destacar que la auditoría es otro componente fundamental del control de acceso. La auditoría implica registrar y supervisar las actividades realizadas por los usuarios, y se complementa con el mecanismo de trazabilidad. La auditoría implica el análisis de los registros generados por la trazabilidad para detectar comportamientos anómalos o sospechosos. Al examinar estos registros, se pueden identificar posibles amenazas o violaciones de seguridad, y se pueden tomar acciones preventivas o correctivas según sea necesario.
Hoy en día,[¿cuándo?] cada vez hay más demanda por parte de las empresas para poder rastrear el acceso a sus ordenadores usando una notificación de derechos de acceso.[cita requerida]
Cambios legislativos
editarSegún la EPA del segundo trimestre de 2018, “en España se realizaron 6.822.900 horas extraordinarias a la semana y que no fueron retribuidas 2.986.200 horas, es decir un 43,8 % del total”.[7] Para luchar contra los excesos de jornadas y horas extraordinarias no pagadas ni compensadas, el Gobierno obligará a las empresas a controlar los accesos de sus empleados y registrar las horas trabajadas siguiendo su “Plan Director por un trabajo digno (2018 / 2019 / 2020)”.[8]
Véase también
editarReferencias
editar- ↑ a b David Kim; Michael Solomon (17 de noviembre de 2010). Fundamentals of Information Systems Security. Jones & Bartlett Learning. pp. 144-. ISBN 978-0-7637-9025-7.
- ↑ Martínez Pascual, Diego (21 de diciembre de 2018). «Controles proactivos en el desarrollo seguro de software (Implementación de Control de Accesos» (html). Aprendiz de Sysadmin. Archivado desde el original el 22 de diciembre de 2018. Consultado el 22 de diciembre de 2018. «Control de Acceso es el proceso mediante el cual se conceden o deniegan las solicitudes de acceso a una característica o recurso en particular. Cabe señalar que la autorización no equivale a una autenticación (verificación de la identidad). Estos términos y sus definiciones se confunden con frecuencia y no debemos caer en ese error.»
- ↑ a b c Access Control. Michael Clarkson. Universidad de Cornell
- ↑ Control de acceso. ticportal.es. 11 de octubre de 2018
- ↑ RBAC: Rule-Based vs. Role-Based Access Control. Bryon Beilman. 28 de marzo de 2019
- ↑ Michael Whitman; Herbert Mattord (7 de octubre de 2013). Management of Information Security. Cengage Learning. pp. 346-. ISBN 978-1-305-15603-6.
- ↑ Registro obligatorio de las horas de trabajo https://www.cucorent.com/blog/nuevo-aviso-del-gobierno-registro-obligatorio-las-horas-trabajo/
- ↑ La diputada Rocío de Frutos explica el registro obligatorio de la jornada laboral https://www.cucorent.com/blog/la-diputada-rocio-frutos-explica-registro-obligatorio-la-jornada-laboral/